XZ 后门事件可能不是一起孤立事件
2024-4-17 15:8:45 Author: www.solidot.org(查看原文) 阅读量:7 收藏

OpenJS 基金会发出警告,称 XZ 后门事件可能不是一起孤立事件。在 XZ 事件中,攻击者 Jia Tan(化名)潜伏长达两年多时间,最终获得信任成为项目的共同维护者。OpenJS 基金会称,他们观察到了类似的行动,他们收到了一系列邮件,要求基金会采取行动更换其管理的流行 JavaScript 项目的维护者,以解决高危漏洞。邮件使用了 GitHub 关联邮箱。这和 XZ 项目维护者 Lasse Collin 收到的施压邮件十分相似。类似事件凸显了快速发展的开源生态系统所面临的安全风险,尤其是今天软件的依赖关系错综复杂。

https://socket.dev/blog/openjs-xz-utils-cyberattack-likely-not-an-isolated-incident
https://openjsf.org/blog/openssf-openjs-alert-social-engineering-takeovers


文章来源: https://www.solidot.org/story?sid=77917
如有侵权请联系:admin#unsafe.sh