Precaución sobre los riesgos de tomar el control de proyectos de código abierto mediante ingeniería social

Precaución sobre los riesgos de tomar el control de proyectos de código abierto mediante ingeniería social
Precaución sobre los riesgos de tomar el control de proyectos de código abierto mediante ingeniería social
-

Open Source Security (OpenSSF) y OpenJS Foundations quieren crear conciencia entre los desarrolladores y líderes de proyectos de código abierto sobre los crecientes riesgos de adquisición a través de lo que llamamos ingeniería social. Explicaciones.

El reciente intento de puerta trasera de XZ Utils, sobre el que informamos en este artículo, puede no ser un incidente aislado, como lo demuestra un intento de adquisición similar (y creíble) interceptado por la Fundación OpenJS, que alberga proyectos JavaScript.

De ahí el llamamiento de las fundaciones Open Source Security (OpenSSF) y OpenJS a todos los mantenedores de proyectos de código abierto: debemos estar extremadamente atentos ante los intentos de tomar el control mediante la ingeniería social.

El problema y las cuestiones

El Consejo de Proyectos Cruzados de la Fundación OpenJS recibió una serie sospechosa de correos electrónicos, con diferentes nombres y correos electrónicos superpuestos relacionados con GitHub. Estos correos electrónicos instaron a OpenJS a tomar medidas para actualizar uno de sus proyectos populares de JavaScript a ” arreglar todas las vulnerabilidades críticas“, sin citar detalles. El equipo de OpenJS también identificó un patrón sospechoso similar en otros dos proyectos de JavaScript que no están alojados en su Fundación e inmediatamente señaló los posibles problemas de seguridad.

Las Fundaciones creen que es imperativo, cualquiera que sea el proyecto de código abierto en cuestión, aprender a reconocer patrones tempranos de amenazas emergente y poder tomar medidas para proteger los proyectos de código abierto.

Estos ataques de ingeniería social explotan el sentido del deber que los mantenedores tienen hacia su proyecto y su comunidad para poder manipularlos.

Los proyectos de código abierto siempre agradecen las contribuciones de cualquier persona, en cualquier lugar, pero otorgarle a alguien acceso administrativo al código fuente como mantenedor requiere un mayor nivel de confianza adquirida y no se otorga como una “solución rápida” a ningún problema. »

Las recomendaciones

Este tipo de ataques es difícil de detectar, reconocen las Fundaciones. ¿Entonces lo que hay que hacer?

Éstos son algunos de los recomendaciones formulado:

  • Adoptar (y revisar, si es necesario) el mejores prácticas de seguridad como las guías OpenSSF.
  • Utilice autenticación fuerte. Habilite la autenticación de dos factores (2FA) o la autenticación de múltiples factores (MFA). Utilice un administrador de contraseñas seguro.
  • Conserva tus códigos de recuperación en un lugar seguro, preferiblemente fuera de línea.
  • Adoptar una política de seguridad que incluya un proceso de “divulgación coordinada” para informes.
  • Utilice las mejores prácticas para fusionar código nuevo.
  • Habilite las protecciones de sucursales y las confirmaciones firmadas.
  • Limitar los derechos de publicación de npm.
  • Conozca a sus encargados y mantenedoresy hacerle un “chequeo” periódico.
  • Consulta las siguientes guías (en inglés): “Evitar la ingeniería social y los ataques de phishing” de CISA y/o “Qué es la ‘Ingeniería Social’” de ENISA.

Para obtener más información, vaya a esta página.

Me gusta eso :

me gusta cargando…

-

PREV Binance Labs apoya la misión de Movement Labs de expandir la estrategia Move Everywhere a través de inversiones
NEXT Credit Suisse podría recibir una multa de 36 millones de dólares por ventas en corto en Corea del Sur, informa Chosun Ilbo