Хакери поврзани со Северна Кореја ги таргетираат програмерите преку малициозни VS Code проекти

Заканувачките актери поврзани со Северна Кореја, асоцирани со долгогодишната кампања Contagious Interview, се забележани како користат малициозни проекти за Microsoft Visual Studio Code (VS Code) како мамка за испорака на бекдор на компромитирани системи.

Најновото откритие покажува континуирана еволуција на оваа нова тактика, која првпат беше откриена во декември 2025 година, соопшти Jamf Threat Labs.

„Оваа активност вклучуваше распоредување на бекдор имплант кој овозможува далечинско извршување на код на системот на жртвата“, изјави безбедносниот истражувач Thijs Xhaflaire во извештај споделен со The Hacker News.

Нападот, кој првпат беше обелоденет од OpenSourceMalware минатиот месец, во суштина вклучува давање инструкции на потенцијалните цели да клонираат репозиториум од GitHub, GitLab или Bitbucket и да го отворат проектот во VS Code како дел од наводна проценка за работа.

Крајната цел на овие активности е злоупотреба на конфигурациските датотеки за задачи во VS Code за извршување на малициозни payload-и хостирани на Vercel домени, во зависност од оперативниот систем на заразениот уред. Задачата е конфигурирана така што се извршува секојпат кога таа датотека или која било друга датотека во папката на проектот ќе се отвори во VS Code, преку поставување на опцијата „runOn: folderOpen“. Ова на крај резултира со инсталирање на BeaverTail и InvisibleFerret.

Следните итерации на кампањата се откриени дека сокриваат софистицирани повеќефазни dropper-и во конфигурациските датотеки за задачи, при што малициозниот софтвер е маскиран како безопасни речници за проверка на правопис, како резервен механизам во случај задачата да не може да го преземе payload-от од Vercel доменот.

Како и претходно, обфусцираниот JavaScript вграден во овие датотеки се извршува веднаш штом жртвата ќе го отвори проектот во интегрираната развојна околина (IDE). Тој воспоставува комуникација со оддалечен сервер („ip-regions-check.vercel[.]app“) и извршува кој било JavaScript код што ќе го добие од него. Крајната фаза испорачана како дел од нападот е уште еден силно обфусциран JavaScript.

Jamf соопшти дека открил уште една промена во оваа кампања, при што заканувачките актери користат претходно недокументиран метод на инфекција за испорака на бекдор што овозможува далечинско извршување на код на компромитираниот систем. Почетната точка на синџирот на нападот е иста, односно се активира кога жртвата ќе клонира и отвори малициозен Git репозиториум со користење на VS Code.

„Кога проектот ќе се отвори, Visual Studio Code го прашува корисникот дали му верува на авторот на репозиториумот“, објасни Xhaflaire. „Доколку таа доверба се одобри, апликацијата автоматски ја обработува конфигурациската датотека tasks.json на репозиториумот, што може да резултира со извршување на вградени произволни команди на системот.“

„На macOS системите, ова резултира со извршување на позадинска shell команда која користи nohup bash -c во комбинација со curl -s за далечинско преземање на JavaScript payload и негово директно проследување во Node.js runtime-от. Ова овозможува извршувањето да продолжи независно дури и ако процесот на Visual Studio Code биде прекинат, при што истовремено се потиснува целиот излез од командата.“

JavaScript payload-от, хостиран на Vercel, ја содржи главната логика на бекдорот за воспоставување постојан циклус на извршување кој собира основни информации за системот и комуницира со оддалечен сервер за да овозможи далечинско извршување на код, отпечатување (fingerprinting) на системот и континуирана комуникација.

Во еден случај, компанијата за управување со Apple уреди соопшти дека забележала извршување на дополнителни JavaScript инструкции приближно осум минути по почетната инфекција. Ново преземениот JavaScript е дизајниран да „биконува“ кон серверот на секои пет секунди, да извршува дополнителен JavaScript и да ги брише трагите од својата активност по добивање сигнал од операторот. Се сомнева дека скриптата можеби е генерирана со помош на алатка за вештачка интелигенција (AI), поради присуството на вметнати коментари и специфична формулација во изворниот код.

Заканувачките актери поврзани со Демократска Народна Република Кореја (ДНРК) се познати по тоа што конкретно ги таргетираат софтверските инженери, особено оние што работат во секторите за криптовалути, блокчејн и финтек, бидејќи тие често имаат привилегиран пристап до финансиски средства, дигитални паричници и техничка инфраструктура.

Компромитирањето на нивните сметки и системи може да им овозможи на напаѓачите неовластен пристап до изворен код, интелектуална сопственост, внатрешни системи и кражба на дигитални средства. Овие постојани промени во нивните тактики се гледаат како обид да постигнат поголем успех во нивните цели за сајбер-шпионажа и финансиски добивки за поддршка на режимот под строги санкции.

Овој развој на настаните доаѓа во време кога Red Asgard ги објави деталите од својата истрага за малициозен репозиториум, за кој е утврдено дека користи VS Code конфигурација за задачи за преземање обфусциран JavaScript, дизајниран да инсталира целосно функционален бекдор наречен Tsunami (познат и како TsunamiKit), заедно со XMRig рудар за криптовалути.

Друга анализа од Security Alliance, објавена минатата недела, исто така ја опиша злоупотребата на VS Code tasks во рамки на кампањата, во напад каде што неименувана жртва била контактирана преку LinkedIn. Во тој случај, заканувачките актери се претставиле како главен технолошки директор на проект наречен Meta2140 и споделиле линк до Notion[.]so што содржел техничка проценка и URL до Bitbucket репозиториум кој го хостирал малициозниот код.

Интересно е што синџирот на нападот е дизајниран да има резервни (fallback) механизми преку уште два методи: инсталирање на малициозна npm зависност наречена „grayavatar“ или извршување на JavaScript код кој е одговорен за преземање на софистициран Node.js контролер. Тој, пак, извршува пет различни модули за логирање на притисоци на тастатура (keylogging), правење screenshots, скенирање на домашниот директориум на системот за чувствителни датотеки, замена на адреси на крипто-паричници копирани во clipboard, кражба на креденцијали од веб-прелистувачи и воспоставување постојана врска со оддалечен сервер.

Потоа малициозниот софтвер продолжува со поставување паралелна Python околина преку stager скрипта која овозможува собирање податоци, рударење криптовалути со XMRig, keylogging и распоредување на AnyDesk за далечински пристап. Важно е да се напомене дека Node.js и Python слоевите се означени како BeaverTail и InvisibleFerret, соодветно.

Овие наоди укажуваат дека државно поддржаните актери експериментираат со повеќе методи за испорака истовремено, со цел да ја зголемат веројатноста за успешност на нивните напади.

„Додека го следевме ова, забележавме дека малициозниот софтвер што се испорачува се менува многу брзо во краток временски период“, изјави Jaron Bradley, директор на Jamf Threat Labs, за The Hacker News. „Вреди да се напомене дека payload-от што го забележавме за macOS беше напишан исклучиво во JavaScript и имаше многу знаци дека е асистиран од AI. Тешко е точно да се утврди колку брзо напаѓачите ги менуваат своите работни процеси, но овој конкретен актер има репутација за брза адаптација.“

За спротивставување на заканата, на програмерите им се препорачува да бидат внимателни при интеракција со репозиториуми од трети страни, особено оние што потекнуваат од непознати извори или се споделуваат директно за време на coding тестови; да ја прегледаат содржината на изворниот код пред да го отворат во VS Code; и да инсталираат само проверени npm пакети.

„Оваа активност ја нагласува континуираната еволуција на заканувачките актери поврзани со ДНРК, кои постојано ги прилагодуваат своите алатки и механизми за испорака за да се вклопат во легитимните работни процеси на програмерите“, соопшти Jamf. „Злоупотребата на конфигурациските датотеки за задачи во Visual Studio Code и извршувањето преку Node.js покажуваат како овие техники продолжуваат да се развиваат заедно со широко користените развојни алатки.“

Извори:

• The Hacker News – North Korea-Linked Hackers Target Developers via Malicious VS Code Projects The Hacker News