导读 专家警告称,最近针对XZUtils供应链的攻击并不是孤立事件,而是一场试图破坏众多JavaScript项目的更大规模社会工程活动的一部分。开源安全...
专家警告称,最近针对XZUtils供应链的攻击并不是孤立事件,而是一场试图破坏众多JavaScript项目的更大规模社会工程活动的一部分。
开源安全基金会(OSSF)和OpenJS基金会在一篇联合博客文章中表示,OpenJS基金会跨项目委员会收到了“一系列可疑的电子邮件”,这些电子邮件彼此相似,并提到了类似的与GitHub相关的电子邮件。
在邮件中,发件人敦促OpenJS更新其流行的JavaScript项目之一,以“解决任何关键漏洞”。此外,他们还要求成为该项目的新维护者——这显然是在XZUtils供应链攻击中完成的。
博客补充道,幸运的是,这些攻击并没有成功,因为这些人都没有获得任何特权访问权限。
尽管如此,维护者应该警惕那些“友好但咄咄逼人、执着”的人,他们要求获得不同项目的维护者地位——尤其是那些相对不知名的社区成员。即使是支持这些人的人也不应完全信任,因为他们很可能是“傀儡”——用假身份努力实现同一目标的人。
最后,攻击者会试图建立一种虚假的紧迫感,以便维护人员放松警惕并授予他们特权访问权限。
研究人员警告称:“这些社会工程攻击利用了维护者对项目和社区的责任感,以操纵他们。注意互动给你带来的感受。产生自我怀疑、无能感、对项目做得不够等感觉的互动可能是社会工程攻击的一部分。”