De Open Source Security Foundation (OpenSSF) en OpenJS Foundation waarschuwen opensource-ontwikkelaars voor social engineering, zoals bij de ontwikkelaar van datacompressietool XZ werd toegepast. Antivirusbedrijf Kaspersky verwacht dat de komende maanden meer gecompromitteerde opensourceprojecten bekend zullen worden. Eerder publiceerde Google-onderzoeker Russ Cox een overzicht van hoe social engineering bij de XZ-ontwikkelaar werd toegepast.

Eén of meerdere aanvallers die zich voordeden als een persoon genaamd 'Jia Tan' wisten het vertrouwen van XZ-ontwikkelaar Lasse Collin te winnen en konden uiteindelijk een backdoor aan code van het project toevoegen. Collin heeft aangegeven met een eigen analyse van de aanval te komen, maar de XZ-ontwikkelaar heeft zijn website sinds 15 april niet meer bijgewerkt.

Volgens de OpenJS Foundation en Open Source Security Foundation is de aanval op XZ waarschijnlijk geen geïsoleerd incident. Ze roepen dan ook alle opensource-ontwikkelaars op om alert te zijn op social engineering, dergelijke patronen te leren herkennen en maatregelen te nemen om hun opensourceprojecten te beschermen. De stichtingen hebben ook verschillende voorbeelden gegeven van hoe social engineering is te herkennen.

"Deze social engineering-aanvallen maken misbruik van het plichtsgevoel dat maintainers voor hun project en community hebben om ze zo te manipuleren", aldus de stichtingen. "Let op hoe interacties je laten voelen. Interacties die zorgen voor twijfel, het gevoel tekort te schieten of het niet genoeg doen aan het project, etc., kunnen onderdeel van een social engineering-aanval zijn", aldus de stichtingen.

"Het is duidelijk dat social engineering veel minder technische vereisten heeft om volledige toegang tot ontwikkelomgevingen te krijgen dan bij supplychain-aanvallen zoals SolarWinds, M.E.Doc en Asus het geval was", zegt antivirusbedrijf Kaspersky. De virusbestrijder verwacht dat de komende maanden meer incidenten zoals XZ bekend zullen worden.