路透社报道,两个开源组织在周一发布的警报中称,最近有不明身份者试图破坏一款广泛使用的软件程序,这可能是试图颠覆互联网上关键数字基础设施的数次尝试之一。
开源安全基金会和 OpenJS 基金会在一份联合声明中说,试图在 XZ Utils(一种鲜为人知的程序,已被植入全球 Linux 操作系统)中插入秘密后门的行为 "可能并非孤立事件"。
他们说,至少有三个不同的 JavaScript 项目成为未具名个人的攻击目标,这些人要求进行可疑的更新,或要求成为目标软件的维护者。
JavaScript 编程语言为现代网络提供了大量动力,在全球范围内被广泛使用。开源安全基金会总经理奥姆卡-阿拉萨拉特南(Omkhar Arasaratnam)说,仅其中一个目标软件包每周的下载量就达数千万次。他拒绝透露 JavaScript 项目的名称,称要保护正在进行的调查。
阿拉萨拉特南还说,虽然尚不清楚这些疑似恶意行为者希望做什么--"我们在他们走到这一步之前就阻止了他们"--但他怀疑他们也希望在这些项目中植入后门。
OpenJS 和开源安全基金会表示,他们已就这一疑似渗透事件向美国网络安全和基础设施安全局发出警告。该机构没有立即回复寻求评论的信息。