オープンソースプロジェクトのソーシャルエンジニアリングに警戒を - OpenSSF/OpenJS

Linuxの圧縮ユーティリティXZへのバックドアが設置がされた問題について、Open Source Security(OpenSSF)とOpenJS Foundationsは現地時間4月15日、オープンソースプロジェクトにおけるソーシャルエンジニアリングについて公式ブログで警鐘を鳴らしている。
長い間単独で開発、メンテナンスが行われていたXZ プロジェクトに参加した歴史の浅いアカウントが設置したバックドア(CVE-2024-3094)は、信頼を得てプロジェクトに参加するなど開発プロジェクトへ入り込む段階でソーシャルエンジニアリングの手法が用いられているが、OpenJS Foundationでもほとんど関与のなかったアカウントが人気のあるJavaScriptプロジェクトへの新しいメンテナーに指名してほしいと懇願する疑わしいメールを複数受け取っていることも記されている。単独ではないキャンペーンのような動きに対して、新たな脅威として認識するOpenSSF/OpenJSはソースコードの管理権限には高いレベルの信頼関係が必要だと警鐘を鳴らすとともに、いくつかの注意すべき事項を示している。
・コミュニティの比較的無名なメンバーによる、メンテナーやホストされているエンティティ(財団または会社)に対する友好的でアグレッシブで執拗な追跡
・新しい人または未知の人によるメンテナ ステータスへの昇格のリクエスト
・BLOB(Binary Large Object)データを含むPull Requests
・意図的に難読化されているソースコード
・少しずつ深刻化するセキュリティ問題（XZの場合、safe_fprintf()とfprintf()への置き換えで様子を見ていた）
・一般的なプロジェクトのコンパイル、ビルド、展開方法からの逸脱により、悪意のある外部ペイロードがBLOB(Binary Large Object)、ZIP、またはその他のバイナリアーティファクトに挿入される可能性がある
・誤った緊急性によるメンテナーのレビュー徹底性の低下
など。コミュニケーションのやりとりを通してメンテナーの義務感、判断や注意を削ぎながら、権限を奪取するソーシャルエンジニアリングを多用し、多数へのマルウェアの配布へとつなげられる標的型攻撃の形態を持っており、OpenJS teamでは潜在的なセキュリティ上の懸念として米CISA(Cybersecurity and Infrastructure Security Agency)などへの報告も行っている。
そのほか公式ブログには、プロジェクトを保護するOpenSSF Guides、脆弱性開示を調整するためのガイドなどオープンソースプロジェクトをセキュアに運営するためのリンクをまとめている。