Dos asociaciones 'open source' alertan del intento de sabotaje de varios softwares populares
Open Source Security Foundation y la OpenJS Foundation han señalado que este intento de introducir una puerta trasera en XZ Utils, de Linux, no es un hecho aislado.
El reciente intento de un actor de amenazas desconocido por sabotear un programa de software popular, XZ Utils, puede haber sido uno solo de muchos casos para subvertir piezas clave de la infraestructura digital de Internet, según han denunciado dos asociaciones de código abierto, tal y como se hacen eco desde Reuters.
En una declaración conjunta, la Open Source Security Foundation y la OpenJS Foundation han señalado que este intento de introducir una puerta trasera en el software –un programa poco conocido pero que está integrado en los sistemas operativos Linux en todo el mundo– “puede no ser un incidente aislado”. De hecho, citan al menos tres proyectos diferentes de JavaScript que han sido atacados por personas no identificadas que exigían actualizaciones sospechosas o solicitaban que se les hiciera mantenedores del software objetivo.
Este lenguaje de programación impulsa gran parte de la web moderna y tiene un uso intensivo en todo el mundo. Omkhar Arasaratnam, director general de la Open Source Security Foundation, ha dicho que solo uno de los paquetes objetivo ha registrado decenas de millones de descargas por semana, aunque se ha negado a identificar los nombres de estos proyectos de JavaScript para “proteger una investigación en curso”. Por su parte, también ha indicado que, aunque no se sabe qué pretendían los ciberdelincuentes “los detuvimos antes de que llegaran lejos”.
