Ερευνητές ασφαλείας αποκάλυψαν μια προσπάθεια υφαρπαγής, που στοχεύει το OpenJS Foundation με τρόπο παρόμοιο με το πρόσφατα αποκαλυφθέν περιστατικό που στοχεύει στο έργο JavaScript ανοιχτού κώδικα XZ Utils.
Δείτε επίσης: Νέο κακόβουλο λογισμικό JavaScript στοχεύει τράπεζες παγκοσμίως
«Το OpenJS Foundation Cross Project Council έλαβε μια ύποπτη σειρά email με παρόμοια μηνύματα, που έφεραν διαφορετικά ονόματα και αλληλοεπικαλυπτόμενα email που σχετίζονται με το GitHub», ανέφεραν σε κοινή ειδοποίηση το OpenJS Foundation και το Open Source Security Foundation (OpenSSF).
Σύμφωνα με τον Robin Bender Ginn, εκτελεστικό διευθυντή του OpenJS Foundation, και τον Omkhar Arasaratnam, γενικό διευθυντή στο OpenSSF, τα μηνύματα ηλεκτρονικού ταχυδρομείου προέτρεπαν την OpenJS να λάβει μέτρα για να ενημερώσει ένα από τα δημοφιλή έργα JavaScript για την αποκατάσταση κρίσιμων τρωτών σημείων χωρίς να παρέχει λεπτομέρειες.
Οι συντάκτες του email ζήτησαν επίσης από το OpenJS Foundation να τους ορίσει ως νέο συντηρητή του έργου παρά το γεγονός ότι είχαν μικρή προηγούμενη συμμετοχή. Δύο άλλα δημοφιλή έργα JavaScript που δεν φιλοξενούνται από το OpenJS λέγεται επίσης ότι ήταν στο τέλος παρόμοιας δραστηριότητας.
Τούτου λεχθέντος, σε κανένα από τα άτομα που επικοινώνησαν με το OpenJS δεν παραχωρήθηκε προνομιακή πρόσβαση στο έργο που φιλοξενείται από το OpenJS.
Δείτε ακόμα: Το ισχυρό JavaScript Dropper PindOS διανέμει malware Bumblebee και IcedID
Το περιστατικό στο ίδρυμα OpenJS Foundation φέρνει στο επίκεντρο τη μέθοδο με την οποία ο μοναχικός συντηρητής του XZ Utils στοχοποιήθηκε από πλασματικά πρόσωπα που δημιουργήθηκαν ρητά για κάτι που πιστεύεται ότι είναι μια καμπάνια engineering-cum-pressure.
Αυτό έχει αυξήσει την πιθανότητα ότι η απόπειρα υφαρπαγής του XZ Utils μπορεί να μην είναι ένα μεμονωμένο περιστατικό και ότι είναι μέρος μιας ευρύτερης εκστρατείας για την υπονόμευση της ασφάλειας διαφόρων έργων, δήλωσαν οι δύο ομάδες ανοιχτού κώδικα. Τα ονόματα των έργων JavaScript δεν αποκαλύφθηκαν.
Το περιστατικό με το backdoor του XZ Utils υπογραμμίζει επίσης την «ευθραυστότητα» του οικοσυστήματος ανοιχτού κώδικα και τους κινδύνους που δημιουργούνται από την εξουθένωση των συντηρητών, δήλωσε την περασμένη εβδομάδα η Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομών των ΗΠΑ (CISA).
Ο οργανισμός συνιστά στους κατασκευαστές τεχνολογίας και τους διαχειριστές συστημάτων όπως το OpenJS Foundation, που ενσωματώνουν στοιχεία ανοιχτού κώδικα είτε άμεσα είτε για να υποστηρίζουν τους συντηρητές στον περιοδικό έλεγχο του πηγαίου κώδικα, στην εξάλειψη ολόκληρων κατηγοριών τρωτών σημείων και στην εφαρμογή άλλων αρχών ασφαλούς σχεδιασμού.
Δείτε επίσης: Google: Επεκτείνει τα προγράμματα exploit reward για Chrome V8, Google Cloud
Η JavaScriptείναι μια ελαφριά ερμηνευμένη γλώσσα προγραμματισμού, με συναρτήσεις πρώτης κατηγορίας. Ενώ είναι πιο γνωστή ως η γλώσσα δέσμης ενεργειών για ιστοσελίδες, πολλά περιβάλλοντα χωρίς πρόγραμμα περιήγησης τη χρησιμοποιούν επίσης, όπως το Node.js, το Apache CouchDB και το Adobe Acrobat. Η JavaScript είναι μια γλώσσα βασισμένη σε πρωτότυπα, πολλαπλών παραδειγμάτων, μονού νήματος, δυναμική, που υποστηρίζει αντικειμενοστραφή, επιτακτικά και δηλωτικά στυλ (π.χ. λειτουργικός προγραμματισμός). Οι δυναμικές δυνατότητες της JavaScript περιλαμβάνουν την κατασκευή αντικειμένων χρόνου εκτέλεσης, λίστες παραμέτρων μεταβλητών, μεταβλητές συναρτήσεων, δημιουργία δυναμικού σεναρίου (μέσω eval), ενδοσκόπηση αντικειμένων (μέσω βοηθητικών προγραμμάτων για…in και Object) και ανάκτηση πηγαίου κώδικα (οι συναρτήσεις JavaScript αποθηκεύουν το κείμενο προέλευσης και μπορεί να ανακτηθεί μέσω της toString()).
Πηγή: thehackernews
