定向社交工程攻击

定向社交工程攻击（Spear-Phishing / Social Engineering）是一种针对特定个人（如核心开发者、高管）精心设计的心理操纵攻击。与传统的广撒网式钓鱼不同，定向攻击会投入大量时间和资源，针对目标进行个性化定制。

攻击手法（Playbook）

根据[[axios]]投毒事件的复盘，典型的攻击剧本分为三个阶段：

第一阶段：伪造身份，建立信任（The Hook）

攻击者伪装成正规科技公司员工、技术播客制作人或招聘HR，通过X（Twitter）、LinkedIn或工作邮箱联系目标，抛出极具诱惑力的邀请（播客访谈、高薪职位、技术交流）。

第二阶段：深度入戏，消除戒心（The Grooming）

攻击者极具耐心，在数周内与目标频繁互动：组建沟通群组、发送精美海报、提前沟通详细大纲，甚至安排"托儿"活跃气氛。开发者的防备心被逐步瓦解。

第三阶段：制造焦虑，收网陷阱（The Trap）

在约定的"正式会议"时间，攻击者发来伪造的会议链接。当开发者点进去后，页面提示"音视频连接失败"或"缺少解码器"。攻击者顺势诱导开发者安装伪造的客户端或运行修复脚本（如混淆的curl | bash指令），从而植入远控木马（RAT）。

为什么2FA形同虚设

当攻击者通过社交工程诱导受害者安装RAT后，一切验证机制都失去意义：

• 单向完全控制：RAT赋予黑客对受害者电脑的底层控制权
• 会话劫持：木马可窃取浏览器和终端中的登录凭证（Token、Session）
• 隐蔽执行：黑客可在受害者离开时静默执行npm publish等操作

防御策略

• 废除本地长期凭证：全面拥抱[[oidc]]（OpenID Connect），将发布权限移交到CI/CD中
• 强制硬件密钥：使用[[fido2]]/YubiKey，需要物理触摸才能完成认证
• 流水线不可变与多签机制：发版必须是自动化的、不可变的流水线操作，需要多人批准
• 保持偏执的"零信任"心态：对任何主动接触保持高度警惕，永远不要在焦虑和催促下运行未知脚本

相关概念

• [[开源供应链安全]] — 开源软件供应链的整体安全框架
• [[会话劫持]] — 攻击者窃取登录凭证绕过认证的技术
• [[零信任心态]] — 默认不信任任何请求的安全理念