A OpenJS Foundation foi alvo de uma tentativa de tomada de controle de um de seus projetos populares de JavaScript, semelhante ao incidente recentemente descoberto que visava o projeto de código aberto XZ Utils. A Fundação OpenJS e a Open Source Security Foundation (OpenSSF) divulgaram um alerta conjunto sobre uma série suspeita de emails recebidos pelo Conselho Cross Project da OpenJS Foundation.

Esses emails, vindos de diferentes remetentes com emails associados ao GitHub, solicitavam que a OpenJS atualizasse o projeto para remediar vulnerabilidades críticas, sem fornecer detalhes específicos, e nomeasse os autores dos emails como novos mantenedores, apesar de terem pouco envolvimento anterior com o projeto.

Este incidente destaca os métodos de engenharia social e campanhas de pressão usados para tentar obter acesso privilegiado a projetos de código aberto, semelhante ao que aconteceu com o mantenedor do XZ Utils, que foi alvo de personas fictícias criadas especificamente para o tornar co-mantenedor do projeto.

Esse caso sublinha a possibilidade de que essa tentativa de sabotagem ao XZ Utils não seja um incidente isolado, mas parte de uma campanha mais ampla para comprometer a segurança de vários projetos. Além disso, destaca-se a sofisticação e a paciência por trás do planejamento e execução dessa campanha, visando um projeto de código aberto gerido por voluntários, o que coloca organizações e usuários em risco de ataques à cadeia de suprimentos.

A fragilidade do ecossistema de código aberto e os riscos criados pela exaustão dos mantenedores também foram apontados como problemas significativos pela U.S. Cybersecurity and Infrastructure Security Agency (CISA).