Ciberdelincuentes están suplantando la identidad de directivos de la Linux Foundation en Slack con el fin de engañar a desarrolladores de código abierto y lograr que comprometan sus propios sistemas. Según expertos en seguridad, la campaña se dirige específicamente a miembros de los proyectos CNCF y TODO.
Los atacantes emplean una página fraudulenta de Google Sites que imita el proceso legítimo de inicio de sesión de Google Workspace. Una vez que los desarrolladores introducen sus credenciales, el sitio les solicita la instalación de un certificado raíz falso, camuflado como una medida de seguridad de Google.
La instalación de este certificado permite a los atacantes interceptar el tráfico cifrado y robar información sensible. En sistemas macOS, el ataque también activa la descarga de un binario malicioso llamado 'gapi' desde una dirección IP remota.
Ingeniería social dirigida
Christopher Robinson, CTO de la Open Source Security Foundation (OpenSSF) y arquitecto jefe de seguridad de la Linux Foundation, identificó la campaña como un esfuerzo de ingeniería social dirigida. Señaló que el ataque se aprovecha de la reputación consolidada de los líderes de la comunidad de la Linux Foundation para ganarse la confianza de las víctimas.
"La instalación del certificado permite la interceptación del tráfico cifrado y el robo de credenciales", afirmó Robinson en un reciente aviso de seguridad. "La ejecución del binario podría resultar en el compromiso total del sistema".
Robinson añadió que otros proyectos de Linux han enfrentado intentos similares de ingeniería social durante los últimos meses. Asimismo, destacó que la estructura de la URL utilizada en este último ataque es coherente con ataques previos.
Google confirmó que está investigando el uso indebido de su plataforma. Un portavoz de la compañía declaró que ya han retirado las páginas fraudulentas y aclaró que el incidente se trata de un abuso de Google Sites y no de una vulnerabilidad en Google Workspace.
Google también advirtió a los usuarios que los procesos de autenticación legítimos nunca requerirán la instalación manual de un certificado raíz ni la descarga de un binario para verificar una cuenta.
