«Вас просят установить сертификат? Бегите». Хакеры разводят айтишников как малых детей
NewsMakerЗнакомое имя в списке контактов внезапно стало главной угрозой.
Атаки на разработчиков всё чаще строятся не на уязвимостях в коде, а на доверии внутри профессионального сообщества. Новая вредоносная кампания показала , насколько легко злоумышленники могут выдать себя за авторитетного участника проекта и вынудить жертву раскрыть доступы.
Неизвестный атакующий использовал Slack, чтобы выдавать себя за представителя Linux Foundation и выходить на разработчиков открытого ПО. Основной удар пришёлся по участникам проектов TODO и Cloud Native Computing Foundation, которые объединяют специалистов вокруг практик управления Open Source и облачных технологий.
Сценарий выглядел правдоподобно. Под видом лидера сообщества злоумышленник отправлял ссылку на страницу в Google Sites, оформленную как вход в Google Workspace. После перехода пользователь попадал на поддельную форму авторизации, где вводил учётные данные. Следующий шаг выглядел ещё убедительнее — система предлагала установить «корневой сертификат Google».
На деле сертификат оказывался вредоносным. На устройствах с macOS он запускал бинарный файл с удалённого сервера, а на Windows инициировал установку через диалог доверия браузера. После установки атакующий получал возможность перехватывать зашифрованный трафик и красть данные, а запуск файла мог привести к полному захвату системы.
Атаки на разработчиков всё чаще строятся не на уязвимостях в коде, а на доверии внутри профессионального сообщества. Новая вредоносная кампания показала , насколько легко злоумышленники могут выдать себя за авторитетного участника проекта и вынудить жертву раскрыть доступы.
Неизвестный атакующий использовал Slack, чтобы выдавать себя за представителя Linux Foundation и выходить на разработчиков открытого ПО. Основной удар пришёлся по участникам проектов TODO и Cloud Native Computing Foundation, которые объединяют специалистов вокруг практик управления Open Source и облачных технологий.
Сценарий выглядел правдоподобно. Под видом лидера сообщества злоумышленник отправлял ссылку на страницу в Google Sites, оформленную как вход в Google Workspace. После перехода пользователь попадал на поддельную форму авторизации, где вводил учётные данные. Следующий шаг выглядел ещё убедительнее — система предлагала установить «корневой сертификат Google».
На деле сертификат оказывался вредоносным. На устройствах с macOS он запускал бинарный файл с удалённого сервера, а на Windows инициировал установку через диалог доверия браузера. После установки атакующий получал возможность перехватывать зашифрованный трафик и красть данные, а запуск файла мог привести к полному захвату системы.