オープンソース開発者が新しい、非常に巧妙なソーシャルエンジニアリングキャンペーンの攻撃対象になっています。
4月7日にOpenSSF Sirenメーリングリストで共有された高重大度アラートによると、ハッカーは著名なLinux FoundationコミュニティリーダーになりすましてSlackワークスペースに侵入しています。
彼らの目標は、開発者を複数段階の罠に引き込み、最終的にはマルウェアのインストールと完全なシステム乗っ取りを実現することです。
この攻撃は、オープンソースプロフェッショナルのためのLinux FoundationワークスペースであるTODO Groupなどの開発者ハブを重点的に標的としています。攻撃者は、信頼されたコミュニティフィギュアの盗まれたアイデンティティを使用してダイレクトメッセージを介して連絡します。
被害者の関心を引くために、彼らは、どのプロジェクト投稿がレビュー前にマージされるかを予測するとされている排他的なプライベートAIツールをピッチします。攻撃者は、彼らがこのツールを選ばれた少数の人のみと共有していることを強調します。
どちらのシナリオでも、悪意あるサーティフィケートにより、攻撃者は暗号化されたウェブトラフィックを傍受し、非常に機密性の高いプロジェクトデータを盗むことができます。
このキャンペーンが危険な理由は、オープンソースコミュニティの基礎である信頼を武器化しているからです。開発者はプロジェクトリーダーとファウンデーションスタッフとの協力に慣れています。
認識されたリーダーを説得力を持ってなりすましることで、攻撃者は被害者がリンクをクリックする前に、大きなソーシャルアドバンテージを獲得します。
このインシデントは増加する傾向の一部です。最近、セキュリティ研究者はNode.js、Fastify、Lodashなどの主要プロジェクトの高名なメンテナーを標的とした別のキャンペーンを特定しました。
2つの攻撃が同じ脅威グループにリンクされているかどうかは不明のままですが、ハッカーが彼らが毎日依存するプラットフォームを通じてオープンソースメンテナーを狩ることが増加していることは明らかです。
オープンソースSlackコミュニティで安全を保つために、OpenSSFはいくつかの重要な防御措置を推奨しています:
新しくインストールされたサーティフィケートをすべて削除し、包括的なエンドポイントセキュリティスキャンを実行してください。最後に、GitHubパスワード、SSHキー、クラウドアクセストークンなど、すべての重要な認証情報をローテーションして、攻撃者があなたのアカウントに侵入できないようにしてください。
翻訳元: https://cyberpress.org/slack-impersonation-targets-developers/