Open Source Security Foundation(OpenSSF)近日發布安全公告,指出
有攻擊者在 Slack 上冒充 Linux Foundation 相關社群領袖,鎖定軟體開發者進行網釣。此類訊息多以私訊方式發送,並以「內部限定」與「搶先體驗」等話術誘導受害者依指示前往假冒的登入頁面。
OpenSSF 表示,這波活動曾鎖定 TODO Group 的 Slack 工作區。攻擊者在對話中聲稱有一款「祕密 AI 工具」可預測程式碼是否會被專案接受,並提供偽造的聯絡信箱與存取金鑰來提高可信度。受害者一旦上鉤,便會被導向外觀類似 Google 的網站流程,並被要求輸入電子郵件與代碼。
關鍵步驟出現在後段:該網站會要求安裝所謂的「Google 憑證」,但實際上是惡意根憑證。一旦安裝完成,攻擊者便可能攔截加密連線,監看瀏覽行為與傳輸內容,進一步竊取敏感資料,甚至擴大為系統層級的入侵。
OpenSSF 也指出,不同作業系統面臨的風險不盡相同。
在 macOS 上,網站可能嘗試執行名為 gapi 的檔案,導致主機被完全接管。
在 Windows 上,則可能引導使用者信任假憑證,以達到同樣的流量監看與資料竊取目的。外媒也提到,這類手法與近期鎖定開發者社群的攻擊活動相近,研究人員曾將部分行動與北韓相關的國家級駭客組織連結。
OpenSSF 安全專家 Christopher Robinson 提醒,不要因為對方的名稱或頭像看起來熟悉就降低戒心,社群領袖身分很容易被冒用。若收到要求安裝憑證或提供存取金鑰的訊息,應視為高度風險情境,並立即通報。
防護建議
- 不要透過私訊連結安裝任何憑證,尤其是根憑證
- 驗證訊息來源,改用已知管道聯絡對方或社群管理員
- 若已點擊可疑連結,請立即更換密碼並啟用多因素驗證,並檢查是否已安裝憑證或可疑程式
本文轉載自 HackRead。