開放原始碼安全基金會(OpenSSF)
3月底研究人員發現XZ Utils後門的供應鏈攻擊,該攻擊被植入的程式碼以CVE-2024-3094列管,當時初步確認部分版本Linux作業系統的SSHD(Secure Shell Daemon)受到波及,但也有研究人員提出警告,對方使用的手法極為精密,相關的程式碼及手法將會用於發起其他攻擊行動。
開源專案人力資源缺乏是常久以來的現象,若是有人願意出手協助處理臭蟲或是資安漏洞,照理來說,可說是求之不得。但在上述供應鏈攻擊之後,開源界也開始擔憂,攻擊者有可能假借協助的名義成為專案的維護者,並打算等到時機成熟再暗中埋入惡意程式碼。
4月15日OpenJS基金會收到一系列的電子郵件,指出他們代管的熱門JavaScript專案存在危急(Critical)漏洞,要求該委員會採取行動,並指派他們成為該專案的維護者著手處理,但究竟這項專案存在的漏洞為何,對方並未進一步說明。
OpenJS提到,這些信件雖然寄件人的名字都不同,但他們的電子郵件信箱與GitHub有關,且有所交集。他們懷疑對方企圖依循發動XZ及liblzma供應鏈攻擊模式,趁機混入專案維護團隊,待時機成熟才發動攻擊。對此,他們依循OpenJS專案的資安政策,並未授予這些用戶相關權限。
值得留意的是,OpenJS又在兩個非基金會代管的JavaScript專案察覺類似的攻擊手法,他們向專案負責人及美國網路安全暨基礎設施安全局(CISA)通報此事。而與XZ Utils供應鏈攻擊相關的事故已非首例,之前資安業者Phylum發現,有人對以程式語言Rust實作的liblzma程式庫發動供應鏈攻擊,部署XZ後門程式。
熱門新聞
2024-12-08
2024-12-08
2024-12-08
2024-11-29
2024-12-06