権威のある人物に何かするよう求められることを想像してください。Slack経由でオープンソースソフトウェア開発者をターゲットにしている未知のマルウェア配信者は、実在するLinux Foundation関係者になりすまし、Google.comでホストされたページを使用して開発者の認証情報を盗み、彼らのシステムを乗っ取りました。
Open Source Security Foundation (OpenSSF) CTO Christopher RobinsonはThe Registerに、このソーシャルエンジニアリングキャンペーンがLinux Foundationでホストされている2つのプロジェクトであるTODO(Talk Openly、Develop Openly)とCNCF(Cloud Native Computing Foundation)を特に対象としていることを述べました。
TODOは組織がオープンソースイニシアティブを管理するためのベストプラクティスとツールを共有するのを支援することを目的としており、CNCFはKubernetes、Envoy、Prometheusを含むクラウドネイティブプロジェクトをサポートしています。
Slackで信頼されているLinux Foundation コミュニティリーダーになりすました後、攻撃者は開発者にGoogle Sitesでホストされたフィッシングリンクをクリックするよう仕向けようとしました:https://sites[.]google[.]com/view/workspace-business/join。
このリンクは正当なGoogle Workspaceサインインフローを模倣していますが、ユーザーを不正な認証プロセスに導き、認証情報を入力させ、Googleの証明書になりすましている偽のルート証明書をインストールするよう促します。
偽の証明書はマルウェアであり、macOSではリモートIP(2.26.97.61)からバイナリ(gapi)をダウンロードして実行し、Windows マシンではブラウザ信頼ダイアログを通じて悪意のある証明書のインストールを促します。
他のLFプロジェクトは過去数か月間、同様のソーシャルエンジニアリング手法による努力に直面しています。この最新の取り組みはそれらと非常に一貫していました
「証明書をインストールすると、暗号化されたトラフィックの傍受と認証情報の盗難が可能になります」と、Linux FoundationのチーフセキュリティアーキテクトでもあるRobinson氏は4月7日のセキュリティアドバイザリーで述べました。「バイナリを実行するとシステム全体が侵害される可能性があります。」
RobinsonはSlack経由でなりすまされているLinux Foundation関係者の身元を明かすことを拒否し、認証情報盗難の試みの責任者が誰であるかは知らないと述べました。
「関係者に基づくと、その人物の評判を利用してソーシャルエンジニアリングを活用した標的型攻撃である可能性があります」と彼はThe Registerに述べました。「他のLFプロジェクトは過去数か月間、同様のソーシャルエンジニアリング手法による取り組みに直面しています。この最新の努力はそれらと一貫していて、特に共有されているURLについてもそうです。」
Google のスポークスパーソンは、クラウド大手のセキュリティアナリストがこのキャンペーンを調査しており、なりすまし ページを削除したと述べました。
「このアクティビティはフィッシングページをホストするためにGoogle Sitesを悪用したソーシャルエンジニアリングキャンペーンでした。Google Workspace内のセキュリティ脆弱性や根本的な欠陥ではありません」とGoogle のスポークスパーソンは述べました。「より広いエコシステムを保護するために、このタイプのプラットフォーム悪用を監視して軽減し続けています。」
スポークスパーソンはまた、正当なGoogle Workspace認証は、ユーザーがルート証明書を手動でインストールしたり、アカウントを「確認」するためにリンクからバイナリをダウンロードしたりすることは決して要求しないと述べました。
このキャンペーンによって侵害された可能性があると思われる場合、Robinsonはネットワークから切断し、新しくインストールされたすべての証明書を削除し、アクティブなセッションとトークンを取り消し、すべての認証情報をローテーションするよう強く促しています。
「このキャンペーンは増加傾向を強調しています:攻撃者はソフトウェアの脆弱性だけでなく、開発者のワークフローと信頼関係をターゲットにしています」とRobinsonはセキュリティアラートに書いています。「警戒を続け、行動する前に検証することは、個別の環境とより広いオープンソースエコシステムの両方を保護するために重要です。」
LFプロジェクトをターゲットにしたこのソーシャルエンジニアリング試みは、3月のオープンソース開発者に対する他の2つの著名な攻撃に続いています。
まず、攻撃者はTrivyを攻撃しました。これは100,000人以上のユーザーと貢献者を持ち、数千のCI/CDパイプラインに組み込まれた脆弱性スキャナです。月の後半、北朝鮮関連の攻撃者は、偽の会社とSlackワークスペースを使用して、Axiosメンテナンス担当者をソーシャルエンジニアリングで操り、メンテナンス担当者のアカウントを侵害し、リモートアクセストロイの木馬を含むオープンソースJavaScriptライブラリの悪意あるバージョンを公開しました。
「このタイプのアクティビティでターゲットにされている開発者が増えています」とCisco Talosアウトリーチリーダーのニック・ビアシーニはTrivyとAxiosサプライチェーン攻撃に関する以前のインタビューで述べました。
「攻撃者はサプライチェーンとオープンソースパッケージを本当に調査し始めており、脅威の種類に応じてマルウェアを配信したりデータを収集したりするために開発者を侵害する方法を見つけ出しています」とBiasiniは述べました。®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2026/04/13/linux_foundation_social_engineering/
