妨害行為の標的はXZ Utilsだけではなかった可能性があるとオープンソース財団が警告

最近 Linux コミュニティに懸念の波紋を広げた XZ Utils バックドアは、まだ始まりにすぎなかったのかもしれません。

Open Source Security Foundation と OpenJS Foundation の共同声明によると、XZ Utils バックドア (CVE-2024-3094) は単独のインシデントではなかった可能性があります。

XZ Utils の物語をご存じない方のために説明しておくと、私の尊敬する同僚である Steven Vaughn-Nichols がこの話を「このバックドアは Linux をどこでも感染させそうになった: XZ Utils 危機一髪」で取り上げています。つまり、Microsoft のエンジニアは、XZ データ圧縮ユーティリティの管理者である Jia Tan が、攻撃者が Linux システムを乗っ取ることができるようにコードにバックドアを挿入したことを発見しました。

同様の信頼できる乗っ取りの試みの証拠があることを示唆するこれらの根拠は、誰もが注意を払う必要があることを意味します。

OpenJS Foundation Cross Project Council は、OpenJS に対し、人気のある JavaScript プロジェクトの 1 つを更新して「重大な脆弱性に対処する」よう求める一連の不審な電子メールを受け取りました。不審なメールには具体的な内容は示されていませんでしたが、作成者は OpenJS に自分たちをプロジェクトの新しいメンテナーとして指定してもらいたいと考えていました。これが、Jin Tan が XZ にバックドアを挿入した方法です。

財団によれば、標的となったのはこのプロジェクトだけではなかったという。少なくとも他の 2 つのプロジェクトも標的にされました。セキュリティ上のリスクはすぐに指摘されました。

OpenJS Foundationは共同声明の中で、「Linux Foundationと協力して、すべてのオープンソース管理者に対してこの進行中の脅威に対する認識を高め、セキュリティとオープンソースの専門家からなる広範なコミュニティから実践的なガイダンスとリソースを提供したいと考えている」と述べた。 」

次に 2 つの財団は、ソーシャル エンジニアリング乗っ取りにおける既知の不審なパターンを列挙しました。

• フレンドリーでありながら積極的なメンテナーの追求
• メンテナステータスへの昇格のリクエスト
• 他の未知の当事者からの支持
• アーティファクトとして BLOB を含むプル リクエスト
• 意図的に難読化された、または理解しにくいソースコード
• セキュリティ問題の段階的なエスカレーション
• 一般的なプロジェクトのコンパイル、ビルド、展開の実践からの逸脱
• 誤った緊迫感

あなた (またはあなたのプロジェクト) がそのような動作に遭遇した場合は、OpenSSF ガイドと CISA のブログ投稿「ソーシャル エンジニアリングとフィッシング攻撃の回避」を必ず読んでください。