solidot新版网站常见问题,请点击这里查看。

XZ 后门事件可能不是一起孤立事件

安全
Wilson (42865)发表于 2024年04月17日 15时08分 星期三

来自帕迪多街车站
OpenJS 基金会发出警告,称 XZ 后门事件可能不是一起孤立事件。在 XZ 事件中,攻击者 Jia Tan(化名)潜伏长达两年多时间,最终获得信任成为项目的共同维护者。OpenJS 基金会称,他们观察到了类似的行动,他们收到了一系列邮件,要求基金会采取行动更换其管理的流行 JavaScript 项目的维护者,以解决高危漏洞。邮件使用了 GitHub 关联邮箱。这和 XZ 项目维护者 Lasse Collin 收到的施压邮件十分相似。类似事件凸显了快速发展的开源生态系统所面临的安全风险,尤其是今天软件的依赖关系错综复杂。


https://socket.dev/blog/openjs-xz-utils-cyberattack-likely-not-an-isolated-incident
https://openjsf.org/blog/openssf-openjs-alert-social-engineering-takeovers