La community open source è sotto attacco: due gruppi segnalano infiltrazioni come in xz
La Open Source Security Foundation (OpenSSF) e la OpenJS Foundation, che sostiene diversi progetti di software open source (OSS) basati su JavaScript, hanno avvertito che il recente tentativo di social engineering contro la libreria di compressione dati XZ Utils potrebbe non essere un caso isolato.
L’attacco a XZ Utils ha visto un attore pericoloso, noto come JiaTan, infiltrarsi nel progetto XZ Utils nel corso di diversi anni, guadagnando la fiducia dei manutentori del progetto e contribuendo con aggiornamenti legittimi al software, prima di tentare di introdurre una vulnerabilità backdoor (CVE-2024-3094) che avrebbe potuto causare conseguenze disastrose se non fosse stata scoperta da uno sviluppatore di Microsoft.
Ora OpenSSF e OpenJS chiedono a tutti i manutentori open source di stare attenti a simili tentativi di attacco, dopo che l’OpenJS Cross Project Council ha ricevuto diverse e-mail sospette che invitavano ad aggiornare uno dei suoi progetti per risolvere vulnerabilità critiche, senza però citare alcun dettaglio specifico.
Robin Bender Ginn, direttore esecutivo della OpenJS Foundation, e Omkhar Arasaratnam, direttore generale della OpenSSF, hanno dichiarato che gli autori delle e-mail, che portavano nomi diversi ma provenivano da account associati a GitHub, volevano essere designati come manutentori del progetto nonostante avessero uno scarso coinvolgimento precedente, in modo simile a come JiaTan è riuscito a introdursi nel progetto XZ Utils.
Il team di OpenJS è inoltre venuto a conoscenza di uno schema simile anche in altri due progetti JavaScript di largo utilizzo e ha segnalato il potenziale rischio per la sicurezza ai rispettivi responsabili di OpenJS, oltre che alle autorità statunitensi per la sicurezza informatica. I progetti open source accolgono sempre con favore i contributi di chiunque, ovunque, ma concedere a qualcuno l’accesso amministrativo al codice sorgente in qualità di manutentore richiede un livello più elevato di fiducia guadagnata, e non viene concesso come una soluzione rapida a qualsiasi problema. “Insieme alla Linux Foundation, vogliamo sensibilizzare tutti i manutentori open source su questa minaccia costante e offrire una guida pratica e risorse dalla nostra ampia comunità di esperti in sicurezza e open source”, hanno dichiarato Bender Ginn e Arasaratnam.
Tra le altre cose, i membri dei progetti OSS dovrebbero prestare attenzione alla ricerca amichevole, ma aggressiva e persistente dello status di manutentore da parte di membri della comunità nuovi o relativamente sconosciuti, alle nuove richieste di elevazione e all’approvazione da parte di altri membri della comunità sconosciuti. “Questi attacchi di ingegneria sociale sfruttano il senso del dovere che i manutentori hanno nei confronti del loro progetto e della comunità per manipolarli. Prestate attenzione a come vi fanno sentire le interazioni. Le interazioni che creano dubbi e sentimenti di inadeguatezza potrebbero essere parte di un attacco di ingegneria sociale”.
Chris Hughes, CSO di Endor Labs e cyber innovation fellow presso la Cybersecurity and Infrastructure Security Agency (CISA), ha dichiarato di non essere sorpreso dalla notizia di una maggiore diffusione di attacchi di social engineering contro il mondo open source; inoltre, dato che l’attacco XZ ha ricevuto una notevole pubblicità, è probabile che altri malintenzionati tentino tattiche simili in futuro.
“Possiamo sospettare che molti di questi attacchi siano già in corso e che abbiano già avuto successo, ma che non siano ancora stati scoperti o identificati. La maggior parte dei progetti open source è incredibilmente sottofinanziata e gestita da un singolo o da un piccolo gruppo di manutentori, per cui l’utilizzo di attacchi di ingegneria sociale non è sorprendente”, ha aggiunto Hughes.
“Se gli aggressori sono bravi, può essere difficile per i manutentori determinare quale sia il coinvolgimento di chi è interessato a collaborare e a contribuire ai progetti rispetto a chi ha intenzioni malevole”. Più in generale questo rappresenta un rischio enorme per la comunità open source in generale, visto che circa un quarto di tutti i progetti open source ha un solo manutentore e il 94% meno di dieci. “Questo rischio si ripercuote sulle organizzazioni che utilizzano componenti open source nel loro software e rende l’intero ecosistema vulnerabile a soggetti malintenzionati“, conclude Hughes.