Представьте, что к вам обращается человек, облеченный властью, с какой-либо просьбой. Неизвестный злоумышленник, распространяющий вредоносное ПО и нацеленный на разработчиков открытого исходного кода через Slack, выдавал себя за реального сотрудника Linux Foundation и использовал страницы, размещенные на Google.com, для кражи учетных данных разработчиков и захвата их систем.
Технический директор Open Source Security Foundation (OpenSSF) Кристофер Робинсон сообщил изданию The Register, что кампания по социальной инженерии нацелена конкретно на проекты TODO (Talk Openly, Develop Openly) и CNCF (Cloud Native Computing Foundation), которые курируются Linux Foundation.
TODO призван помогать организациям обмениваться передовыми практиками и инструментами для управления инициативами в области открытого исходного кода, а CNCF поддерживает облачные нативные проекты, включая Kubernetes, Envoy и Prometheus.
Выдавая себя за доверенного лидера сообщества Linux Foundation в Slack, злоумышленник пытался заставить разработчиков перейти по фишинговой ссылке, размещенной на Google Sites: https://sites[.]google[.]com/view/workspace-business/join.
Ссылка имитирует законный процесс входа в Google Workspace, но перенаправляет пользователей на мошенническую процедуру аутентификации, требуя ввести учетные данные, а затем установить поддельный корневой сертификат, маскирующийся под сертификат Google.
Поддельный сертификат является вредоносным ПО: на macOS он загружает и выполняет бинарный файл (gapi) с удаленного IP-адреса (2.26.97.61), а на машинах под управлением Windows он инициирует установку вредоносного сертификата через диалоговое окно доверия браузера.
Другие проекты LF сталкивались с аналогичными попытками социальной инженерии в последние несколько месяцев. Эта последняя попытка была весьма последовательной с ними
«Установка сертификата позволяет перехватывать зашифрованный трафик и красть учетные данные», — заявил Робинсон, который также является главным архитектором безопасности Linux Foundation, в консультативном уведомлении по безопасности от 7 апреля, опубликованном. «Выполнение бинарного файла может привести к полному компрометации системы».
Робинсон отказался назвать сотрудника Linux Foundation, которого выдавал себя злоумышленник в Slack, и сообщил, что ему неизвестно, кто несет ответственность за попытки кражи учетных данных.
«Судя по задействованным лицам, это может быть целенаправленная атака с целью использования репутации этого человека посредством социальной инженерии», — сказал он The Register. «Другие проекты LF сталкивались с аналогичными попытками социальной инженерии в последние несколько месяцев. Эта последняя попытка была весьма последовательной с ними, особенно в отношении используемой ссылки».
Представитель Google сообщил, что аналитики безопасности облачного гиганта расследуют эту кампанию и уже удалили поддельные страницы.
«Эта активность представляла собой кампанию социальной инженерии, которая использовала Google Sites для размещения фишинговой страницы; это не является уязвимостью безопасности или внутренней ошибкой в Google Workspace», — сообщил нам представитель Google. «Мы продолжаем отслеживать и смягчать последствия такого злоупотребления платформой для защиты более широкой экосистемы».
Представитель также отметил, что законная аутентификация Google Workspace никогда не потребует от пользователя вручную устанавливать корневой сертификат или загружать бинарный файл по ссылке для «проверки» учетной записи.
Если вы подозреваете, что могли стать жертвой этой кампании, Робинсон настоятельно рекомендует отключиться от сети, удалить все недавно установленные сертификаты, отозвать активные сеансы и токены, а также сменить все учетные данные.
«Эта кампания подчеркивает растущую тенденцию: злоумышленники нацеливаются на рабочие процессы разработчиков и доверительные отношения, а не только на уязвимости программного обеспечения», — написал Робинсон в оповещении о безопасности. «Сохранение бдительности и проверка перед действием имеют решающее значение для защиты как отдельных сред, так и более широкой экосистемы открытого исходного кода».
Эта попытка социальной инженерии, нацеленная на проекты LF, последовала за двумя другими громкими атаками на разработчиков открытого исходного кода в марте.
Во-первых, злоумышленники атаковали Trivy — сканер уязвимостей с более чем 100 000 пользователей и контрибьюторов, который встроен в тысячи конвейеров CI/CD. Позже в том же месяце злоумышленники, связанные с Северной Кореей, применили социальную инженерию в отношении мейнтейнера Axios, используя поддельную компанию и рабочее пространство Slack для компрометации учетной записи мейнтейнера и публикации вредоносных версий библиотеки JavaScript с открытым исходным кодом, содержащей троян удаленного доступа.
«Мы видим, что все больше разработчиков становятся мишенями для такого рода деятельности», — сказал изданию The Register руководитель отдела по связям Cisco Talos Ник Бьязини в более раннем интервью о цепочечных атаках на Trivy и Axios.
«Злоумышленники начинают по-настоящему изучать цепочки поставок и пакеты с открытым исходным кодом и искать способы скомпрометировать разработчиков для доставки вредоносного ПО или сбора данных, в зависимости от типа угрозы», — добавил Бьязини. ®
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Jessica Lyons
