Wouter Hoeffnagel - 18 april 2024

OpenJS Foundation waarschuwt voor aanvallen op JavaScript-projecten

OpenJS Foundation, dat diverse JavaScript-gebaseerde projecten beheert, meldt een geavanceerde aanval op een populair JavaScript-project te hebben geblokkeerd. Het waarschuwt dat meer van dergelijke aanvallen kunnen volgen.

OpenJS Foundation waarschuwt voor aanvallen op JavaScript-projecten image

Dit is door OpenJS Foundation in een blogpost bekend gemaakt. Een kwaadwillende probeerde de stichting te overtuigen hem als maintainer toe te voegen aan het project, ondanks dat de gebruiker eerder nauwelijks betrokken was bij het project. Deze rechten zijn uiteindelijk niet toegekend aan de gebruiker, melden OpenJS Foundation executive director Robin Bender Ginn en OpenSSF general manager Omkhar Arasaratnam in een gezamenlijke verklaring. Ook meldden zij dat bij twee JavaScript-projecten die niet onder beheer staan van OpenJS Foundation verdachte patronen zijn ontdekt.

Het incident is door OpenJS Foundation gemeld bij de Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) en het Amerikaanse ministerie van Binnenlandse Veiligheid. Ginn en Arasaratnam roepen opensource-ontwikkelaars op alert te zijn op pogingen van kwaadwillenden om hun projecten te infiltreren.

Aanval op XZ Utils

Onlangs ging het bij het opensource-project XZ Utils wel fout. Hier bleek een kwaadwillenden erin geslaagd te zijn als maintainer door te dringen in het project, en zo kwaadwillende code in het project te verstoppen. De aanval was vermoedelijk al enkele jaren in ontwikkeling, maar werd ontdekt voordat de actor echt kon toeslaan.

Datacollectief BW 13-05-2024 tm 03-06-2024 BW Dutch IT Partner Day tm 11-06-2024
Dutch IT Partner Day 11 juni2024