OpenJS Foundation waarschuwt voor aanvallen op JavaScript-projecten

Dit is door OpenJS Foundation in een blogpost bekend gemaakt. Een kwaadwillende probeerde de stichting te overtuigen hem als maintainer toe te voegen aan het project, ondanks dat de gebruiker eerder nauwelijks betrokken was bij het project. Deze rechten zijn uiteindelijk niet toegekend aan de gebruiker, melden OpenJS Foundation executive director Robin Bender Ginn en OpenSSF general manager Omkhar Arasaratnam in een gezamenlijke verklaring. Ook meldden zij dat bij twee JavaScript-projecten die niet onder beheer staan van OpenJS Foundation verdachte patronen zijn ontdekt.

Het incident is door OpenJS Foundation gemeld bij de Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) en het Amerikaanse ministerie van Binnenlandse Veiligheid. Ginn en Arasaratnam roepen opensource-ontwikkelaars op alert te zijn op pogingen van kwaadwillenden om hun projecten te infiltreren.

Aanval op XZ Utils

Onlangs ging het bij het opensource-project XZ Utils wel fout. Hier bleek een kwaadwillenden erin geslaagd te zijn als maintainer door te dringen in het project, en zo kwaadwillende code in het project te verstoppen. De aanval was vermoedelijk al enkele jaren in ontwikkeling, maar werd ontdekt voordat de actor echt kon toeslaan.