หลังจากเหตุการณ์คนร้ายส่งโค้ดมุ่งร้ายเข้าโครงการ XZ โดยคนร้ายแฝงตัวเป็นนักพัฒนาไปช่วยส่งโค้ดเล็กๆ น้อยสร้างความไว้วางใจให้กับผู้ดูแลโครงการเพื่อให้ยกสิทธิ์ส่งโค้ดให้คนร้าย ทาง OpenSSF และ OpenJS ก็ออกมาเตือนว่ามีคนร้ายใช้วิธีการแบบนี้กับโครงการอื่นๆ เหมือนกัน

รูปแบบการโจมตีเหมือนกับที่คนร้ายทำกับโครงการ XZ อย่างมาก ได้แก่ส่งโค้ดเข้ามาเล็กๆ น้อยๆ แม้จะดูเป็นมิตรแต่ก็พยายามเร่งให้โค้ดได้เข้าโครงการเร็วๆ จากนั้นจะมีบัญชีอื่นๆ ช่วยกันโวยวายว่าโค้ดเข้าโครงการช้า โดยโค้ดที่ส่งเข้ามามักจะอ่านยาก, มีไบนารีเป็นก้อนถูกส่งเข้ามาด้วย, หรือบางครั้งก็พยายามเปลี่ยนกระบวนการคอมไพล์โครงการ

OpenSSF ดูแลโครงการสำคัญๆ อยู่หลายโครงการ เช่น jQuery, Node.js, Electron, webpack, ESLint รายงานครั้งนี้ไม่ได้ระบุชัดเจนว่ามีการโจมตีโครงการใด

รายงานนี้แนะนำโครงการโอเพนซอร์สอื่นๆ ขอให้เพิ่มความระมัดระวัง ตั้งแต่ความปลอดภัยพื้นฐานเช่นการเปิด 2FA, ใช้รหัสผ่านปลอดภัยไม่ใช้รหัสซ้ำ ไปจนถึงกระบวนการพัฒนาอย่างปลอดภัย ให้มีการรีวิวโค้ดเสมอ และไม่ยอมรับโค้ดหากเป็นโค้ดอ่านยากเกินจำเป็น ไปจนถึงรีวิวเป็นครั้งคราวว่ารู้จักนักพัฒนาในโครงการจริงหรือไม่ เคยเจอกันตามงานบ้างหรือเปล่า

ที่มา - OpenSSF