Investigadores interrompem tentativa de aquisição credível em projetos de software open-source

A OpenJS Foundation – que fazem a monitorização de projetos JavaScript utilizados por milhões de sites a nível mundial – interrompeu uma tentativa de aquisição “credível” semelhante ao incidente do backdoor do XZ Utils. Os investigadores de segurança alertam para a necessidade urgente de resolver os pontos fracos na gestão de software open-source.

Os especialistas contam que “receberam uma série suspeita de e-mails com mensagens semelhantes, com nomes diferentes e e-mails sobrepostos associados ao GitHub”. Estes emails solicitavam que a OpenJS tomasse medidas para atualizar um dos seus populares projetos JavaScript para “resolver quaisquer vulnerabilidades críticas”, mas não mencionavam detalhes específicos.

“O(s) autor(es) do e-mail queriam que o OpenJS os designasse como um novo maintainer do projeto, apesar de ter pouco envolvimento anterior”, explicam Robin Bender Ginn, diretor executivo da OpenJS Foundation, e Omkhar Arasaratnam, manager geral da Open Source Security Foundation (OpenSSF).

De acordo com os especialistas, esta abordagem assemelha-se à do agente de ameaça “Jia Tan”, que conseguiu infiltrar-se no projeto de compressão de dados XZ Utils, tendo atacado um maintainer exausto para obter acesso ao projeto. Este incidente causou alarme entre os profissionais de cibersegurança devido à sofisticação do código inserido e ao esforço colocado na operação.

Nenhum dos indivíduos que contactou a OpenJS teve acesso privilegiado ao projeto hospedado pela organização, que possui políticas de segurança em vigor, dizem Ginn e Arasaratnam. Ambos os investigadores consideram que esta tentativa é outro exemplo demonstrativo da necessidade de os maintainers do código aberto ficarem em alerta máximo no que diz respeito a tentativas de controlo assentes em engenharia social.

Além disto, a equipa da OpenJS descobriu dois outros projetos JavaScript populares que detetaram padrões suspeitos, tendo imediatamente sinalizado a agência de cibersegurança norte-americana (CISA) e o Departamento de Segurança Interna.

Cerca de um quarto de todos os projetos de segurança de código aberto têm um único maintainer e 94% têm menos de 10, destaca Chris Hughes, consultor-chefe de segurança da Endor Labs.

O facto de o ecossistema ser mantido por pseudónimos e indivíduos desconhecidos espalhados pelo mundo torna-o “vulnerável a atores mal-intencionados que se aproveitam dessas realidades e se aproveitam de maintainers sobrecarregados com uma comunidade que lhes faz exigências sem nenhuma compensação real em troca do seu trabalho árduo e compromisso em manter o código do qual o mundo depende”, acrescenta Hughes.

O caso do backdoor do XZ Utils suscitou preocupações entre os especialistas de segurança sobre os projetos open-source. Nesta situação, o maintainer do projeto foi persuadido a entregar o acesso e a responsabilidade pelo projeto meses antes de um backdoor ser discretamente inserido no código. O problema foi descoberto por um investigador da Microsoft, permitindo que o backdoor fosse removido antes de ser utilizado em ataques.

Os funcionários da CISA Jack Cable e Aeva Black afirmaram num blog que o incidente “destaca uma mudança fundamental necessária: todos os fabricantes de tecnologia que lucram com software de código aberto devem fazer a sua parte, sendo consumidores responsáveis e contribuintes sustentáveis dos pacotes de código aberto dos quais dependem”.

“O fardo da segurança não deveria recair sobre um maintainer individual de código aberto – como aconteceu neste caso, com um efeito quase desastroso. Em vez disso, as empresas que consomem software de código aberto devem contribuir de volta – seja financeiramente ou através do tempo do developer – para garantir um ecossistema sustentável onde os projetos de código aberto tenham comunidades de manutenção saudáveis e diversificadas que sejam resilientes ao esgotamento”, escreveram.

Os profissionais da CISA consideram que, a par disto, os fabricantes de tecnologia que incorporam software open-source devem “trabalhar para garantir – diretamente ou apoiando os maintainers – que uma abordagem secure by design do desenvolvimento de software esteja a ser seguida”.

A CISA instou as empresas a proceder à realização de revisões regulares de código, bem como a utilizar ferramentas de verificação de segurança, a isolar ambientes de construção e a ter processos documentados para responder a relatórios de vulnerabilidade e incidentes de segurança.

Ginn e Arasaratnam estão a trabalhar juntamente com a Linux Foundation para publicar diretrizes e medidas que os maintainers deverão adotar no caso de serem abordados por pessoas agressivas interessadas em assumir o controlo de projetos de código aberto. A CISA e outros ainda estão a trabalhar para compreender melhor o impacto do incidente da XZ Utils, acrescentam.

“Estes ataques de engenharia social estão a explorar o senso de dever que os maintainers têm para com o seu projeto e a sua comunidade, a fim de os manipular. Prestem atenção sobre como as interações vos fazem sentir”, advertem. “Interações que criam dúvidas, sentimentos de inadequação, de não fazer o suficiente para o projeto, etc., podem fazer parte de um ataque de engenharia social… Esses tipos de ataques são difíceis de detetar ou proteger contra programas, pois aproveitam-se de uma violação de confiança através da engenharia social”.