.
Grupos de código aberto estão alertando a comunidade sobre uma onda de ataques contínuos direcionados aos mantenedores de projetos, semelhantes aos que levaram à recente tentativa de backdoor de uma biblioteca central do Linux.
Os superiores da OpenJS Foundation e da Open Source Security Foundation (OpenSSF) acreditam que a tentativa de plantar um backdoor na biblioteca de compressão de dados xz do Linux “pode não ser um incidente isolado”, dadas as suas observações recentes.
O OpenJS Foundation Cross Project Council, um grupo de política e governança dentro da OpenJS Foundation, recebeu recentemente uma série de e-mails suspeitos que acredita serem uma tentativa de mexer com um dos projetos JavaScript populares e sem nome que hospeda.
As mensagens foram enviadas de nomes diferentes, todas com endereços de e-mail associados ao GitHub, e geralmente construídas em torno do mesmo tema.
Os invasores suspeitos estavam tentando ser adicionados como mantenedores do projeto para “resolver quaisquer vulnerabilidades críticas”, mas não forneceram detalhes sobre quais eram essas vulnerabilidades, o que já parece suspeito.
“Essa abordagem tem forte semelhança com a maneira como ‘Jia Tan’ se posicionou no backdoor XZ/liblzma”, disse Robin Bender Ginn, diretor executivo da OpenJS Foundation, e Omkhar Arasaratnam, gerente geral da OpenSSF.
Dois outros projetos JS populares, aqueles que não são hospedados pela OpenJS Foundation, também receberam mensagens semelhantes, disseram os chefões do código aberto.
“A equipe do OpenJS também reconheceu um padrão suspeito semelhante em dois outros projetos populares de JavaScript não hospedados por sua Fundação e imediatamente sinalizou as possíveis preocupações de segurança aos respectivos líderes do OpenJS e à Agência de Segurança Cibernética e de Infraestrutura (CISA) do Departamento de Segurança dos Estados Unidos. Segurança Interna (DHS).”
Bender Ginn e Arasaratnam escreveram em blogs sobre as descobertas para aumentar a conscientização sobre os supostos ataques à comunidade mais ampla de código aberto e compartilhar táticas conhecidas usadas por criminosos em potencial.
Sinais de engenharia social
Os mantenedores do projeto devem ser extremamente cautelosos com usuários relativamente desconhecidos na comunidade que solicitam que seu status seja elevado a mantenedor. Esses usuários também podem tentar melhorar sua posição percebida na multidão de código aberto, obtendo endossos de outras contas, que também podem usar identidades falsas, às vezes conhecidas como fantoches de meia.
O tom das comunicações provavelmente será amigável, mas a busca por um mantenedor ou fundação pode ser agressiva ou excessivamente persistente.
Se eles conseguirem se infiltrar nas fileiras influentes de um projeto, suas sugestões de código poderão fornecer pistas sobre suas intenções subjacentes.
O código de um novo mantenedor sendo intencionalmente ofuscado ou difícil de entender pode ser uma indicação de que eles estão tentando esconder algo sem serem detectados. No caso do backdoor xz, as solicitações pull de Jia Tan continham blobs como artefatos, por exemplo.
“O backdoor XZ era um arquivo habilmente elaborado como parte do conjunto de testes que não era legível por humanos, ao contrário do código-fonte”, disseram Bender Ginn e Arasaratnam.
Jia Tan também tentou escalar gradualmente as questões de segurança. Logo depois de conseguirem fazer commits, eles substituíram a função safe_fprintf() por fprintf() que na época parecia bastante inócua, mas em retrospectiva poderia ter sido uma tentativa inicial de introduzir uma vulnerabilidade de escape de caracteres.
Pessoas externas mal-intencionadas também podem ser observadas desviando-se das práticas típicas de construção e implantação do projeto. O desvio das normas em qualquer contexto deve ser visto com sobrancelhas levantadas, mas no código aberto, pode sinalizar a intenção de um invasor de introduzir cargas maliciosas no projeto.
O comportamento típico dos golpistas por telefone e e-mail – um falso senso de urgência – também deve ser tratado com cautela, uma vez que o estranho pode estar tentando forçar uma revisão de segurança rapidamente, o que poderia permitir que sua maldade passasse despercebida.
“Esses ataques de engenharia social estão explorando o senso de dever que os mantenedores têm para com seu projeto e sua comunidade, a fim de manipulá-los”, disseram Bender Ginn e Arasaratnam.
“Preste atenção em como as interações fazem você se sentir. Interações que criam dúvidas, sentimentos de inadequação, de não fazer o suficiente pelo projeto, etc. podem fazer parte de um ataque de engenharia social.
“Ataques de engenharia social como os que testemunhamos com XZ/liblzma foram evitados com sucesso pela comunidade OpenJS. Esses tipos de ataques são difíceis de detectar ou proteger programaticamente, pois se aproveitam de uma violação de confiança por meio de engenharia social.
“No curto prazo, compartilhar de forma clara e transparente atividades suspeitas como as mencionadas acima ajudará outras comunidades a permanecerem vigilantes. Garantir que nossos mantenedores sejam bem apoiados é o principal impedimento que temos contra esses ataques de engenharia social”.
Mais recursos, menos problemas
Além das etapas descritas em sua postagem no blog sobre o assunto, Bender Ginn e Arasaratnam ecoaram as questões frequentemente citadas com o código aberto como questões a serem abordadas para aumentar o nível de segurança na comunidade em geral.
Pequenas equipes ou desenvolvedores solitários estão por trás de alguns dos projetos mais confiáveis do mundo – muitas vezes por entidades comerciais que fornecem pouco ou nada em troca – e, como tal, não se pode esperar que também sejam os talentos de segurança necessários.
Eles apontaram para projetos de financiamento existentes que já levaram a várias melhorias em projetos de código aberto, como o projeto Alpha-Omega focado na segurança, que é apoiado financeiramente pela Microsoft, Amazon e Google.
“A OpenJS Foundation percebeu como o financiamento de desenvolvedores para segurança teve um impacto comprovado por meio de investimentos Alpha-Omega em Node.js e jQuery.”
O governo alemão interveio para oferecer apoio ao ecossistema de código aberto através do Sovereign Tech Fund, que visa apoiar fundações como OpenJS para fortalecer a infraestrutura e a segurança.
“Estamos defendendo mais investimento público global em iniciativas como o Sovereign Tech Fund para investir em [global] código aberto… do qual a sociedade depende, complementar ao [existing] financiamento privado”, disseram Bender Ginn e Arasaratnam.
“Recomendamos que as instituições públicas aprendam, se adaptem e coordenem com o Fundo Soberano de Tecnologia da Alemanha para apoiar os nossos projetos interconectados de código aberto e economias digitais compartilhadas.” ®
.
