【安全资讯】攻击者冒充Linux基金会官员，利用Slack和Google站点对开源开发者发起钓鱼攻击

概要：

在开源软件生态系统中，信任关系正成为攻击者的新目标。近期，一场针对Linux基金会旗下项目开发者的社会工程攻击活动被曝光，攻击者通过冒充权威人士，利用Slack和Google Sites精心构造钓鱼陷阱，旨在窃取凭证并完全控制系统。这一事件凸显了针对开发者工作流程和供应链的攻击趋势正在加剧。

主要内容：

攻击者冒充Linux基金会的一位真实官员，在Slack工作区中联系TODO和CNCF项目的开发者。他们发送了一个指向Google Sites的钓鱼链接，该链接伪装成合法的Google Workspace登录流程。一旦开发者点击链接，就会被诱导进入一个虚假的认证页面，要求输入凭证并安装一个伪装成Google证书的恶意根证书。

在macOS系统上，该恶意证书会从远程IP地址（2.26.97.61）下载并执行一个名为“gapi”的二进制文件。在Windows系统上，则会通过浏览器信任对话框提示用户安装恶意证书。安装此证书将使攻击者能够拦截加密流量并窃取凭证，而执行二进制文件则可能导致系统被完全控制。

Linux基金会首席安全架构师Christopher Robinson指出，攻击者正越来越多地瞄准开发者工作流程和信任关系，而不仅仅是软件漏洞本身。近几个月来，其他Linux基金会项目也遭遇了类似的社会工程攻击。此次攻击手法与之前高度一致，特别是共享的URL模式。

Google方面表示，其安全团队已对此展开调查并撤下了仿冒页面，强调这并非Google Workspace的安全漏洞，而是对Google Sites平台的滥用。专家建议，若怀疑受影响，应立即断开网络连接、移除新安装的证书、撤销活动会话和令牌，并轮换所有凭证。