Наблюдая за инцидентом с бэкдором XZ Utils исследователь Ханс- | SecAtor
Наблюдая за инцидентом с бэкдором XZ Utils исследователь Ханс-Кристоф Штайнер решил придать огласке аналогичную историю, которая произошла в июне 2020 года и была связана с попыткой попыткой внедрения уязвимости SQL-инъекции в F-Droid, магазин приложений с открытым исходным кодом для устройств Android.
Как и в случае с XZ, свежеиспеченный аккаунт запилилв проект код, который впоследствии проталкивали с помощью группы других свежерегов, оказывая давление на разработчиков F-Droid и попытаясь их склонить к объединению (имплементации) кода.
Исследователь полагает, что команде очень повезло, им удалось обнаружить ошибку внедрения SQL прежде чем имплантат распространился.
Новый код был призван улучшить функциональность поиска F-Droid за счет совершенствования конкатенации SQL-запросов.
Как отмечает Штайнер, несмотря на то, что автор оригинального SQL-кода позже вышел из проекта проекте, он заприметил неладное и решил заменить весь этот подозрительный код библиотеками, которые обеспечивают гораздо большую защиту.
Его убеждали, что конкатенация SQL-запросов — сложная операция и ошибки могут иметь непреднамеренный характер, однако Штайнер отверг эту теорию, заметив определенную согласованность действий новых аккаунтов по продвижению кода.
Хотя попытка не увенчалась успехом, но тактика злоумышленника имеет определенноесходство с инцидентом XZ.
Кстати, на днях эксперт по безопасности цепочки поставок ПО и генеральный директор Chainguard Дэн Лоренц поделился некоторыми мыслями по поводу инцидента с XZ Utils, о котором он предупреждал в подкасте Security Conversations еще в 2022 году.
Как он полагает, правительства ряда стран реализуют через подконтрольные их спецслужбам АРТ долгосрочные атаки на цепочки поставок ПО с открытым исходным кодом, свидетелями которых мы стали в последние дни.