بنیاد OpenJS در تلاش برای تصاحب پروژه جاوا اسکریپت مورد هدف قرار گرفت

بنیاد OpenJS، که بر چندین پروژه جاوا اسکریپت نظارت می‌کند، تلاش برای تصاحب حداقل یک پروژه را که بازتابی از بکدور خطرناک موجود در نسخه‌های کتابخانه فشرده سازی داده XZ Utils دارد، خنثی کرد.

کد مخربی که XZ Utils را هدف قرار می‌دهد (برای دریافت تحلیل کامل این بکدور به اینجا مراجعه کنید) طی دو سال توسط یک مهاجم ناشناس جمع‌آوری شده است که با ایجاد یک حساب GitHub و مشارکت در چندین پروژه منبع باز آغاز به کار کرد و نقش بزرگ‌تری را در مخزن XZ به عهده گرفت تا جایی که می‌توانست تغییراتی را در آن ایجاد کند و به بکدور بسیار مبهم، که اکنون با شناسه CVE-2024-3094 دنبال می‌شود، تبدیل گردد. با توجه به استفاده گسترده از کتابخانه XZ Utils، آسیب ناشی از حمله زنجیره تامین، قابل توجه است.

بنیاد OpenJS و بنیاد امنیت منبع باز (OpenSSF[1]) طی هشدار مشترکی که در پانزدهم آوریل 2024 به اشتراک گذاشتند، اظهار داشتند که شورای پروژه Cross Foundation یک سری ایمیل مشکوک با پیام‌های مشابه اما با نام‌های مختلف و ایمیل‌های مرتبط با حساب‌های کاربری GitHub یکسان دریافت کرده است.

در این پیام‌ های ایمیل از OpenJS خواسته شده است تا برای بروزرسانی یکی از پروژه‌ های محبوب جاوا اسکریپت خود جهت اصلاح آسیب ‌پذیری ‌های بحرانی بدون ارائه هیچ گونه توضیحات خاصی، اقدام کند.

نویسندگان ایمیل همچنین از OpenJS خواسته‌اند تا علیرغم مشارکت کمی که قبلاً داشتند، آنها را به عنوان همکاران جدید پروژه معرفی کند تا سطح دسترسی آنها در این پروژه افزایش یابد. دو پروژه محبوب جاوا اسکریپت دیگر که توسط OpenJS میزبانی نشده‌اند نیز فعالیت‌های مشابهی را تجربه کردند. شرکت OpenJS با این حال، به هیچ یک از این افراد، دسترسی سطح بالا به پروژه اعطا نکرد.

این حمله با همان روش مشابهی انجام شد که پشتیبان XZ Utils نیز مورد هدف قرار گرفته است. مسئول پروژه توسط شخصیت‌های ساختگی (که فقط برای این کمپین مهندسی اجتماعی ایجاد شده‌اند) مورد هدف قرار گرفت تا Jia Tan (معروف به JiaT75) را به یک همکار تبدیل کند و به او سطح دسترسی بالاتری اعطا نماید.

Jia Tan، هیچ ردپای دیجیتالی دیگری خارج از مشارکت ‌های حمله ندارد، که نشان می‌‌دهد این حساب تنها با هدف کسب اعتبار در جامعه توسعه‌دهندگان منبع باز در طول سال‌ها و در نهایت ایجاد یک بکدور مخفیانه به XZ Utils ساخته شده است.

این احتمال وجود دارد که تلاش برای حمله به XZ Utils، یک اتفاق مجزا نباشد و تمام این حملات بخشی از یک حمله گسترده‌تر برای تضعیف امنیت پروژه‌های مختلف باشند. نام پروژه‌های‌ جاوا اسکریپت فاش نشده‌اند.

آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده آمریکا (CISA[2]) دوازدهم آوریل اعلام کردند که حمله بکدور XZ Utils بر آسیب پذیری اکوسیستم منبع باز و خطرات ناشی از حمله به نگهدارنده تاکید می‌کند و تامین امنیت نباید به طور کامل بر دوش یک نگهدارنده باشد.

[1] Open Source Security Foundation

[2] Cybersecurity and Infrastructure Security Agency

منبع