一起针对开源软件开发者的社会工程攻击被曝光。攻击者在Slack中冒充Linux基金会真实官员，诱导TODO和CNCF项目成员点击托管于Google Sites的钓鱼链接。该链接伪装成Google Workspace登录页面，诱使用户输入凭证并安装恶意根证书。在macOS上会下载执行恶意二进制文件，在Windows上则通过浏览器信任对话框安装恶意证书，最终可能导致系统被完全控制。Google已下架相 ...