假冒Linux基金会官员通过Slack实施网络钓鱼，窃取开发者凭据

一起针对开源软件开发者的恶意攻击近日曝光。攻击者在Slack上冒充Linux基金会真实官员，并借助托管在Google网站上的页面，实施网络钓鱼攻击，企图窃取开发者凭据并控制其系统。

开源安全基金会（OpenSSF）首席技术官Christopher Robinson向媒体透露，此次社会工程学攻击专门针对TODO（Talk Openly, Develop Openly）和CNCF（云原生计算基金会）两个由Linux基金会托管的项目。TODO旨在帮助各组织分享管理开源项目的最佳实践与工具，CNCF则负责支持包括Kubernetes、Envoy和Prometheus在内的云原生项目。

攻击手法分析

攻击者在Slack中伪装成受信任的Linux基金会社区负责人，诱导开发者点击托管在Google Sites上的钓鱼链接。该链接模仿了合法的Google Workspace登录流程，实则将用户引导至虚假身份验证页面，诱骗其输入账号密码，随后要求安装一个伪装成Google证书的虚假根证书。

这一伪造证书实为恶意软件：在macOS系统上，它会从远程IP（2.26.97.61）下载并执行名为"gapi"的二进制文件；在Windows系统上，则通过浏览器信任对话框提示用户安装恶意证书。

Robinson在4月7日发布的安全公告中警告称："安装该证书将导致加密流量被拦截及凭据被盗。执行该二进制文件可能造成系统被完全控制。"Robinson同时担任Linux基金会首席安全架构师一职。目前，他拒绝透露被冒充的Linux基金会官员身份，也尚未掌握攻击者的具体信息。

"根据涉及人员的情况判断，这可能是一次有针对性的攻击，攻击者利用特定人员的声誉实施社会工程学欺骗。"他表示，"Linux基金会旗下其他项目在过去数月中也遭遇过类似的社会工程学攻击，此次攻击与此前案例高度一致，尤其是所分享的URL格式。"

谷歌的回应与处置

谷歌方面表示，安全分析团队已对此次攻击展开调查，并下线了相关仿冒页面。谷歌发言人强调，此次事件是滥用Google Sites托管钓鱼页面的社会工程学攻击，并非Google Workspace本身存在安全漏洞或设计缺陷。谷歌将持续监控并遏制此类平台滥用行为。

该发言人还特别指出，合法的Google Workspace身份验证流程从不要求用户手动安装根证书，或通过链接下载二进制文件来"验证"账号。

如何应对疑似攻击

Robinson建议，若怀疑自己已遭受此次攻击的入侵，应立即采取以下措施：断开网络连接、删除所有新安装的证书、撤销所有活跃会话和Token，并更换全部凭据。

他在安全警告中写道："此次攻击揭示了一个日益明显的趋势：攻击者的目标不再局限于软件漏洞，而是将矛头指向开发者工作流程和信任关系。时刻保持警惕、行动前先核实身份，对于保护个人开发环境和整个开源生态系统至关重要。"

开源生态面临的威胁持续升级

此次针对Linux基金会项目的社会工程学攻击，发生在3月份两起针对开源开发者的高调攻击事件之后。其中之一是漏洞扫描工具Trivy遭到攻击，该工具拥有超过10万名用户和贡献者，并被嵌入数以千计的CI/CD流水线中；另一起则是朝鲜背景的攻击者通过伪造公司和Slack工作区，对JavaScript开源库Axios的维护者实施社会工程学攻击，成功入侵其账户并发布了内嵌远程访问木马的恶意版本。

思科Talos外联负责人Nick Biasini对此指出："我们发现越来越多的开发者正在成为此类攻击的目标。攻击者开始将目光投向软件供应链和开源软件包，寻找各种方式入侵开发者账户，以传播恶意软件或窃取数据。"

Q&A

Q1：这次针对Linux基金会开发者的钓鱼攻击具体是如何实施的？

A：攻击者在Slack上冒充Linux基金会的真实官员，向TODO和CNCF项目的开发者发送钓鱼链接。该链接托管在Google Sites上，模仿Google Workspace登录页面，诱导用户输入账号密码，并要求安装伪造的根证书。该证书实为恶意软件，可在macOS上下载执行恶意二进制文件，在Windows上则通过浏览器安装恶意证书，最终可能导致系统被完全控制。

Q2：如果开发者已经点击了钓鱼链接并安装了证书，应该怎么办？

A：OpenSSF首席技术官Christopher Robinson建议立即采取以下措施：第一，断开设备的网络连接；第二，删除所有新安装的证书；第三，撤销所有处于活跃状态的会话和Token；第四，更换全部账号凭据和密码。如有条件，建议同时向所在组织的安全团队报告，进行进一步排查。

Q3：谷歌Sites平台为何会被用来托管钓鱼页面，谷歌有没有采取措施？

A：攻击者利用Google Sites可免费创建网页的特性，搭建了外观与Google Workspace登录页高度相似的钓鱼页面，以此增加欺骗成功率。谷歌方面回应称，这属于平台被滥用的社会工程学攻击，而非Google Workspace自身的安全漏洞，目前相关仿冒页面已被下线，谷歌将持续监控并处置此类滥用行为。