https://cyberveille.ch/tags/gapi/ Recent content in Gapi on CyberVeille Hugo -- 0.146.0 fr-fr Wed, 08 Apr 2026 00:00:00 +0000 https://cyberveille.ch/posts/2026-04-08-campagne-d-ingenierie-sociale-sur-slack-ciblant-les-developpeurs-open-source-via-usurpation-d-identite/ Wed, 08 Apr 2026 00:00:00 +0000 https://cyberveille.ch/posts/2026-04-08-campagne-d-ingenierie-sociale-sur-slack-ciblant-les-developpeurs-open-source-via-usurpation-d-identite/ <h2 id="-contexte">🎯 Contexte</h2> <p>Le 7 avril 2026, l&rsquo;<strong>OpenSSF Siren</strong> (mailing list de threat intelligence de l&rsquo;Open Source Security Foundation) a publié une alerte de haute sévérité concernant une campagne active ciblant les développeurs open source via <strong>Slack</strong>. L&rsquo;analyse détaillée a été publiée par Socket le 8 avril 2026.</p> <h2 id="-mécanisme-dattaque">🕵️ Mécanisme d&rsquo;attaque</h2> <p>L&rsquo;attaque se déroule en <strong>quatre étapes</strong> :</p> <ol> <li><strong>Usurpation d&rsquo;identité</strong> : l&rsquo;attaquant se fait passer pour un leader reconnu de la Linux Foundation dans le workspace Slack du <strong>TODO Group</strong> (groupe de travail Linux Foundation dédié aux OSPO).</li> <li><strong>Phishing</strong> : la victime reçoit un message direct avec un lien vers <code>https://sites.google.com/view/workspace-business/join</code>, hébergé sur l&rsquo;infrastructure légitime Google Sites pour contourner les filtres de sécurité.</li> <li><strong>Collecte de credentials</strong> : un faux flux d&rsquo;authentification récolte l&rsquo;adresse email et un code de vérification.</li> <li><strong>Livraison de malware</strong> : la victime est invitée à installer un faux « certificat Google » (certificat racine malveillant).</li> </ol> <h2 id="-divergence-par-plateforme">💻 Divergence par plateforme</h2> <ul> <li><strong>macOS</strong> : un script télécharge et exécute un binaire nommé <strong><code>gapi</code></strong> depuis l&rsquo;IP distante <code>2.26.97.61</code>, pouvant mener à une <strong>compromission totale du système</strong>.</li> <li><strong>Windows</strong> : installation du certificat malveillant via une boîte de dialogue de confiance du navigateur, permettant l&rsquo;<strong>interception du trafic chiffré</strong>.</li> </ul> <h2 id="-leurre-utilisé">🎣 Leurre utilisé</h2> <p>L&rsquo;attaquant a utilisé le prétexte d&rsquo;un <strong>outil d&rsquo;IA privé</strong> censé analyser les dynamiques de projets open source et prédire les contributions acceptées. Le message insistait sur l&rsquo;<strong>exclusivité</strong> de l&rsquo;accès. Le message contenait l&rsquo;URL de phishing, une fausse adresse email (<code>cra@nmail.biz</code>) et une clé d&rsquo;accès (<code>CDRX-NM71E8T</code>).</p>