北朝鮮のハッカーは、偽のSlackワークスペース、クローンされた企業アイデンティティ、偽のMicrosoftTeamsコールを使用して、Axiosのメンテナーに対して数週間にわたってソーシャルエンジニアリングを行い、ソフトウェアアップデートに偽装したRATをインストールさせました。彼らが得たアクセスを使用して、npmパッケージにマルウェアを注入し、週に1億回以上ダウンロードされるパッケージに影響を与えました。
現在、Open Source Security Foundation(OpenSSF)の新しい勧告では、未知の攻撃者が他のオープンソース開発者をターゲットにするために同様のアプローチを使用していることを警告しています。
Axiosの攻撃は孤立した事例ではありませんでした
注目度の高いAxios侵害の直後、Socket研究者は、同じ攻撃キャンペーンが他の多くのオープンソースメンテナー(特にNode.jsおよびnpmを管理している者)ならびに複数のSocket エンジニアをターゲットにしていたことを学びました。
攻撃者はLinkedInまたはSlack経由で連絡を取り、企業所有者/代表者、採用担当者、またはポッドキャストホストになりすまし、開発者をビデオ会議ソフトウェアのアップデート/修正に偽装したマルウェアのダウンロードに引き込もうとしました。
「攻撃者は、Mochaのメンテナーであるペレ・ウェスマン(Pelle Wessman)をウイルスのダウンロードに騙すために、偽のStreamyardプラットフォームを使用しました。マッテオ・コリーナ(Matteo Collina)といった別の専門家は4月2日のSlackメッセージに騙されそうになり、dotenvの作成者スコット・モッテ(Scott Motte)やLodashの作成者ジョン・デイビッド・ダルトン(John-David Dalton)など他のメンテナーもターゲットにされました」とSocketのディーバ・アハメド(Deeba Ahmed)は述べています。
「彼らはSocket CEOのフェロス・アボウカダイジェ(Feross Aboukhadijeh)(WebTorrentとbufferの作成者)をターゲットにしました。彼はこのようなターゲティングが「新しい常識」になりつつあることに気づいています。」
今、誰かがLinux Foundationの指導者になりすましています
OpenSSFのチーフテクノロジーオフィサーおよびチーフセキュリティアーキテクトであるクリストファー・ロビンソン(Christopher Robinson)は、攻撃者が現在、有名なLinux Foundationコミュニティの指導者になりすまし、被害者を悪意のあるリンクをたどるように引き込もうとしていることを警告しています。
「コミュニティは、Slack経由(ToDoGroupおよび関連コミュニティを含む)でオープンソース開発者をターゲットにする活発なソーシャルエンジニアリングキャンペーンについての報告を受けています」と彼はOpenSSF Siren Listを通じて述べました。
攻撃者によって提供されるリンク(https://sites.google.com/view/workspace-business/join)は正当なGoogle Workspaceフローを模倣していますが、開発者をフィッシングページに誘導します。そこで彼らはログイン認証情報と検証コードを入力し、その後、偽のルート「Google証明書」をインストールするよう求められます。
Macを使用している開発者も、スクリプト経由で追加の悪意のあるバイナリがドロップされ、実行されたようです。
「証明書をインストールすると、暗号化されたトラフィックの傍受と認証情報の盗難が可能になります。バイナリを実行すると、システム全体が侵害される可能性があります」とロビンソンは述べました。
信頼するな。検証せよ。
オープンソースコードベースが直接侵害されるのが難しくなるにつれて、攻撃対象が移動し、ターゲットは、ますますコードを提供する人物になっています。
「攻撃者は開発者のワークフローと信頼関係をターゲットにしています」とロビンソンは指摘し、開発者に彼らに連絡を取る人物のアイデンティティを検証するよう助言しました。
「名前またはプロフィールだけに基づいてメッセージを信頼しないでください。また、異常なリクエストを別の既知の通信チャネルを通じて確認してください。身に覚えのある名前からのものであっても、勧誘に注意してください」と彼は付け加えました。
開発者は、彼らが指示されたログインページが正当であるかどうかを確認し、Slackまたは未知のウェブサイトから受け取ったソフトウェアまたはスクリプトの実行を回避し、期限切れの証明書または緊急アップデートについての警告メッセージに直面したときは特に注意する必要があります。
トリックに引っかかった人は、彼らのシステム、彼らの認証情報、彼らのアクティブなセッションとトークンが侵害されていると見なし、前者をクリーンアップし、後者をローテーション/取り消すことに進むべきです。
「インシデントをセキュリティチームまたは組織に報告してください」とロビンソンも助言し、同様のアクティビティを観察した者または追加のインジケータを持つ者がそれらをセキュリティチームに報告し、適切なコミュニティチャネルを通じて共有するよう求めました。
翻訳元: https://www.helpnetsecurity.com/2026/04/08/social-engineering-open-source-developers/
