Слишком много следов?
Image

Слишком много следов?

Рассказываем, как замести цифровые следы и вернуть себе право на приватность. Стань невидимкой!

«Вас просят установить сертификат? Бегите». Хакеры разводят айтишников как малых детей

leer en español

Linux Foundation OpenSSF Google Slack Google Sites фишинг разработчики
«Вас просят установить сертификат? Бегите». Хакеры разводят айтишников как малых детей
Linux Foundation OpenSSF Google Slack Google Sites фишинг разработчики

Знакомое имя в списке контактов внезапно стало главной угрозой.

image

Атаки на разработчиков всё чаще строятся не на уязвимостях в коде, а на доверии внутри профессионального сообщества. Новая вредоносная кампания показала, насколько легко злоумышленники могут выдать себя за авторитетного участника проекта и вынудить жертву раскрыть доступы.

Неизвестный атакующий использовал Slack, чтобы выдавать себя за представителя Linux Foundation и выходить на разработчиков открытого ПО. Основной удар пришёлся по участникам проектов TODO и Cloud Native Computing Foundation, которые объединяют специалистов вокруг практик управления Open Source и облачных технологий.

Сценарий выглядел правдоподобно. Под видом лидера сообщества злоумышленник отправлял ссылку на страницу в Google Sites, оформленную как вход в Google Workspace. После перехода пользователь попадал на поддельную форму авторизации, где вводил учётные данные. Следующий шаг выглядел ещё убедительнее — система предлагала установить «корневой сертификат Google».

На деле сертификат оказывался вредоносным. На устройствах с macOS он запускал бинарный файл с удалённого сервера, а на Windows инициировал установку через диалог доверия браузера. После установки атакующий получал возможность перехватывать зашифрованный трафик и красть данные, а запуск файла мог привести к полному захвату системы.

Технический директор OpenSSF Кристофер Робинсон сообщил, что кампания явно нацелена на конкретные команды и строится на репутации известных участников. Подобные попытки уже фиксировались в других проектах Linux Foundation за последние месяцы, а текущая атака повторяет прежние приёмы — особенно по части фишинговых ссылок.

В Google подтвердили, что расследуют инцидент и уже удалили поддельные страницы. Представитель компании подчеркнул, что речь идёт не о сбое в Google Workspace, а о злоупотреблении платформой. Также напомнили, что легитимная авторизация Google никогда не требует установки сертификатов или загрузки исполняемых файлов для «подтверждения» аккаунта.

Ситуация вписывается в более широкую тенденцию. В марте злоумышленники атаковали разработчиков популярных Open Source-инструментов, включая сканер уязвимостей Trivy и библиотеку Axios. В одном случае удалось внедрить вредоносный код в цепочку поставок, в другом — получить доступ к аккаунту сопровождающего через поддельную рабочую среду.

По словам Робинсона, подобные атаки всё чаще нацелены на процессы разработки и внутренние связи между участниками проектов. Защита требует не только технических мер, но и внимательности к любым необычным запросам — даже если они исходят от знакомого имени.