Een gerichte phishingcampagne heeft ontwikkelaars binnen de open sourcegemeenschap als doelwit genomen. Aanvallers deden zich voor als een bekende vertegenwoordiger van de Linux Foundation en benaderden slachtoffers via Slack met het verzoek om deel te nemen aan een schijnbaar legitiem platform.

De aanval richtte zich onder meer op deelnemers van de projecten TODO (Talk Openly, Develop Openly) en CNCF (Cloud Native Computing Foundation), initiatieven die onder de paraplu van de Linux Foundation vallen en zich richten op open sourcebeheer en cloudnative technologieën. Door zich voor te doen als vertrouwde personen binnen deze communities, wisten de aanvallers geloofwaardigheid te creëren en ontwikkelaars te verleiden tot het klikken op een link. Deze link leidde naar een pagina gehost via Google Sites, die sterk leek op een normale inlogomgeving van Google Workspace.

In werkelijkheid werden gebruikers gevraagd hun inloggegevens in te voeren en een zogenaamd beveiligingscertificaat te installeren. Dit certificaat bleek kwaadaardig en gaf de aanvallers de mogelijkheid om versleuteld verkeer te onderscheppen en toegang te krijgen tot gevoelige informatie. Op macOS-systemen werd na installatie een extern bestand gedownload en uitgevoerd, terwijl Windowsgebruikers via een browserprompt werden overgehaald om een onbetrouwbaar certificaat toe te voegen. In beide gevallen kon dit leiden tot volledige controle over het systeem van het slachtoffer.

Volgens Christopher Robinson van de Open Source Security Foundation maakt deze aanpak deel uit van een bredere trend waarbij niet softwarefouten, maar menselijke interacties en vertrouwen worden misbruikt. Hij benadrukt tegenover The Register dat het installeren van dergelijke certificaten de deur opent voor het onderscheppen van beveiligde communicatie en dat het uitvoeren van onbekende bestanden grote risico’s met zich meebrengt.

Google heeft inmiddels ingegrepen en de betreffende pagina’s offline gehaald. Een woordvoerder stelt dat er geen kwetsbaarheid in Google Workspace zelf is, maar dat het platform werd misbruikt om phishingcontent te hosten. Google benadrukt dat gebruikers nooit gevraagd zullen worden om handmatig certificaten te installeren of software te downloaden als onderdeel van een normale verificatieprocedure.

Deze campagne staat niet op zichzelf. De afgelopen maanden zijn meerdere aanvallen uitgevoerd waarbij open sourceprojecten en hun ontwikkelaars doelwit waren. Daarbij wordt steeds vaker social engineering ingezet om toegang te krijgen tot accounts of kwaadaardige code te verspreiden via vertrouwde softwareketens. Robinson adviseert organisaties en individuele ontwikkelaars alert te blijven en verdachte verzoeken altijd te verifiëren voordat actie wordt ondernomen. Bij mogelijke schade raadt hij aan systemen direct los te koppelen van het netwerk, recent geïnstalleerde certificaten te verwijderen en alle toegangsgegevens te vernieuwen.