专家警告称针对开源软件的更多威胁可能即将到来

专家警告称，最近针对XZUtils供应链的攻击并不是孤立事件，而是一场试图破坏众多JavaScript项目的更大规模社会工程活动的一部分。

开源安全基金会(OSSF)和OpenJS基金会在一篇联合博客文章中表示，OpenJS基金会跨项目委员会收到了“一系列可疑的电子邮件”，这些电子邮件彼此相似，并提到了类似的与GitHub相关的电子邮件。

在邮件中，发件人敦促OpenJS更新其流行的JavaScript项目之一，以“解决任何关键漏洞”。此外，他们还要求成为该项目的新维护者——这显然是在XZUtils供应链攻击中完成的。

博客补充道，幸运的是，这些攻击并没有成功，因为这些人都没有获得任何特权访问权限。

尽管如此，维护者应该警惕那些“友好但咄咄逼人、执着”的人，他们要求获得不同项目的维护者地位——尤其是那些相对不知名的社区成员。即使是支持这些人的人也不应完全信任，因为他们很可能是“傀儡”——用假身份努力实现同一目标的人。

最后，攻击者会试图建立一种虚假的紧迫感，以便维护人员放松警惕并授予他们特权访问权限。

研究人员警告称：“这些社会工程攻击利用了维护者对项目和社区的责任感，以操纵他们。注意互动给你带来的感受。产生自我怀疑、无能感、对项目做得不够等感觉的互动可能是社会工程攻击的一部分。”

　　免责声明：本文由用户上传，与本网站立场无关。财经信息仅供读者参考，并不构成投资建议。投资者据此操作，风险自担。 如有侵权请联系删除！