Растет число атак на разработчиков open source с использованием социальной инженерии

Хакеры из Северной Кореи несколько недель вели целенаправленную социальную инженерию против одного из сопровождающих проекта Axios. Они использовали фальшивое рабочее пространство в Slack, скопированную идентичность компании и поддельный звонок в Microsoft Teams, чтобы обманом заставить его установить троянскую программу, маскирующуюся под обновление ПО. Получив доступ, они внедрили вредоносный код в npm-пакеты, которые скачиваются более 100 миллионов раз в неделю.

Теперь новая рекомендация от Фонда безопасности открытого исходного кода (OpenSSF) предупреждает, что неизвестные злоумышленники используют аналогичный подход для атак на других разработчиков открытого ПО.

Атака на Axios не была единичным случаем

После громкого инцидента с компрометацией Axios исследователи из Socket выяснили, что та же самая кампания была нацелена на многих других сопровождающих проектов с открытым исходным кодом, особенно тех, кто работает с Node.js и npm, а также на нескольких инженеров самой Socket.

Злоумышленники выходят на связь через LinkedIn или Slack, выдавая себя за владельцев компаний, их представителей, рекрутеров или ведущих подкастов. Они пытаются заманить разработчиков в ловушку, предлагая скачать вредоносное ПО под видом обновления или исправления для программ видеоконференцсвязи.

«Атакующие использовали поддельную платформу Streamyard, чтобы обманом заставить Пелле Вессмана, сопровождающего проект Mocha, скачать вирус. Другой эксперт, Маттео Колина, чуть не попался на удочку 2 апреля, получив сообщение в Slack. Также были атакованы Скотт Мотт, создатель dotenv, и Джон-Дэвид Далтон, создатель Lodash», — поделилась Диба Ахмед из Socket.

«Они даже нацелились на генерального директора Socket Фероса Абухадиже, создателя WebTorrent и buffer, который отметил, что подобные целевые атаки становятся "новой нормой".»

Теперь кто-то выдаёт себя за лидера Linux Foundation

Кристофер Робинсон, технический директор и главный архитектор безопасности OpenSSF, предупреждает, что атакующие в настоящее время также выдают себя за известного лидера сообщества Linux Foundation и пытаются заставить жертву перейти по вредоносной ссылке.

«Сообщество получило сообщения об активной кампании социальной инженерии, нацеленной на разработчиков открытого ПО через Slack, включая сообщества ToDoGroup и связанные с ним», — сообщил он через список рассылки OpenSSF Siren.

Ссылка, предоставляемая злоумышленниками, имитирует легитимный процесс подключения к Google Workspace, но перенаправляет разработчиков на фишинговую страницу. Там их просят ввести учётные данные для входа, код подтверждения, а затем установить поддельный корневой "сертификат Google".

Разработчики, использующие Mac, также, по-видимому, получили дополнительный вредоносный файл, который был загружен и запущен через скрипт.

«Установка такого сертификата позволяет перехватывать зашифрованный трафик и похищать учетные данные. Запуск этого файла может привести к полной компрометации системы», — отметил Робинсон.

Не доверяй. Проверяй.

Поскольку напрямую скомпрометировать исходный код открытого ПО стало сложнее, зона атаки сместилась, и целью всё чаще становится сам разработчик, который его поставляет.

«Злоумышленники атакуют рабочие процессы разработчиков и отношения доверия», — подчеркнул Робинсон, посоветовав разработчикам проверять личность тех, кто к ним обращается.

«Не доверяйте сообщениям, основываясь только на имени или аватаре, и подтверждайте необычные запросы через отдельный, известный вам канал связи. Будьте осторожны с неожиданными обращениями, даже от знакомых имен», — добавил он.

Разработчикам следует проверять, являются ли легитимными страницы для входа, на которые их направляют, избегать запуска программ или скриптов, полученных через Slack или неизвестные сайты, и быть особенно внимательными к сообщениям, предупреждающим об истечении срока действия сертификатов или срочных обновлениях.

Те, кто попался на эту уловку, должны считать свою систему, свои учетные данные, активные сеансы и токены скомпрометированными и приступить к очистке первых и замене/отзыву последних.

«Сообщите об инциденте вашей команде безопасности или организации», — также посоветовал Робинсон и попросил тех, кто наблюдал подобную активность или имеет дополнительные индикаторы, поделиться ими со своей командой безопасности и через соответствующие сообщества.

Подпишитесь на нашу рассылку экстренных новостей, чтобы никогда не пропускать последние утечки данных, уязвимости и киберугрозы. Подписаться можно здесь!