De backdoor in de Linux compressietool xz was mogelijk geen op zichzelf staand incident, stellen de Open Source Security Foundation en de OpenJS Foundation in een gezamenlijke verklaring. De afgelopen tijd zouden meerdere pogingen zijn onderschept om open-source softwareprojecten te infiltreren.
De organisaties claimen dat ten minste drie verschillende JavaScript-projecten het doelwit zijn geweest van actoren die beheerders vroegen om ‘verdachte’ updates op te nemen of die ongevraagd mede-beheerder wilden worden van projecten.
De twee zeggen uit veiligheidsoverwegingen niet om welke software het gaat, maar volgens Omkhar Arasaratnam, de general manager van de Open Source Security Foundation (OpenSSF), betreft het ten minste één toepassing die wekelijks tientallen miljoenen keren wordt gedownload.
Gestopt voordat men schade kon aanrichten
Hoewel niet precies duidelijk is geworden wat de kwaadwillenden precies hoopten te bereiken, zegt Arasaratnam dat zijn club de poging het project te infiltreren heeft gestopt ‘voordat ze zo ver konden komen’. Het vermoeden is dat het net als bij het xz-scenario ging om het bouwen van backdoors in bestaande projecten.
De beide open-source belangengroepen roepen alle beheerders op extra alert te zijn op pogingen tot social engineering. In het geval van de xz-backdoor oefende de persoon of groepering druk uit op Linux-distributeurs om gecompromitteerde versies van xz op te nemen onder het mom van nieuwe functionaliteiten.
Anderen -vermoedelijk medeplichtigen- drongen er bij de maker van de tool op aan dat hij het stokje moest overdragen vanwege de geringe hoeveelheid updates. De ‘opvolger’ had al meerdere bijdragen gedaan en kreeg door steunbetuigingen van anderen de schijn mee.
Manipulatietactieken tijdig herkennen
In hun verklaring hebben de beide organisaties tips opgenomen om dergelijke manipulatietactieken tijdig te herkennen. Het gaat onder andere om het vriendelijk maar volhardend benaderen van de beheerder door relatief onbekende leden van de gemeenschap, verzoeken van onbekende personen om de beheerderstatus te krijgen, het gebruik van valse identiteiten en pull requests met blobs als artefacten. (De xz backdoor was bijvoorbeeld een slim vervaardigd bestand dat deel uitmaakte van de test suite, in tegenstelling tot broncode onleesbaar voor mensen).
Andere rode vlaggen zijn opzettelijk moeilijk te begrijpen broncode en geleidelijk escalerende beveiligingsproblemen om te zien of deze worden opgemerkt. En last but not least het creëren van een vals gevoel van urgentie, daarmee inspelend op het verantwoordelijkheidsgevoel van een beheerder
Zowel de OpenJS als Open Source Security Foundations hebben de cybersecurity-waakhond van de Amerikaanse overheid op de hoogte gesteld van de infiltratiepogingen. Die reageerde daarop overigens niet direct.
Lees meer: xz-Utils weer beschikbaar op GitHub, maker doet onderzoek naar backdoor