La OpenJS Foundation, un importante hub per progetti JavaScript, ha recentemente subito un tentativo credibile di presa di controllo che ricorda l’incidente recentemente scoperto mirato al progetto open source XZ Utils. Questo tentativo di manipolazione attraverso tecniche di social engineering rappresenta un grave campanello d’allarme per la sicurezza delle comunità open source.
Dettagli dell’incidente
Il tentativo di presa di controllo è stato scoperto quando il Cross Project Council della OpenJS Foundation ha ricevuto una serie sospetta di email. Questi messaggi, provenienti da vari mittenti con nomi diversi ma email associate a GitHub sovrapposte, sollecitavano la Foundation ad aggiornare uno dei suoi popolari progetti JavaScript per correggere vulnerabilità critiche, senza però fornire dettagli specifici. L’autore delle email ha anche richiesto di essere nominato nuovo manutentore del progetto, nonostante una scarsa partecipazione precedente.
Risposta e Azioni
Fortunatamente, nessuna delle persone che hanno contattato la OpenJS Foundation è stata autorizzata ad accedere con privilegi al progetto ospitato da OpenJS. L’incidente ha messo in evidenza il metodo tramite cui l’unico manutentore di XZ Utils è stato preso di mira da personaggi fittizi creati appositamente per questa campagna di ingegneria sociale, progettata per inserire Jia Tan (aka JiaT75) come co-mantenitore del progetto.
Implicazioni più Ampie
Questo evento solleva la possibilità che il tentativo di sabotaggio di XZ Utils non sia un incidente isolato, ma parte di una campagna più ampia per minare la sicurezza di vari progetti. Ciò sottolinea la “fragilità” dell’ecosistema open source e i rischi creati dallo stress dei manutentori, come sottolineato dalla U.S. Cybersecurity and Infrastructure Security Agency (CISA).
Consigli di CISA
CISA ha raccomandato che i produttori di tecnologia e gli operatori di sistema che incorporano componenti open source dovrebbero supportare i manutentori nell’auditing periodico del codice sorgente, eliminando intere classi di vulnerabilità e implementando principi di sicurezza progettuali. L’agenzia enfatizza che il peso della sicurezza non dovrebbe ricadere su un singolo manutentore open source, come è avvenuto in questo caso con effetti quasi disastrosi.
Questi attacchi di ingegneria sociale sfruttano il senso di responsabilità che i manutentori hanno nei confronti del loro progetto e della loro comunità per manipolarli. È fondamentale prestare attenzione a come le interazioni si sentono: interazioni che creano dubbi su se stessi, sentimenti di inadeguatezza o di non fare abbastanza per il progetto potrebbero essere parte di un attacco di ingegneria sociale.
