Auch ohne Schwachstelle kompromittiert — die Realität „vertrauensbasierter“ Angriffe auf Open-Source-Entwickler

 (cybersecuritynews.com)
12 Punkte von darjeeling 17 일 전 | 3 Kommentare | Auf WhatsApp teilen

Open-Source-Entwickler sehen sich mit einer neuen Art von Bedrohung konfrontiert. Es handelt sich nicht um komplexe Exploits oder Zero-Day-Schwachstellen, sondern um Social-Engineering-Angriffe, die das „Vertrauen“ innerhalb der Entwickler-Community selbst als Waffe einsetzen.

Angreifer führen derzeit eine Kampagne durch, bei der sie sich auf Slack als reale Personen der Linux Foundation ausgeben, um die Installation bösartiger Dateien zu veranlassen.

Tathergang

Dieser Angriff wurde erstmals am 7. April 2026 bekannt, als Christopher "CRob" Robinson, CTO und Chief Security Architect der OpenSSF (Open Source Security Foundation), eine Hochrisiko-Warnung auf der OpenSSF-Siren-Mailingliste veröffentlichte.

Schauplatz des Angriffs waren der Slack-Workspace der TODO Group, einer Arbeitsgruppe unter dem Dach der Linux Foundation, sowie angrenzende Open-Source-Communities. Die TODO Group ist ein Zusammenschluss von Praktikern aus Open Source Program Offices (OSPOs).

Die Angreifer bauten sorgfältig eine falsche Identität eines bekannten Leaders der Linux Foundation auf und schickten den Opfern Slack-DMs mit Phishing-Links, die auf Google Sites gehostet wurden — einer Plattform, der viele Entwickler vertrauen.

Das Analyseteam von Socket.dev untersuchte den Angriff zuerst und dokumentierte seine technischen Abläufe. Die Untersuchung zeigte, dass es sich nicht um einen einfachen Phishing-Versuch handelte, sondern um eine mehrstufige Operation, die darauf ausgelegt war, das tief verwurzelte Vertrauen innerhalb der Open-Source-Community auszunutzen.

Der Köder: „Sie können vorab wissen, ob Ihr PR gemergt wird“

Die Nachricht der Angreifer war äußerst ausgefeilt. Die als Linux-Foundation-Leader auftretenden Angreifer behaupteten, ein exklusives KI-Tool zu haben, das die Dynamik von Open-Source-Projekten analysieren und vorhersagen könne, welche Code-Beiträge (PRs) gemergt werden, noch bevor Reviewer sie sehen.

Die Nachricht betonte die Exklusivität mit Formulierungen wie „derzeit nur mit wenigen geteilt“ und lieferte zusammen mit dem Phishing-Link eine gefälschte E-Mail-Adresse und einen Access Key, damit der falsche Workspace echt wirkte.

Schritt-für-Schritt-Analyse des Angriffs

Der Angriff läuft in insgesamt vier Phasen ab:

Phase 1 — Identitätsdiebstahl (Impersonation)

Durch das Kopieren des Slack-Profils einer real existierenden Person der Linux Foundation wird Vertrauen aufgebaut.

Phase 2 — Phishing

Die Opfer werden zum Klick auf einen auf Google Sites gehosteten Phishing-Link verleitet. Eine gefälschte Seite, die wie ein legitimer Authentifizierungsablauf aussieht, stiehlt E-Mail-Adresse und Verifizierungscode.

Phase 3 — Sammeln von Zugangsdaten (Credential Harvesting)

Nach dem Diebstahl der Zugangsdaten fordert die Phishing-Seite die Opfer dazu auf, ein bösartiges Root-Zertifikat zu installieren, das als „Google-Zertifikat“ getarnt ist.

Phase 4 — Auslieferung von Malware (Malware Delivery)

Sobald das Root-Zertifikat installiert ist, können die Angreifer verschlüsselten Traffic zwischen dem Gerät des Opfers und allen Websites unbemerkt abfangen.

Infektionsmechanismus nach Plattform

macOS

Nach der Installation des bösartigen Root-Zertifikats lädt ein Skript automatisch eine Binärdatei namens gapi von der Remote-IP 2.26.97.61 herunter und führt sie aus. Diese Binärdatei verschafft den Angreifern die vollständige Kontrolle über das Gerät, einschließlich Dateizugriff, weiterem Diebstahl von Zugangsdaten und Ausführung entfernter Befehle.

Windows

Über einen Browser-Vertrauensdialog wird zur Installation des bösartigen Zertifikats verleitet; nach der Installation ist auf dieselbe Weise das Abfangen verschlüsselten Traffics möglich.

Empfehlungen der OpenSSF

OpenSSF riet Entwicklern, die in Open-Source-Slack-Communities aktiv sind, zu Folgendem:

  1. Out-of-Band-Identitätsprüfung: Verlassen Sie sich nicht allein auf den Anzeigenamen oder das Profilbild in Slack, sondern prüfen Sie die Identität über einen separaten, bekannten Kanal
  2. Anfragen zur Installation von Root-Zertifikaten ablehnen: Installieren Sie niemals Root-Zertifikate über Links, die per Chat oder E-Mail übermittelt wurden. Seriöse Dienste verlangen das nicht
  3. MFA aktivieren: Selbst wenn Zugangsdaten gestohlen werden, lässt sich der Schaden dadurch begrenzen

Einordnung

Dieser Angriff ist bemerkenswert, weil nicht eine technische Schwachstelle, sondern die Vertrauensstruktur der Community selbst als Angriffsvektor genutzt wird. Gerade in eng vernetzten Communities wie dem Open-Source-Ökosystem kann die Wachsamkeit leiden, wenn vertraute Namen und plausibel klingende Angebote ins Spiel kommen.

Dass der Köder „KI sagt voraus, ob ein PR gemergt wird“ auf Entwickler besonders attraktiv wirken kann, zeigt zusätzlich, wie raffiniert dieser Angriff ist. Bei unbekannten Links und Aufforderungen zur Installation von Root-Zertifikaten ist es notwendig, selbst bei scheinbar vertrauenswürdigen Quellen noch einmal skeptisch zu sein.

Dieser Artikel wurde auf Grundlage des Originalartikels von Cyber Security News übersetzt und bearbeitet.

Verwandte Beiträge

3 Kommentare

 
shakespeares 16 일 전

Wegen KI treiben Hacker jetzt noch ungehinderter ihr Unwesen.
 
happing94 16 일 전

IT ist ein Schutzschild, der einen Speer nicht besiegen kann.
 
tangokorea 16 일 전

KI ist für Hacker wirklich eine große Hilfe.