Tag: OpenJS

XZ Utils へのバックドア混入:そこで用いられたソーシャル・エンジニアリングを紐解く

Attacker Social-Engineered Backdoor Code Into XZ Utils

2024/04/25 DarkReading — SolarWinds や CodeCov が経験したような、広範なソフトウェア・サプライチェーンへの攻撃において、敵対者には高度な技術的スキルは必要ない。 必要なのは、ほんの少しの時間と、巧妙なソーシャル・エンジニアリングだけということもある。今年の初めに、Linux システムの OSS である XZ Utils データ圧縮ユーティリティに、バックドアを仕込んだ人物も、きっと、そうだっただろう。今週に発表された、このインシデントに対する Kaspersky による分析と、ここ数日における他の企業からの同様の報告から判明したのは、このユーティリティにバックドアを組み込んだ攻撃者は、ほぼ全面的にソーシャル・エンジニアリングを頼っていたことだ。

Continue reading “XZ Utils へのバックドア混入:そこで用いられたソーシャル・エンジニアリングを紐解く”

OpenJS Foundation/OpenSSF の共同アラート:OpenJS が乗っ取りの標的にされた

OpenJS Foundation Targeted in Potential JavaScript Project Takeover Attempt

2024/04/16 TheHackerNews — 先日に発覚したオープンソースの XZ Utils バックドア騒動と似た手口で、信頼を悪用して OpenJS Foundation を標的とし、 乗っ取ろうとする試みが、セキュリティ研究者たちにより発見された。OpenJS Foundation と Open Source Security Foundation (OpenSSF) は共同アラートの中で、「OpenJS Foundation Cross Project Council は、GitHub 関連のメールと重複するが、名前が異なる一連の不審なメールを受け取った」と述べている。

Continue reading “OpenJS Foundation/OpenSSF の共同アラート:OpenJS が乗っ取りの標的にされた”