🎯 Contexte
Le 7 avril 2026, l’OpenSSF Siren (mailing list de threat intelligence de l’Open Source Security Foundation) a publié une alerte de haute sévérité concernant une campagne active ciblant les développeurs open source via Slack. L’analyse détaillée a été publiée par Socket le 8 avril 2026.
🕵️ Mécanisme d’attaque
L’attaque se déroule en quatre étapes :
- Usurpation d’identité : l’attaquant se fait passer pour un leader reconnu de la Linux Foundation dans le workspace Slack du TODO Group (groupe de travail Linux Foundation dédié aux OSPO).
- Phishing : la victime reçoit un message direct avec un lien vers
https://sites.google.com/view/workspace-business/join, hébergé sur l’infrastructure légitime Google Sites pour contourner les filtres de sécurité. - Collecte de credentials : un faux flux d’authentification récolte l’adresse email et un code de vérification.
- Livraison de malware : la victime est invitée à installer un faux « certificat Google » (certificat racine malveillant).
💻 Divergence par plateforme
- macOS : un script télécharge et exécute un binaire nommé
gapidepuis l’IP distante2.26.97.61, pouvant mener à une compromission totale du système. - Windows : installation du certificat malveillant via une boîte de dialogue de confiance du navigateur, permettant l’interception du trafic chiffré.
🎣 Leurre utilisé
L’attaquant a utilisé le prétexte d’un outil d’IA privé censé analyser les dynamiques de projets open source et prédire les contributions acceptées. Le message insistait sur l’exclusivité de l’accès. Le message contenait l’URL de phishing, une fausse adresse email (cra@nmail.biz) et une clé d’accès (CDRX-NM71E8T).
🔗 Liens avec d’autres campagnes
Une campagne similaire ciblant des mainteneurs Node.js (Fastify, Lodash, dotenv, Node.js core) a été rapportée la semaine précédente. Des chercheurs de Mandiant ont lié cette campagne à un acteur lié à la RPDC (DPRK). Le lien entre les deux campagnes n’est pas confirmé, mais le playbook d’ingénierie sociale est identique.
📋 Type d’article
Il s’agit d’une alerte de sécurité combinée à une analyse de menace, publiée par Socket sur la base de l’advisory OpenSSF Siren, visant à informer la communauté open source des indicateurs de compromission et des tactiques employées.
🧠 TTPs et IOCs détectés
Acteurs de menace
- Lazarus Group (state-sponsored) — orkl.eu · Malpedia · MITRE ATT&CK
TTP
- T1566.002 — Phishing: Spearphishing Link (Initial Access)
- T1534 — Internal Spearphishing (Lateral Movement)
- T1656 — Impersonation (Defense Evasion)
- T1539 — Steal Web Session Cookie (Credential Access)
- T1573 — Encrypted Channel (Command and Control)
- T1553.004 — Subvert Trust Controls: Install Root Certificate (Defense Evasion)
- T1059 — Command and Scripting Interpreter (Execution)
- T1105 — Ingress Tool Transfer (Command and Control)
IOC
- IPv4 :
2.26.97.61— AbuseIPDB · VT · ThreatFox - Domaines :
nmail.biz— VT · URLhaus · ThreatFox - URLs :
https://sites.google.com/view/workspace-business/join— URLhaus - Emails :
cra@nmail.biz - Fichiers :
gapi
Malware / Outils
- gapi (other)
🔗 Source originale : https://socket.dev/blog/attackers-impersonating-linux-foundation-leaders-in-slack-targeting-oss-developers