ال مؤسسة الأمن مفتوح المصدر (OpenSSF) و مؤسسة OpenJS، التي تدعم العديد من مشاريع البرامج مفتوحة المصدر (OSS) المستندة إلى JavaScript، حذرت من محاولة الهندسة الاجتماعية التي تمت ملاحظتها في وقت سابق من أبريل 2024 مقابل مكتبة ضغط البيانات XZ Utils – قد لا يكون حادثا معزولا.
شهد هجوم XX Utils قيام جهة تهديد تُعرف باسم JiaTan بالتسلل إلى مشروع XZ Utils على مدار عدة سنوات، حيث أصبحت موثوقة من قبل القائمين على المشروع وساهمت في تحديثات مشروعة للبرنامج قبل محاولة التسلل إلى ثغرة أمنية خلفيّة، CVE-2024-3094 ، والتي كان من الممكن أن تسبب مذبحة لولا التصرفات السريعة لباحث حاد البصر.
الآن، يدعو OpenSSF وOpenJS جميع مشرفي المصادر المفتوحة إلى التنبيه لمحاولات استحواذ مماثلة بعد أن تلقى مجلس مشروع OpenJS Cross عدة رسائل بريد إلكتروني مشبوهة تطالبهم بتحديث أحد مشاريعه لمعالجة نقاط الضعف الحرجة دون ذكر أي تفاصيل محددة.
قال روبن بندر جين، المدير التنفيذي لمؤسسة OpenJS، وأومكار أراساراتنام، المدير العام لـ OpenSSF، إن مؤلفي رسائل البريد الإلكتروني، التي تحمل أسماء مختلفة ولكنها جاءت من حسابات متداخلة مرتبطة بـ GitHub، أرادوا أن يتم تعيينهم كمشرفين على المشروع على الرغم من قلة مشاركتهم المسبقة. ، على غرار الطريقة التي تمكنت بها JiaTan من شق طريقها إلى مشروع XZ Utils.
وأضافوا أن فريق OpenJS أصبح أيضًا على دراية بنمط مماثل في مشروعين آخرين لجافا سكريبت مستخدمين على نطاق واسع ولا يستضيفهما بنفسه، وقد أبلغوا عن المخاطر الأمنية المحتملة لقادة OpenJS المعنيين، بالإضافة إلى سلطات الأمن السيبراني الأمريكية.
“لم يتم منح أي من هؤلاء الأفراد امتياز الوصول إلى المشروع الذي يستضيفه OpenJS. “يحتوي المشروع على سياسات أمنية معمول بها، بما في ذلك تلك التي حددتها مجموعة العمل الأمنية التابعة للمؤسسة،” كتب بندر جين وأراساراتنام في منشور مدونة مشترك تفاصيل الهجوم.
“ترحب المشاريع مفتوحة المصدر دائمًا بالمساهمات من أي شخص، في أي مكان، ومع ذلك فإن منح شخص ما حق الوصول الإداري إلى كود المصدر كمشرف يتطلب مستوى أعلى من الثقة المكتسبة، ولا يتم تقديمه كـ “حل سريع” لأي مشكلة.
وقالوا: “بالتعاون مع مؤسسة Linux، نريد رفع مستوى الوعي بهذا التهديد المستمر لجميع القائمين على صيانة المصادر المفتوحة، وتقديم إرشادات وموارد عملية من مجتمعنا الواسع من الخبراء في مجال الأمن والمصادر المفتوحة”.
ماذا تلاحظ من الخارج
من بين أمور أخرى، يجب على أعضاء مشروع OSS أن يكونوا متيقظين للسعي الودي، ولكن العدواني والمستمر للحصول على حالة المشرف من قبل أي أعضاء مجتمع جدد أو غير معروفين نسبيًا، والطلبات الجديدة للترقية، والتأييد من أعضاء المجتمع الآخرين غير المعروفين، والتي قد تكون حسابات دمية جورب. .
يجب أن يكون الأعضاء أيضًا على دراية بطلبات السحب (PRs) التي تحتوي على النقط كعناصر أثرية – كان الباب الخلفي XX عبارة عن ملف لم يكن من الممكن قراءته بواسطة الإنسان، وليس كود المصدر؛ كود المصدر المبهم أو الذي يصعب فهمه عمدًا؛ المشكلات الأمنية التي يبدو أنها تتصاعد ببطء – بدأ هجوم XZ بتعديل اختبار غير ضار نسبيًا؛ الانحراف عن إجراءات تجميع المشروع النموذجي وإنشائه ونشره؛ والشعور الزائف بالإلحاح، خاصة إذا بدا أن شخصًا ما يحاول إقناع المشرف بتجاوز عنصر التحكم أو تسريع المراجعة.
كتب بندر جين وأراساراتنام: “إن هجمات الهندسة الاجتماعية هذه تستغل الشعور بالواجب الذي يتمتع به المشرفون تجاه مشروعهم ومجتمعهم من أجل التلاعب بهم”. “انتبه إلى ما تشعر به التفاعلات. التفاعلات التي تخلق الشك الذاتي، والشعور بعدم الكفاءة، وعدم القيام بما يكفي للمشروع، وما إلى ذلك، قد تكون جزءًا من هجوم الهندسة الاجتماعية.
قد يكون من الصعب اكتشاف هجمات الهندسة الاجتماعية أو الحماية منها عبر وسائل برمجية لأنها تفترس المشاعر الإنسانية والثقة، لذلك، على المدى القصير، من المهم أيضًا مشاركة أكبر قدر ممكن من المعلومات حول الأنشطة المشبوهة المحتملة، دون خجل أو حكم. حتى يتمكن أفراد المجتمع من تعلم استراتيجيات الحماية.
كريس هيوز, مختبرات إندور قال كبير مسؤولي الأمن وزميل الابتكار السيبراني في وكالة الأمن السيبراني وأمن البنية التحتية (CISA)، إنه لم يكن متفاجئًا عندما سمع عن المزيد من هجمات الهندسة الاجتماعية واسعة النطاق ضد عالم المصادر المفتوحة – علاوة على ذلك، نظرًا لحصول هجوم XZ على دعاية كبيرة، فمن المحتمل أن وستحاول الجهات الفاعلة الخبيثة الأخرى استخدام أساليب مماثلة في المستقبل.
“من المحتمل أن نشك في أن العديد من هذه العمليات جارية بالفعل وربما تكون ناجحة بالفعل ولكن لم يتم الكشف عنها أو تحديدها بعد. تعاني معظم المشاريع مفتوحة المصدر من نقص التمويل بشكل لا يصدق وتديرها مجموعة واحدة أو صغيرة من المشرفين، لذا فإن استخدام هجمات الهندسة الاجتماعية عليها ليس مفاجئًا ونظرًا لمدى ضعف النظام البيئي والضغوط التي يتعرض لها المشرفون، فمن المرجح أن يرحبوا بالمساعدة. العديد من الحالات”، على حد تعبيره.
“إذا قام المهاجمون بعمل جيد، فقد يكون من الصعب على المشرفين تحديد أي مشاركة من المهتمين بالتعاون والمساهمة في المشاريع مقابل أولئك الذين لديهم نوايا خبيثة.”
بشكل عام، حذر هيوز من أن هذا يشكل خطرًا كبيرًا على مجتمع المصادر المفتوحة بشكل عام، حيث أن حوالي ربع جميع المشاريع مفتوحة المصدر لديها مشرف واحد فقط، و94٪ أقل من 10. ثم ينتقل هذا الخطر إلى المنظمات التي تستخدم المصادر المفتوحة مكونات البرمجيات المصدر في برامجهم.
“هذا يزيد من الوعي بالقضية الأكبر المتمثلة في مدى غموض النظام البيئي لبرمجيات المصدر المفتوح. غالبًا ما تتم صيانة المكونات والمشاريع التي تدير البنية التحتية الرقمية الحديثة بالكامل بواسطة أسماء مستعارة وأفراد غير معروفين منتشرين في جميع أنحاء العالم. علاوة على ذلك، تتم صيانة العديد من مشاريع برمجيات المصدر المفتوح من قبل فرد واحد أو مجموعة صغيرة من الأفراد – غالبًا في أوقات فراغهم كهواية أو مشروع شغف وعادةً دون أي نوع من التعويض.
“وهذا يجعل النظام البيئي بأكمله عرضة للجهات الفاعلة الخبيثة التي تستغل هذه الحقائق وتستفيد من القائمين على الصيانة المرهقين مع مطالبة المجتمع لهم دون أي تعويض فعلي مقابل عملهم الشاق. والالتزام بالحفاظ على الكود الذي يعتمد عليه العالم،” هو قال.
