您的瀏覽器不支援JavaScript功能,若網頁功能無法正常使用時,請開啟瀏覽器JavaScript狀態
進入內容區塊

內政部警政署保安警察第一總隊全球資訊網

:::

資安訊息

發布日期:113-06-27

發布單位:保安警察第一總隊

OpenSSF與OpenJS基金會示警 後門可能非獨立事件
OpenSSF與OpenJS基金會示警XZ Utils後門可能非獨立事件

OpenSSF和OpenJS基金會共同呼籲所有開源維護者,應該對社交工程接管的嘗試意圖保持警惕,及早辨識出威脅模式,並採取措施保護開源專案。由於OpenJS基金會攔截到類似XZ Utils後門(CVE-2024-3094)的接管企圖,因此兩基金會也提醒開源維護者,XZ Utils後門恐非獨立事件。

OpenJS基金會跨專案委員會收到一系列可疑電子郵件,其中包含許多類似的訊息、不同名稱以及GitHub相關的電子郵件,這些電子郵件要求OpenJS,指定他們為熱門JavaScript專案的新維護者,儘管他們之前幾乎未參與過這些專案。OpenJS基金會指出,這種作法與Jia Tan進入XZ/liblzma專案,植入後門的手法非常類似。

資料來源:iThome