Güvenlik araştırmacıları, OpenJS Vakfı’nı hedef alan şüpheli bir devralma girişimini ortaya çıkardı. Bu girişimde, e-posta yoluyla projelerin güvenlik açıklarını düzeltmeye teşvik ediliyor ve projenin yeni koruyucusu olarak atamalar isteniyor. Benzer bir durum daha önce XZ Utils projesinde yaşanmıştı ve bu sefer OpenJS Vakfı hedef alınmış. İki açık kaynak grubu, bu saldırının XZ Utils olayının bir parçası olabileceğini ve diğer projeleri de hedef alabileceğini belirtti.
Bu olay, açık kaynak projelerinin yanı sıra kullanıcıları da tedarik zinciri saldırılarına karşı risk altında bırakıyor. Özellikle Linux dağıtımlarında sık kullanılan açık kaynak projeleri hedef alınarak, kompleks bir saldırı planının parçası olduğu düşünülüyor. CISA yetkililerine göre, açık kaynak ekosisteminin kırılganlığını ve bakımcı tükenmişliğinin oluşturduğu risklerin de vurgulandığı bir durum söz konusu.
CISA, teknoloji üreticilerine ve sistem operatörlerine açık kaynak bileşenlerinin periyodik olarak denetlenmesi ve güvenlik açıklarının kapatılması konusunda daha fazla sorumluluk almalarını tavsiye ediyor. Projelerin bakımcıları da projeleri ve toplulukları manipüle etmeye çalışan sosyal mühendislik saldırılarına karşı daha dikkatli olmaları gerektiğini belirtiyor.
Bu gelişmeler, açık kaynak yazılımların güvenliği ve sürdürülebilirliği konusunda herkesin daha fazla bilinçlenmesi gerektiğini gösteriyor. Sonuç olarak, güvenlik açıklarının kapatılması ve projelerin korunması için hem teknoloji üreticilerinin hem de projelerin bakımcılarının daha fazla işbirliği yapması gerekiyor. Bu tür saldırılardan korunmak için ise herkesin daha dikkatli olması ve şüpheli durumları rapor etmesi önemli. Güvenli internet kullanımına dikkat edelim!
