image

OpenSSF waarschuwt opensource-ontwikkelaars voor social engineering

woensdag 24 april 2024, 13:20 door Redactie, 3 reacties

De Open Source Security Foundation (OpenSSF) en OpenJS Foundation waarschuwen opensource-ontwikkelaars voor social engineering, zoals bij de ontwikkelaar van datacompressietool XZ werd toegepast. Antivirusbedrijf Kaspersky verwacht dat de komende maanden meer gecompromitteerde opensourceprojecten bekend zullen worden. Eerder publiceerde Google-onderzoeker Russ Cox een overzicht van hoe social engineering bij de XZ-ontwikkelaar werd toegepast.

Eén of meerdere aanvallers die zich voordeden als een persoon genaamd 'Jia Tan' wisten het vertrouwen van XZ-ontwikkelaar Lasse Collin te winnen en konden uiteindelijk een backdoor aan code van het project toevoegen. Collin heeft aangegeven met een eigen analyse van de aanval te komen, maar de XZ-ontwikkelaar heeft zijn website sinds 15 april niet meer bijgewerkt.

Volgens de OpenJS Foundation en Open Source Security Foundation is de aanval op XZ waarschijnlijk geen geïsoleerd incident. Ze roepen dan ook alle opensource-ontwikkelaars op om alert te zijn op social engineering, dergelijke patronen te leren herkennen en maatregelen te nemen om hun opensourceprojecten te beschermen. De stichtingen hebben ook verschillende voorbeelden gegeven van hoe social engineering is te herkennen.

"Deze social engineering-aanvallen maken misbruik van het plichtsgevoel dat maintainers voor hun project en community hebben om ze zo te manipuleren", aldus de stichtingen. "Let op hoe interacties je laten voelen. Interacties die zorgen voor twijfel, het gevoel tekort te schieten of het niet genoeg doen aan het project, etc., kunnen onderdeel van een social engineering-aanval zijn", aldus de stichtingen.

"Het is duidelijk dat social engineering veel minder technische vereisten heeft om volledige toegang tot ontwikkelomgevingen te krijgen dan bij supplychain-aanvallen zoals SolarWinds, M.E.Doc en Asus het geval was", zegt antivirusbedrijf Kaspersky. De virusbestrijder verwacht dat de komende maanden meer incidenten zoals XZ bekend zullen worden.

Reacties (3)
24-04-2024, 13:47 door Anoniem
Let op hoe interacties je laten voelen. Interacties die zorgen voor twijfel, het gevoel tekort te schieten of het niet genoeg doen aan het project, etc., kunnen onderdeel van een social engineering-aanval zijn", aldus de stichtingen.
We hebben hier inderdaad met een APT te maken, en dus kun je meer kwaadaardige pogingen verwachten.
Mijn advies is: laat iemand nooit zomaar toe als maintainer, en helemaal niet als persoon onbekend is. Pas op voor manipulatie-technieken die te herkennen zijn dat er op 'de man' wordt gespeeld en die de bedoeling hebben om van de regels, de security of afspraken af te wijken.
25-04-2024, 10:55 door Anoniem
De virusbestrijder verwacht dat de komende maanden meer incidenten zoals XZ bekend zullen worden.
Kaspersky probeert angst te zaaien zodat je hun antivirus gaat aanschaffen.
PS goed initiatief dat OpenSSF
26-04-2024, 10:16 door Anoniem
Door Anoniem:
De virusbestrijder verwacht dat de komende maanden meer incidenten zoals XZ bekend zullen worden.
Kaspersky probeert angst te zaaien zodat je hun antivirus gaat aanschaffen.
PS goed initiatief dat OpenSSF
En als je hun antivirus hebt heeft Putin een achterdeur geregeld.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.