路透社報道,兩個開源組織在周一發佈的警報中稱,最近有不明身份者試圖破壞一款廣泛使用的軟件程序,這可能是試圖顛覆互聯網上關鍵數字基礎設施的數次嘗試之一。
開源安全基金會和 OpenJS 基金會在一份聯合聲明中說,試圖在 XZ Utils(一種鮮為人知的程序,已被植入全球 Linux 操作系統)中插入秘密後門的行為 "可能並非孤立事件"。
他們說,至少有三個不同的 JavaScript 項目成為未具名個人的攻擊目標,這些人要求進行可疑的更新,或要求成為目標軟件的維護者。
JavaScript 編程語言為現代網絡提供大量動力,在全球范圍內被廣泛使用。開源安全基金會總經理奧姆卡-阿拉薩拉特南(Omkhar Arasaratnam)說,僅其中一個目標軟件包每周的下載量就達數千萬次。他拒絕透露 JavaScript 項目的名稱,稱要保護正在進行的調查。
阿拉薩拉特南還說,雖然尚不清楚這些疑似惡意行為者希望做什麼--"我們在他們走到這一步之前就阻止他們"--但他懷疑他們也希望在這些項目中植入後門。
OpenJS 和開源安全基金會表示,他們已就這一疑似滲透事件向美國網絡安全和基礎設施安全局發出警告。該機構沒有立即回復尋求評論的信息。