北韓駭客花費數週時間，透過偽造的 Slack 工作區、克隆的公司身份以及捏造的 Microsoft Teams 通話，對Axios 的一名維護人員進行社會工程攻擊，誘使其安裝了一個偽裝成軟體更新的遠端控制木馬 (RAT)。他們利用獲得的存取權限，將惡意軟體注入到每週下載量超過 1 億次的npm 軟體包中。

現在，開源安全基金會 (OpenSSF) 發布了一份新的安全公告，警告不明攻擊者正在使用類似的方法來攻擊其他開源開發者。

Axios攻擊並非個案

在備受矚目的 Axios 漏洞事件發生後，Socket 研究人員了解到，同樣的攻擊活動也針對了許多其他開源維護者——特別是那些管理 Node.js 和 npm 的維護者——以及幾位 Socket 工程師。

攻擊者透過 LinkedIn 或 Slack 聯繫用戶，冒充公司所有者/代表、招募人員或播客主持人，試圖誘騙開發人員下載偽裝成視訊會議軟體更新/修復程式的惡意軟體。

Socket 的 Deeba Ahmed 分享道：「攻擊者使用偽造的 Streamyard 平台誘騙 Mocha 的維護者 Pelle Wessman 下載病毒。另一位專家 Matteo Collina 在 4 月 2 日差點上當受騙，而像 Scott Motte（dotenv 的創建者）和 John-David Dalton（Lodash 的創建者也成為了攻擊目標）。

“他們甚至盯上了 Socket 的首席執行官 Feross Aboukhadijeh，他是 WebTorrent 和 buffer 的創始人，他指出這種類型的攻擊正在成為‘新常態’。”

現在有人冒充 Linux 基金會領導者

OpenSSF 的技術長兼首席安全架構師 Christopher Robinson 警告說，攻擊者目前仍在冒充知名的 Linux 基金會社群領導人，試圖誘騙受害者點擊惡意連結。他透過 OpenSSF Siren List分享道：「社群已收到報告，有人透過 Slack（包括ToDoGroup和相關社群）積極開展針對開源開發者的社會工程攻擊活動。」

攻擊者提供的連結（https://sites.google.com/view/workspace-business/join）模仿了合法的 Google Workspace 流程，但會將開發者帶到一個釣魚頁面，要求他們輸入登入憑證和驗證碼，然後安裝一個偽造的根「Google 憑證」。

使用 Mac 的開發者似乎也遭遇了額外的惡意二進位檔案植入，該檔案透過腳本被植入並執行。Robinson指出：「安裝該憑證會導致加密流量被攔截，憑證被竊取。執行該二進位檔案可能會導致整個系統被攻破。」

不要輕信他人，要核實

隨著開源程式碼庫越來越難以直接攻破，攻擊面發生了轉移，攻擊目標越來越多地變成了發布程式碼的人。Robinson指出：「攻擊者正以開發者的工作流程和信任關係為目標」，並建議開發者核實與他們聯繫的人的身份。

Robinson補充道「不要僅憑姓名或個人資料就輕信訊息，對於不尋常的請求，務必透過其他已知的溝通管道進行確認。即使是來自熟悉的名字，也要對主動聯繫保持警惕。」

開發者應驗證他們被引導至的登入頁面是否合法，避免執行透過 Slack 或未知網站收到的軟體或腳本，並且在遇到有關憑證過期或緊急更新的警告訊息時要格外小心。那些上當受騙的人應該意識到他們的系統、憑證、活動會話和令牌都已洩露，並著手清理前者，輪換/撤銷後者。Robinson還建議：「請向您的安全團隊或組織報告此事件，並要求觀察到類似活動或有其他跡象的人向其安全團隊報告，並透過適當的社區管道分享。」

資料來源：https://www.helpnetsecurity.com/2026/04/08/social-engineering-open-source-developers/