疑似XZ Utils的軟體供應鏈攻擊手法再度出現，這次是鎖定OpenJS的JavaScript專案而來

3月底研究人員發現XZ Utils後門的供應鏈攻擊，該攻擊被植入的程式碼以CVE-2024-3094列管，當時初步確認部分版本Linux作業系統的SSHD（Secure Shell Daemon）受到波及，但也有研究人員提出警告，對方使用的手法極為精密，相關的程式碼及手法將會用於發起其他攻擊行動。

開源專案人力資源缺乏是常久以來的現象，若是有人願意出手協助處理臭蟲或是資安漏洞，照理來說，可說是求之不得。但在上述供應鏈攻擊之後，開源界也開始擔憂，攻擊者有可能假借協助的名義成為專案的維護者，並打算等到時機成熟再暗中埋入惡意程式碼。

4月15日OpenJS基金會收到一系列的電子郵件，指出他們代管的熱門JavaScript專案存在危急（Critical）漏洞，要求該委員會採取行動，並指派他們成為該專案的維護者著手處理，但究竟這項專案存在的漏洞為何，對方並未進一步說明。

OpenJS提到，這些信件雖然寄件人的名字都不同，但他們的電子郵件信箱與GitHub有關，且有所交集。他們懷疑對方企圖依循發動XZ及liblzma供應鏈攻擊模式，趁機混入專案維護團隊，待時機成熟才發動攻擊。對此，他們依循OpenJS專案的資安政策，並未授予這些用戶相關權限。

值得留意的是，OpenJS又在兩個非基金會代管的JavaScript專案察覺類似的攻擊手法，他們向專案負責人及美國網路安全暨基礎設施安全局（CISA）通報此事。而與XZ Utils供應鏈攻擊相關的事故已非首例，之前資安業者Phylum發現，有人對以程式語言Rust實作的liblzma程式庫發動供應鏈攻擊，部署XZ後門程式。