Se puede vulnerar incluso sin vulnerabilidades: así es el ataque "basado en la confianza" que apunta a desarrolladores de código abierto

 (cybersecuritynews.com)
12 puntos por darjeeling 16 일 전 | 3 comentarios | Compartir por WhatsApp

Los desarrolladores de código abierto están enfrentando un nuevo tipo de amenaza. No se trata de exploits complejos ni de vulnerabilidades zero-day, sino de un ataque de ingeniería social que usa como arma la propia "confianza" de la comunidad de desarrolladores.

Los atacantes están llevando a cabo actualmente una campaña en Slack en la que se hacen pasar por personas reales de la Linux Foundation para inducir a las víctimas a instalar archivos maliciosos.

Cómo ocurrió el incidente

Este ataque se dio a conocer por primera vez el 7 de abril de 2026, cuando Christopher "CRob" Robinson, CTO y principal arquitecto de seguridad de OpenSSF (Open Source Security Foundation), publicó una alerta de alto riesgo en la lista de correo OpenSSF Siren.

El escenario del ataque fue el espacio de trabajo de Slack de TODO Group, un grupo de trabajo bajo la Linux Foundation, así como comunidades relacionadas de código abierto. TODO Group es una comunidad de profesionales de las oficinas de programas de código abierto (OSPO).

Los atacantes construyeron cuidadosamente una identidad falsa de un líder conocido de la Linux Foundation y enviaron mensajes directos por Slack a las víctimas con enlaces de phishing alojados en Google Sites, una plataforma en la que muchos desarrolladores confían.

El equipo de análisis de Socket.dev investigó primero este ataque y documentó su funcionamiento técnico. La investigación confirmó que no era un simple intento de phishing, sino una operación de múltiples etapas diseñada para explotar la profunda confianza que se forma de manera natural dentro de la comunidad de código abierto.

El señuelo: "Puedes saber de antemano si tu PR será mergeado"

El mensaje de los atacantes fue diseñado con mucho cuidado. Haciéndose pasar por un líder de la Linux Foundation, presentaban una herramienta exclusiva de IA capaz de analizar la dinámica de los proyectos de código abierto y predecir qué contribuciones de código (PR) serán mergeadas incluso antes de que un revisor las vea.

El mensaje enfatizaba la escasez con frases como "por ahora solo se está compartiendo con unos pocos" y, junto con el enlace de phishing, proporcionaba una dirección de correo falsa y una clave de acceso para hacer que el espacio de trabajo falso pareciera real.

Análisis del ataque por etapas

El ataque avanza en un total de 4 etapas:

Etapa 1 — Suplantación de identidad (Impersonation)

Se clona el perfil de Slack de una persona real de la Linux Foundation para generar confianza.

Etapa 2 — Phishing

Se induce a la víctima a hacer clic en un enlace de phishing alojado en Google Sites. Una página falsa que aparenta ser un flujo de autenticación legítimo roba la dirección de correo y el código de verificación.

Etapa 3 — Recolección de credenciales (Credential Harvesting)

Tras robar las credenciales, el sitio de phishing induce a la víctima a instalar un certificado raíz malicioso disfrazado como un "certificado de Google".

Etapa 4 — Distribución de malware (Malware Delivery)

Una vez instalado el certificado raíz, los atacantes pueden interceptar silenciosamente el tráfico cifrado entre el dispositivo de la víctima y todos los sitios web.

Mecanismo de infección por plataforma

macOS

Después de instalar el certificado raíz malicioso, un script descarga y ejecuta automáticamente un binario llamado gapi desde la IP remota (2.26.97.61). Este binario otorga a los atacantes control total del dispositivo, incluido acceso a archivos, robo adicional de credenciales y ejecución remota de comandos.

Windows

Se induce a instalar el certificado malicioso mediante un diálogo de confianza del navegador y, una vez instalado, también se hace posible interceptar el tráfico cifrado.

Recomendaciones de OpenSSF

OpenSSF recomendó lo siguiente a los desarrolladores activos en comunidades de Slack de código abierto:

  1. Verificación de identidad fuera de banda (out-of-band): no confiar en la identidad solo por el nombre visible o la foto de perfil en Slack; verificarla a través de otro canal conocido
  2. Rechazar solicitudes para instalar certificados raíz: nunca instalar certificados raíz desde enlaces enviados por chat o correo electrónico. Los servicios legítimos no lo solicitan
  3. Activar MFA: incluso si las credenciales son robadas, esto puede minimizar el impacto

Implicaciones

Este ataque llama la atención porque no usa vulnerabilidades técnicas, sino que toma como vector de ataque la propia estructura de confianza de la comunidad. En comunidades muy cercanas como el ecosistema de código abierto, es fácil que la percepción de seguridad se relaje frente a nombres familiares y propuestas convincentes.

El señuelo de "predecir con IA si un PR será mergeado" muestra lo sofisticado de este ataque, ya que puede resultar especialmente atractivo para los desarrolladores. Ante enlaces desconocidos y solicitudes para instalar certificados raíz, hace falta mantener el hábito de desconfiar una vez más, incluso si parecen venir de una fuente confiable.

Este artículo es una traducción y edición del original de Cyber Security News.

Lecturas relacionadas

3 comentarios

 
shakespeares 16 일 전

Por culpa de la IA, los hackers están actuando con más libertad.
 
happing94 16 일 전

IT no puede hacer que el escudo venza a la lanza
 
tangokorea 16 일 전

La IA está siendo de gran ayuda para los hackers.