Gapi

🎯 Contexte Le 7 avril 2026, l’OpenSSF Siren (mailing list de threat intelligence de l’Open Source Security Foundation) a publié une alerte de haute sévérité concernant une campagne active ciblant les développeurs open source via Slack. L’analyse détaillée a été publiée par Socket le 8 avril 2026. 🕵️ Mécanisme d’attaque L’attaque se déroule en quatre étapes : Usurpation d’identité : l’attaquant se fait passer pour un leader reconnu de la Linux Foundation dans le workspace Slack du TODO Group (groupe de travail Linux Foundation dédié aux OSPO). Phishing : la victime reçoit un message direct avec un lien vers https://sites.google.com/view/workspace-business/join, hébergé sur l’infrastructure légitime Google Sites pour contourner les filtres de sécurité. Collecte de credentials : un faux flux d’authentification récolte l’adresse email et un code de vérification. Livraison de malware : la victime est invitée à installer un faux « certificat Google » (certificat racine malveillant). 💻 Divergence par plateforme macOS : un script télécharge et exécute un binaire nommé gapi depuis l’IP distante 2.26.97.61, pouvant mener à une compromission totale du système. Windows : installation du certificat malveillant via une boîte de dialogue de confiance du navigateur, permettant l’interception du trafic chiffré. 🎣 Leurre utilisé L’attaquant a utilisé le prétexte d’un outil d’IA privé censé analyser les dynamiques de projets open source et prédire les contributions acceptées. Le message insistait sur l’exclusivité de l’accès. Le message contenait l’URL de phishing, une fausse adresse email (cra@nmail.biz) et une clé d’accès (CDRX-NM71E8T). ...