Социально-инженерные атаки на разработчиков открытого исходного кода усиливаются.

Северокорейские хакеры в течение нескольких недель занимались социальной инженерией, используя поддельное рабочее пространство Slack, клонированную корпоративную идентичность и сфабрикованный звонок в Microsoft Teams, чтобы обманом заставить сопровождающего Axios установить RAT, маскирующийся под обновление программного обеспечения. Они использовали полученный доступ для внедрения вредоносного ПО в npm-пакеты, загружаемые более 100 миллионов раз в неделю. Теперь новый консультативный совет Open Source Security Foundation (OpenSSF) предупреждает, что неизвестные злоумышленники используют аналогичный подход для нацеливания на других…