17.04.2024
Güvenlik araştırmacıları, açık kaynak XZ Utils projesine yönelik yakın zamandaki bir olayı hatırlatan, OpenJS Vakfı'nı hedef alan bir sızıntı girişimi keşfettiler.
OpenJS Vakfı Çapraz Proje Konseyi, GitHub ile ilişkilendirilmiş farklı isimlerden gelen ancak benzer içerikli şüpheli e-postalar aldı. OpenJS Vakfı ve Açık Kaynak Güvenlik Vakfı (OpenSSF) tarafından yapılan ortak bir uyarıda,
"OpenJS Vakfı'na bir JavaScript projesindeki kritik açıkları ele alması için belirli detaylar belirtmeden" ısrar eden ve daha önce sınırlı bir katılımı olmasına rağmen proje sahipleri olarak atanmayı talep eden bu e-postalar bildirildi.
Bu olayda, OpenJS'ye başvuran kişilerden hiçbirine OpenJS tarafından ayrıcalıklı erişim verilmediğinin altı çizilmelidir.
Bu olay, XZ Utils'in tek geliştiricisinin sahte kişiliklerle muhtemelen Jia Tan'ı (aka JiaT75) projenin bir geliştircisi yapmak için sosyal mühendislik ve baskı kampanyasının bir parçası olan taktiklerini gün yüzüne çıkarıyor.
Bu, XZ Utils olayının yalnızca izole bir olay olmadığına, ancak geniş bir kampanyanın parçası olarak çeşitli projelerin güvenliğini tehlikeye atmak için tasarlandığını gösteren endişeleri arttırıyor. Ancak, adı geçen JavaScript projelerinin isimleri açıklanmadı.
Jia Tan'ın dijital izi, sınırlı ve hesabın zamanla açık kaynak topluluğunda güvenilirlik kazanmak için oluşturulduğunu ve sonunda XZ Utils'e gizli bir arka kapı eklemek için kullanıldığını öne sürülmektedir.
Bu tür kampanyaların planlanması ve uygulanması sırasında gereken sofistike ve sabırlı yaklaşımı vurgular; Linux dağıtımlarında geniş bir şekilde kullanılan ve kuruluşlar ve kullanıcılar için tedarik zinciri saldırı riski oluşturan XZ Utils gibi gönüllü çalışan açık kaynak projelerini hedef alır.
XZ Utils arka kapı olayı ayrıca, ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) tarafından geçen hafta vurgulandığı gibi, açık kaynak ekosisteminin savunmasızlığını ve bakımı yapacak kişilerin tükenmesi risklerini de ortaya koyuyor.
"Güvenlik sorumluluğunun, bu durumda olduğu gibi, neredeyse felaketle sonuçlanabilecek şekilde, bireysel açık kaynak bakıcılarının tekeline düşmemesi gerektiğini" belirten CISA yetkilileri Jack Cable ve Aeva Black ifade etti.