Un adversario no necesita habilidades técnicas sofisticadas para ejecutar un ataque amplio a la cadena de suministro de software como los experimentados por SolarWinds y CodeCov. A veces, todo lo que se necesita es un poco de tiempo y una ingeniosa ingeniería social.

Ese parece haber sido el caso de quien introdujo una puerta trasera en el Utilidad de compresión de datos de código abierto XZ Utils en sistemas Linux a principios de este año. Análisis del incidente Kaspersky esta semana, e informes similares de otros en los últimos días, identificaron que el atacante dependía casi por completo de la manipulación social para deslizar la puerta trasera en la utilidad.

Ingeniería social de la cadena de suministro de software de código abierto

Lo que resulta inquietante es que puede ser un modelo que los atacantes estén utilizando para introducir malware similar en otros proyectos y componentes de código abierto ampliamente utilizados.

En una alerta la semana pasada, la Open Source Security Foundation (OSSF) advirtió que el ataque a XZ Utils probablemente no sea un incidente aislado. El aviso identificó al menos otro caso en el que un El adversario empleó tácticas similares a la utilizada en XZ Utils. para hacerse cargo de la Fundación OpenJS para proyectos JavaScript.

"Las fundaciones OSSF y OpenJS están llamando a todos los mantenedores de código abierto a estar alerta ante los intentos de adquisición de ingeniería social, a reconocer los primeros patrones de amenazas que surgen y a tomar medidas para proteger sus proyectos de código abierto", decía la alerta de OSSF.

Un desarrollador de Microsoft descubrió la puerta trasera en versiones más nuevas de una biblioteca XZ llamada liblzma mientras investigaba un comportamiento extraño en una instalación de Debian. En ese momento, sólo las versiones inestables y beta de Fedora, Debian, Kali, openSUSE y Arch Linux tenían la biblioteca con puerta trasera, lo que significa que prácticamente no era un problema para la mayoría de los usuarios de Linux.

Pero la manera en que el atacante introdujo la puerta trasera es especialmente preocupante, afirmó Kasperksy. "Uno de los diferenciadores clave del incidente de SolarWinds de ataques anteriores a la cadena de suministro fue el acceso prolongado y encubierto del adversario al entorno de origen/desarrollo", dijo Kaspersky. "En este incidente de XZ Utils, este acceso prolongado se obtuvo mediante ingeniería social y se amplió con interacciones de identidad humana ficticias a plena vista".

Un ataque bajo y lento

El ataque parece haber comenzado en octubre de 2021, cuando un individuo que usaba el alias “Jia Tan” envió un parche inofensivo al proyecto unipersonal XZ Utils. Durante las siguientes semanas y meses, la cuenta de Jia Tan envió múltiples parches inofensivos similares (descritos en detalle en este calendario) al proyecto XZ Utils, que su único mantenedor, un individuo llamado Lasse Collins, finalmente comenzó a fusionar con la utilidad.

A partir de abril de 2022, un par de personas más, una que usaba el alias "Jigar Kumar" y la otra "Dennis Ens", comenzaron a enviar correos electrónicos a Collins, presionándolo para que integrara los parches de Tan en XZ Utils a un ritmo más rápido.

Los personajes de Jigar Kumar y Dennis Ens aumentaron gradualmente la presión sobre Collins y finalmente le pidieron que agregara otro responsable de mantenimiento al proyecto. Collins en un momento reafirmó su interés en mantener el proyecto, pero confesó estar limitado por “problemas de salud mental a largo plazo”. Finalmente, Collins sucumbió a la presión de Kumar y Ens y le dio a Jia Tan acceso comprometido al proyecto y la autoridad para realizar cambios en el código.

"Su objetivo era otorgar acceso completo al código fuente de XZ Utils a Jia Tan e introducir sutilmente código malicioso en XZ Utils", dijo Kaspersky. "Las identidades incluso interactúan entre sí en hilos de correo, quejándose de la necesidad de reemplazar a Lasse Collin como mantenedor de XZ Utils". Las diferentes personas en el ataque (Jia Tan, Jigar Kumar y Dennis Ens) parecen haber sido hechas deliberadamente para que parecieran de diferentes geografías, para disipar cualquier duda sobre su trabajo conjunto. Otro individuo, Hans Jansen, apareció brevemente en junio de 2023 con un nuevo código de optimización del rendimiento para XZ Utils que terminó integrándose en la utilidad.

Un amplio elenco de actores

Jia Tan introdujo el binario de puerta trasera en la utilidad en febrero de 2024 después de obtener el control de las tareas de mantenimiento de XZ Util. Después de eso, el personaje de Jansen resurgió, junto con otros dos personajes, cada uno de los cuales presionó a los principales distribuidores de Linux para que introdujeran la utilidad con puerta trasera en su distribución, dijo Kasperksy.

Lo que no está del todo claro es si el ataque involucró a un pequeño equipo de actores o a un solo individuo que logró gestionar con éxito varios identidades y manipuló al mantenedor para que le diera el derecho de realizar cambios en el código del proyecto.

Kurt Baumgartner, investigador principal del equipo de análisis e investigación global de Kaspersky, le dice a Dark Reading que fuentes de datos adicionales, incluidos datos de inicio de sesión y flujo de red, podrían ayudar en la investigación de las identidades involucradas en el ataque. "El mundo del código abierto es tremendamente abierto", dice, "lo que permite que identidades turbias contribuyan con código cuestionable a proyectos que son dependencias importantes".

• Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
• PlatoData.Network Vertical Generativo Ai. Empodérate. Accede Aquí.
• PlatoAiStream. Inteligencia Web3. Conocimiento amplificado. Accede Aquí.
• PlatoESG. Carbón, tecnología limpia, Energía, Ambiente, Solar, Gestión de residuos. Accede Aquí.
• PlatoSalud. Inteligencia en Biotecnología y Ensayos Clínicos. Accede Aquí.
• Fuente: https://www.darkreading.com/application-security/attacker-social-engineered-backdoor-code-into-xz-utils