Изображение: grok
Разработчики открытого программного обеспечения попали под волну целенаправленных атак, где главным инструментом стала не техническая эксплуатация уязвимостей, а многоступенчатый обман. Взлом через сотрудника Axios показал, к чему это приводит, — несколько недель человека обрабатывали через поддельный Slack, клонированный корпоративный аккаунт и фиктивный звонок в Microsoft Teams, пока он не установил вредоносную программу под видом обновления. Злоумышленники получили доступ к инфраструктуре и заразили npm-пакеты, которые скачивают более 100 млн раз в неделю.
Open Source Security Foundation предупредила, что это не разовый случай — те же методы применяются против других участников сообщества, прежде всего связанных с Node.js и npm. Исследователи Socket установили, что речь об одной и той же кампании, затронувшую широкий круг людей, в том числе сотрудников самой Socket.
Контакт устанавливается через LinkedIn или Slack — мошенники представляются работодателями, рекрутерами или медийными персонами, после чего убеждают жертву загрузить вредоносный файл под видом обновления инструментов видеосвязи. Разработчика Mocha Пелле Вессмана атаковали с помощью поддельной версии StreamYard. Среди других зафиксированных целей — Маттео Коллина из Node.js, создатель dotenv Скотт Мотт, автор Lodash Джон-Дэвид Далтон и генеральный директор Socket Феросс Абухадиджех, который прямо заявил, что подобные атаки стали регулярными.
Параллельно идёт другая линия — злоумышленники выдают себя за представителей Linux Foundation и через Slack-сообщества распространяют ссылки на страницы, имитирующие вход в Google Workspace. Там пользователя просят ввести учётные данные и поставить поддельный корневой сертификат. После этого атакующие перехватывают зашифрованный трафик и вытаскивают конфиденциальные данные.
Технический директор OpenSSF Кристофер Робинсон добавил, что на Mac параллельно запускается вредоносный исполняемый файл через скрипт — и это уже полная компрометация рабочей среды. Open source-экосистема стала удобной мишенью именно потому, что держится на доверии внутри сообщества, и мошенники это доверие используют вполне осознанно.
Оригинал публикации на сайте CISOCLUB: "OpenSSF: растет количество атак с использованием методов социнженерии на разработчиков открытого исходного".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: MAX | VK | Rutube | Telegram | Дзен | YouTube.