OpenJS Foundation／OpenSSF の共同アラート：OpenJS が乗っ取りの標的にされた

OpenJS Foundation Targeted in Potential JavaScript Project Takeover Attempt

2024/04/16 TheHackerNews — 先日に発覚したオープンソースの XZ Utils バックドア騒動と似た手口で、信頼を悪用して OpenJS Foundation を標的とし、 乗っ取ろうとする試みが、セキュリティ研究者たちにより発見された。OpenJS Foundation と Open Source Security Foundation (OpenSSF) は共同アラートの中で、「OpenJS Foundation Cross Project Council は、GitHub 関連のメールと重複するが、名前が異なる一連の不審なメールを受け取った」と述べている。

OpenJS Foundation の Executive Director である Robin Bender Ginn と、OpenSSF の GM である Omkhar Arasaratnam によると、これらのメールは、OpenJS に対して人気の JavaScript プロジェクトの１つをアップデートし、致命的な脆弱性を修正するように求めるものだったという。

対象となるプロジェクトに、OpenJS はほとんど関与していないが、メールの送信者たちは、自身を新たなメンテナに指名してほしいと求めていたという。さらに、OpenJS がホストしていない、他の２つの人気の JavaScript プロジェクトでも、同様の不審な活動が確認されているようだ。

OpenJS は、それらの不審なメールの送信者に対して、OpenJS がホストするプロジェクトへの特権的なアクセス権を与えるようなことはしなかった。

この一連の騒動により浮き彫りになったのは、XZ Utils 侵害との類似性である。XZ Utils の唯一のメンテナが標的とされ、Jia Tan (別名 JiaT75) をプロジェクトの共同メンテナにするための、ソーシャル・エンジニアリングとプレッシャー・キャンペーンのが、架空のペルソナにより実施されたのは、つい先日のことである。

今回の OpenJS へのアプローチについて考えると、XZ Utils での騒動は単一のインシデントではなく、各種のプロジェクトにおけるセキュリティを弱体化させようとする、広範なキャンペーンの一環である可能性が高まったと、２つのオープンソース・グループは述べている。なお、不審なメールで取り上げていた JavaScript プロジェクトの名前は、明らかにされていない。

現時点において、XZ Utils での活動以外において、Jia Tan のデジタル・フットプリントは確認されていない。つまり、このアカウントの目的は、何年にもわたってオープンソース開発コミュニティの信頼を獲得し、XZ Utils へのステルス・バックドアの注入のためだけに作成されたものだと推測される。

多くの Linux ディストリビューションで使用されているオープンソースの領域において、ボランティアが運営するプロジェクトを標的とし、洗練された技術で執拗にキャンペーンを計画／実行することで、組織やユーザーをサプライチェーン攻撃の危険にさらすという、脅威アクターたちの戦術が見えてきた。

4月12日に米国の CISA (Cybersecurity and Infrastructure Security Agency) は、この XZ Utils のバックドア騒動について、オープンソースのエコシステムの “脆弱さ” と、メンテナの燃え尽きによる、深刻なリスクが浮き彫りにされていると述べている。

CISA の Jack Cable と Aeva Black は、「セキュリティの負担は、オープンソースのメンテナ個人に負わされるべきでものではない。オープンソース・ソフトウェアから利益を得ている全ての技術メーカーには、自分たちが依存しているオープンソース・パッケージの利用者として、また持続性への貢献者として、その役割を果たす必要がある」と述べている。

オープンソースのコンポーネントを組み込んでいる技術メーカーやシステム運用者に対して、同機関が推奨するのは、定期的にソースコードを監査し、脆弱性のクラス全体を排除し、Secure by Design の原則を実装するために、メンテナたちをサポートすることである。

Bender Ginn と Arasaratnam は、「最近のソーシャル・エンジニアリング攻撃は、メンテナたちがプロジェクトやコミュニティに対して抱いている義務感を悪用して、彼らを操ろうとするものだ。このようなインタラクションにより、どのような感情を抱くことになるのかを想像してみよう。自責の念や、不甲斐なさ、そして、プロジェクトに対する不十分なサポートといった、感情を生み出すようなインタラクションは、ソーシャル・エンジニアリング攻撃の一部かもしれない」と警告している。

文中でも解説されていよう、XZ Utils のバックドア騒動と、まるで同じ展開ですね。おそらく、他にも、このような悪意のアプローチが取られているのだろうと想像してしまいます。よろしければ、カテゴリ SocialEngineering も、ご利用ください。