近期,一场针对开源软件开发者的网络攻击引发关注。攻击者在Slack上冒充Linux基金会(Linux Foundation)真实社区负责人,诱骗开发者点击钓鱼链接,进而窃取账号凭证并控制受害者设备。
此次攻击主要瞄准Linux基金会旗下的TODO(Talk Openly, Develop Openly)和CNCF(Cloud Native Computing Foundation)项目。前者致力于推广开源管理最佳实践,后者则负责支持Kubernetes、Prometheus、Envoy等知名云原生项目。
攻击者利用受害者对社区管理人员的信任,在Slack中发送伪装信息,并引导其访问托管于Google Sites上的钓鱼页面。该页面高度模仿Google Workspace登录流程,诱导用户输入账号密码。随后,页面还会要求安装一个所谓的“Google根证书”。
实际上,这个证书并非官方组件,而是恶意软件。在macOS系统上,安装后会下载并执行名为“gapi”的恶意程序;在Windows系统上,则会诱导用户将恶意证书加入系统信任列表。一旦安装成功,攻击者便可能拦截加密通信、窃取敏感信息,甚至实现对设备的全面控制。
OpenSSF首席技术官兼Linux基金会首席安全架构师Christopher Robinson表示,近期多个Linux基金会项目都遭遇了类似的社交工程攻击,而此次事件在攻击方式和传播链接上与此前案例高度一致。他认为,攻击者显然是在利用社区成员之间的信任关系,而非直接攻击软件漏洞。
Google方面回应称,相关钓鱼页面已被下架,并强调这并非Google Workspace本身存在安全漏洞,而是攻击者滥用了Google Sites服务。Google同时提醒用户,正规的Google身份验证流程绝不会要求安装根证书或下载额外程序来验证账户。
对于可能受到影响的用户,安全专家建议立即断开网络连接,删除近期安装的可疑证书,撤销所有活动会话和访问令牌,并尽快更换相关账号密码。
事实上,这并非近期唯一针对开源开发者的攻击事件。今年3月,广泛用于CI/CD流程的漏洞扫描工具Trivy曾遭供应链攻击;随后,与朝鲜有关联的黑客组织又通过伪造公司和Slack工作区,诱骗Axios开源项目维护者,最终发布了包含远程控制木马的恶意版本。
专家指出,攻击者正越来越多地将目标转向开发者本人以及软件供应链环节。相比传统漏洞利用,这类基于信任关系的社交工程攻击更隐蔽,也更具破坏力。 对开源社区而言,提高身份验证意识、谨慎核实陌生请求,已经成为抵御此类威胁的重要防线。
苏公网安备32021302001419号