Aanvallers misleiden ontwikkelaars via Slack en Google Sites

In dit artikel:

Ontwikkelaars binnen de open sourcegemeenschap zijn recent doelwit geworden van een gerichte phishingcampagne waarbij aanvallers zich voordeden als een bekende vertegenwoordiger van de Linux Foundation en slachtoffers via Slack benaderden. De focus lag onder meer op deelnemers van de TODO- en CNCF-projecten; door in bestaande samenwerkingskanalen vertrouwen te wekken werden ontwikkelaars verleid een link te volgen naar een nagemaakte inlogpagina op Google Sites.

De valse pagina leek op een Google Workspace-login maar vroeg om inloggegevens en het handmatig installeren van een zogenaamd beveiligingscertificaat. Dat certificaat was kwaadaardig: het maakte het mogelijk versleuteld verkeer te onderscheppen (man-in-the-middle) en gevoelige data af te pakken. Op macOS-systemen werd na installatie bovendien een extern bestand gedownload en uitgevoerd; Windowsgebruikers kregen een browserprompt om een onbetrouwbaar certificaat toe te voegen. In beide gevallen kon de aanvaller zo vergaande toegang tot systemen verkrijgen.

Christopher Robinson van de Open Source Security Foundation plaatst deze aanval in een bredere trend: criminelen richten zich steeds vaker op menselijke zwaktes en vertrouwen in plaats van op softwarebugs. Google heeft de misbruikte Sites-pagina’s inmiddels verwijderd en benadrukt dat Google Workspace zelf niet is gekraakt en dat normale verificatie nooit het handmatig installeren van certificaten of het downloaden van software vereist.

Advies aan projecten en individuele ontwikkelaars: verifieer verdachte verzoeken altijd via een ander kanaal, installeer geen onbekende certificaten, schakel bij mogelijke compromittering systemen offline, verwijder recent toegevoegde certificaten en wijzig alle inloggegevens. Extra maatregelen zijn het verplichten van sterke 2FA (bij voorkeur hardwaretokens), beperken van administratieve rechten en het trainen van teams in social-engineeringherkenning om herhaling te voorkomen.