接管开源项目的其他尝试
OpenJS基金会跨项目委员会收到了一系列可疑的电子邮件,邮件内容类似,名称不同,与GitHub相关的电子邮件重叠。 这些电子邮件恳求OpenJS采取行动,更新其一个流行的JavaScript项目,以“解决任何关键漏洞”,但没有具体说明。 电子邮件作者希望OpenJS指定他们为项目的新维护者,尽管之前很少参与。 这种方法与“贾谭”在XZ/liblzma后门中定位自己的方式极为相似。
[…]
OpenJS团队还发现其他两个非基金会托管的热门JavaScript项目中存在类似的可疑模式,并立即向各自的OpenJS领导人以及美国国土安全部(DHS)的网络安全和基础设施安全局(CISA)报告潜在的安全问题。