Социальная инженерия. Инцидент с XZ Utils.• Давайте напомню, что уязвимость в xz Utils* была построена по схеме supply chain attack, атака на цепочку поставок. Для её реализации злоумышленнику пришлось
два года втираться в доверие к сообществу открытого программного обеспечения, чтобы получить права мейнтейнера и внедрить нужный код.
• В этой статье мы проанализируем методы социальной инженерии в данном инциденте, а именно — то, как мейнтейнера XZ
вынуждали передать проект злоумышленнику, а затем торопили с коммитом зараженного кода в крупные проекты:
Читать статью.
*Пакет xz Utils — набор утилит для сжатия данных для Unix-подобных операционных систем.S.E. infosec.work VT