网络犯罪分子正通过 Slack 冒充 Linux 基金会官员,诱导开源开发者在不知情的情况下使自己的系统面临风险。据安全专家透露,此次攻击专门针对 CNCF 和 TODO 项目的成员。
攻击者利用伪造的 Google Sites 页面模拟合法的 Google Workspace 登录流程。开发者在输入登录凭据后,页面会提示其安装一个伪装成 Google 安全措施的虚假根证书。
安装该证书后,攻击者便可拦截加密流量并窃取敏感信息。在 macOS 系统上,该攻击还会触发从远程 IP 地址下载名为“gapi”的恶意二进制文件。
有针对性的社会工程学攻击
开源安全基金会 (OpenSSF) 首席技术官 (CTO) 兼 Linux 基金会首席安全架构师 Christopher Robinson 指出,这是一场有针对性的社会工程学攻击。他表示,攻击者利用 Linux 基金会社区领导者已建立的信誉来获取用户的信任。
Robinson 在最近发布的一份安全公告中表示:“安装该证书可实现对加密流量的拦截及凭据窃取。运行该二进制文件可能导致整个系统被完全控制。”
Robinson 补充称,在过去的几个月里,其他 Linux 基金会旗下的项目也遭遇过类似的社会工程学攻击。他指出,此次攻击所使用的 URL 结构与之前的攻击手段高度一致。
Google 已确认正在调查其平台被滥用的情况。一名发言人表示,公司已经下架了这些伪造页面,并澄清此次事件属于对 Google Sites 的滥用,而非 Google Workspace 本身的漏洞。
Google 同时提醒用户,合法的身份验证流程绝不会要求用户手动安装根证书,或通过下载二进制文件来验证账户。
