Een gerichte phishingcampagne heeft ontwikkelaars binnen de open sourcegemeenschap in het vizier genomen door misbruik te maken van vertrouwen en bestaande samenwerkingskanalen. Aanvallers deden zich voor als een bekende vertegenwoordiger van de Linux Foundation en benaderden slachtoffers via Slack met het verzoek om deel te nemen aan een ogenschijnlijk legitiem platform.
De aanval richtte zich onder meer op deelnemers van de projecten TODO ((Talk Openly, Develop Openly) en CNCF (Cloud Native Computing Foundation. Dit zijn initiatieven die onder de paraplu van de Linux Foundation vallen en zich richten op respectievelijk open sourcebeheer en cloudnative technologieën. Door zich voor te doen als een vertrouwd persoon binnen deze communities, wisten de aanvallers geloofwaardigheid op te bouwen en ontwikkelaars te verleiden tot het volgen van een link.
Die link leidde naar een pagina die werd gehost via Google Sites en sterk leek op een normale inlogomgeving van Google Workspace. In werkelijkheid werd gebruikers gevraagd hun inloggegevens af te staan en vervolgens een zogenaamd beveiligingscertificaat te installeren. Dat certificaat bleek kwaadaardig en gaf de aanvaller de mogelijkheid om versleuteld verkeer te onderscheppen en toegang te krijgen tot gevoelige informatie.
Op systemen met macOS werd na installatie een extern bestand gedownload en uitgevoerd, terwijl Windowsgebruikers via een browserprompt werden overgehaald om een onbetrouwbaar certificaat toe te voegen. In beide gevallen kon dit leiden tot volledige controle over het systeem van het slachtoffer.
Social engineering wint terrein binnen open source
Volgens Christopher Robinson van de Open Source Security Foundation is deze aanpak onderdeel van een bredere ontwikkeling waarbij niet zozeer softwarefouten worden misbruikt, maar menselijke interacties en vertrouwen centraal staan. Hij benadrukt tegenover The Register dat het installeren van dergelijke certificaten de deur openzet voor het onderscheppen van beveiligde communicatie en dat het uitvoeren van onbekende bestanden grote risico’s met zich meebrengt.
Google heeft inmiddels ingegrepen en de betreffende pagina’s offline gehaald. Een woordvoerder van het bedrijf laat weten dat er geen sprake is van een kwetsbaarheid in Google Workspace zelf, maar dat het platform werd misbruikt om phishingcontent te hosten. Tegelijkertijd onderstreept Google dat gebruikers nooit gevraagd zullen worden om handmatig certificaten te installeren of software te downloaden als onderdeel van een normale verificatieprocedure.
De campagne staat niet op zichzelf. De afgelopen maanden zijn meerdere aanvallen uitgevoerd waarbij open sourceprojecten en hun ontwikkelaars doelwit waren. Daarbij wordt steeds vaker gebruikgemaakt van social engineering om toegang te krijgen tot accounts of om kwaadaardige code te verspreiden via vertrouwde softwareketens.
Robinson adviseert organisaties en individuele ontwikkelaars om alert te blijven en verdachte verzoeken altijd te verifiëren voordat actie wordt ondernomen. In gevallen waar mogelijk al schade is aangericht, raadt hij aan om systemen direct los te koppelen van het netwerk, recent geïnstalleerde certificaten te verwijderen en alle toegangsgegevens te vernieuwen.