SlackでのオープンソースとOSS開発者への攻撃でLinux Foundationリーダーになりすまし

ソーシャルエンジニアリングキャンペーンがSlackを通じてオープンソース開発者を積極的に標的にしています。

この警告はOpenSSF Sirenメーリングリストを通じて共有されました。このリストは初期開示後に開発者とセキュリティチームに現在の脅威について警告するために設計された公開脅威インテリジェンスプラットフォームです。

このアドバイザリーはOpenSSFのCTOで最高セキュリティアーキテクトのクリストファー「CRob」ロビンソンによって作成されました。

このキャンペーンは複数の段階で展開される綿密に作成されたソーシャルエンジニアリングの連鎖に依存しています。攻撃者はSlackコミュニティ、特にLinux FoundationのTODOグループにリンクされたコミュニティに侵入し、信頼を獲得するために著名人になりすまします。

Open Source Security Foundation（OpenSSF）が4月7日にリリースした重大度の高いアドバイザリーによると、Slack上で信頼されているLinux Foundationコミュニティリーダーが標的とされました。

フィッシングページはワークスペース招待をまねて、ユーザーにメールアドレスと認証コードを入力させます。認証情報がキャプチャされると、被害者は「Google証明書」として提示されるものをインストールするよう指示されます。

実際には、これは暗号化されたトラフィックをインターセプトするために設計された悪意のあるルート証明書です。

被害者はGoogle Sitesでホストされたリンクを含む直接メッセージを受け取ります。一見すると正当なように見えます。

その後、攻撃は被害者のオペレーティングシステムに基づいて異なります。macOSでは、スクリプトがリモートサーバーから「gapi」という名前のバイナリをダウンロードして実行し、システム全体の侵害につながる可能性があります。

Windowsでは、ユーザーはブラウザベースの証明書インストールプロセスを案内され、同様のトラフィックインターセプトが可能になります。

使用されたAIテーマのルアー

少なくとも1つの観察されたケースでは、攻撃者がAI関連のピッチを使用して被害者を誘いました。Linux Foundationリーダーになりすまして、攻撃者はレビュー前にどのオープンソース貢献が受け入れられるかを予測できるプライベートツールを開発していると主張しました。

このメッセージは独占性を強調し、ツールは選別されたグループにのみ共有されていると述べました。フィッシングリンク、偽のメールアドレス、信頼性を高めるためのアクセスキーが含まれていました。

セキュリティ研究者は、攻撃者のSlackアカウントはその後非アクティブ化されたと指摘し、おそらくワークスペース管理者による検出に続いていると述べました。

このキャンペーンは、攻撃者がオープンソースエコシステムの信頼ベースの性質をどのように利用しているかを浮き彫りにしています。開発者はしばしば既知のコミュニティメンバーとコラボレーションするため、なりすまし攻撃は特に効果的です。

Google Sitesなどの正当なインフラストラクチャの使用は、基本的なセキュリティチェックをバイパスし、疑いを避けることで、成功の可能性をさらに高めます。

研究者はまた、高い価値を持つオープンソース貢献者を標的にする広範な傾向を指摘しています。同様のキャンペーンは最近、FastifyやLodash、Node.jsなどの広く使用されているプロジェクトのメンテナーに焦点を当てています。

これらの攻撃の一部は北朝鮮との関連を持つ脅威行為者に関連しているとされていますが、この場合の帰属は不明のままです。

OpenSSFは開発者と貢献者に対してアドバイスしています。Slackおよびそれよりなプラットフォームでのやり取りの際により厳しい検証慣行を採用するよう：

侵害が疑われる場合、ユーザーはすぐにネットワークから切断し、インストールされた証明書を削除し、セキュリティスキャンを実行し、GitHubアカウント、SSHキー、クラウドアクセストークンを含むすべての認証情報をローテーションする必要があります。

このキャンペーンは、攻撃者戦略における成長する転換を強調しています。コードを直接標的にするのではなく、脅威行為者はますますその背後にいる開発者に焦点を当てています。