北京
2026年4月7日,OpenSSF(开源安全基金会)Siren邮件列表收到一份高危预警。CTO Christopher "CRob" Robinson披露:有人正在Slack上冒充Linux基金会社区领袖,向开源开发者定向投毒。
目标锁定TODO Group——这是Linux基金会旗下专门服务开源项目办公室(OSPO)从业者的工作组。攻击者没选技术小白下手,而是精准瞄准最懂安全的那群人。
信任即攻击面
开源社区的运作逻辑有点像小镇集市。大家低头不见抬头见,GitHub上互相review代码,Slack里讨论技术方案,信任是默认设置。攻击者吃透了这个心理。
他们花了大量时间构建假身份——从头像到说话方式,完全克隆一位Linux基金会知名领袖。然后以"内测邀请"的名义私聊目标,话术极其诱人:一个能预测代码合并结果的AI工具,"目前只分享给少数人"。
钓鱼链接挂在Google Sites上。开发者天天用Google服务,看到熟悉域名会本能放松警惕。链接附带伪造的邮箱地址和访问密钥,整个流程看起来像是正经的企业内测。
Socket.dev的安全工程师最早介入分析。他们发现这不是批量撒网的低级钓鱼,而是一场多阶段、分平台的精密操作。每一步都针对开发者的行为习惯设计。
第一步:收集凭证。点击链接后,受害者进入一个伪造的认证页面,输入邮箱和验证码——这些信息被实时传回攻击者服务器。
第二步:植入根证书。钓鱼页面引导用户安装所谓的"Google证书",实则是恶意根证书。一旦装上,攻击者就能静默解密受害者与任何网站之间的HTTPS流量。
第三步:系统级渗透。根据操作系统不同,攻击走向分叉——macOS用户会被自动下载执行名为gapi的二进制文件,来源IP锁定为2.26.97.61。
为什么开发者会中招
这事有点反直觉。TODO Group的成员大多是各公司的OSPO负责人,日常的工作就是评估开源安全风险。他们本该是最难骗的一群人。
但攻击者换了打法。不是技术对抗,而是社交工程——利用的是开源社区特有的协作信任。当你收到"圈内大佬"的私邀,讨论的是你最关心的AI提效工具,警惕心会自然下降。
Google Sites的滥用也是关键设计。开发者对Google基础设施有路径依赖,看到sites.google.com的域名,浏览器没报警,大脑先一步放行。
Socket.dev的分析师指出,这种"信任链劫持"比传统钓鱼难防得多。攻击者没有利用任何0day漏洞,而是寄生在正常的协作流程里。
整个攻击链条暴露了一个尴尬现实:开源社区的安全模型假设"代码可信",却很少验证"发代码的人是谁"。Slack的DM功能成了完美的渗透通道——没有公开审计,没有第三方见证,一对一的对话天然屏蔽了集体警觉。
开源安全的结构性软肋
这不是Linux基金会第一次被冒名。2024年就有攻击者伪造基金会邮件,向维护者发送恶意补丁。但那次是广撒网,这次是针对特定Slack工作组的精准狙击。
TODO Group的封闭性反而成了弱点。作为一个需要邀请加入的专业社区,成员默认"群里都是自己人"。攻击者混进来后,这种准入门槛带来的安全感,直接转化为诈骗成功率。
更深层的问题在于身份验证的缺失。开源协作长期依赖Git提交签名、邮件列表等异步工具,实时聊天场景的身份核验几乎是空白。Slack支持工作区认证,但跨工作区的私聊没有统一信任锚点。
CRob在预警中特别强调:攻击者使用的AI工具话术,恰好击中了开发者当下的焦虑。GitHub Copilot已经改变编码习惯,谁不想提前知道哪个PR会被合并?这种FOMO(错失恐惧)心理,让"内测邀请"的钩子格外锋利。
从技术细节看,gapi二进制文件的远程加载方式,暗示攻击者可能准备了更多后续载荷。macOS的脚本自动化执行,也说明他们对开发者主力机型的调研相当充分。
防御建议与未解疑问
OpenSSF的应急建议很务实:任何工作区内的私聊链接,先通过公开渠道二次确认;安装证书前检查签发者;对"独家内测"类话术保持默认怀疑。
但这些措施依赖个人警觉,无法解决结构性问题。Linux基金会事后加强了TODO Group的邀请审核,但Slack作为第三方平台,基金会对其安全控制能力有限。
攻击者的gapi载荷目前尚未完全解析,2.26.97.61这个IP的关联基础设施也在持续追踪中。一个悬念是:这次钓鱼获取的HTTPS解密能力,是否已经被用于针对特定开源项目的供应链攻击?
开源社区正在讨论更激进的方案——比如工作区间引入双向身份验证,或者对私聊中的外部链接强制添加延迟确认。但任何增加摩擦的设计,都与开源文化追求的"低门槛协作"存在张力。
CRob在邮件列表的结尾写道:「我们习惯了验证代码,现在需要开始学习验证对话。」这句话被多个开发者截图转发。而那个伪造的AI工具承诺——预测合并结果——至今没有产品真正实现。攻击者比产品经理更懂开发者想要什么。
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
