Мајкрософт ги предупредува програмерите за лажни складишта на задачи во Next.js кои испорачуваат малициозен софтвер во меморијата

„Координирана кампања насочена кон развивачи“ користи злонамерни репозиториуми маскирани како легитимни Next.js проекти и технички тестови со цел да ги измами жртвите да ги извршат и да воспостави траен пристап до компромитираните машини.

„Активноста се вклопува во поширок кластер закани што користат мамки поврзани со работни понуди за да се вклопат во вообичаените работни процеси на развивачите и да ја зголемат веројатноста за извршување на код“, соопшти тимот на Microsoft Defender Security Research во извештај објавен оваа недела.

Технолошкиот гигант изјави дека кампањата се карактеризира со користење повеќе влезни точки кои водат до ист исход, при што JavaScript контролиран од напаѓачот се презема при извршување (runtime) и се стартува за да овозможи command-and-control (C2) комуникација.

Нападите се потпираат на тоа што заканувачките актери поставуваат лажни репозиториуми на доверливи платформи за развивачи како Bitbucket, користејќи имиња како „Cryptan-Platform-MVP1“ за да ги измамат развивачите кои бараат работа да ги стартуваат како дел од процес на техничка евалуација.

Понатамошната анализа на идентификуваните репозиториуми откри три различни патеки на извршување кои, иако се активираат на различни начини, имаат иста крајна цел – директно извршување на JavaScript контролиран од напаѓачот во меморија:

1. Извршување преку Visual Studio Code workspace – Проекти на Microsoft Visual Studio Code (VS Code) со конфигурација за автоматизација на workspace се користат за стартување злонамерен код преземен од Vercel домен веднаш штом развивачот ќе го отвори и ќе му верува на проектот. Ова вклучува користење на runOn: "folderOpen" за конфигурирање на задачата.
2. Извршување при градење (build-time) за време на развој – Рачното стартување на развојниот сервер преку npm run dev е доволно за да се активира злонамерниот код вграден во изменети JavaScript библиотеки кои се претставуваат како jquery.min.js, што предизвикува преземање на JavaScript loader хостиран на Vercel. Преземениот payload потоа се извршува во меморија преку Node.js.
3. Извршување при стартување на серверот преку ексфилтрација на околински променливи и динамичко далечинско извршување на код – При стартување на backend апликацијата, се извршува злонамерна loader логика сокриена во backend модул или route датотека. Loader-от ги испраќа околинските променливи (process environment) до надворешен сервер и извршува JavaScript добиен како одговор директно во меморија во рамки на Node.js сервер процесот.

Microsoft истакна дека сите три методи водат до ист JavaScript payload кој е одговорен за профилирање на хостот и периодично испраќање барања до регистрациска крајна точка за добивање уникатен идентификатор „instanceId“. Овој идентификатор потоа се користи во понатамошни барања за корелација на активноста.

Payload-от исто така има способност да извршува JavaScript обезбеден од серверот директно во меморија, што на крај овозможува втор степен контролер кој почетниот пристап го претвора во траен канал за пристап. Тој прима задачи преку комуникација со друг C2 сервер и ги извршува во меморија со цел да се минимизира оставањето траги на диск.

„Контролерот одржува стабилност и континуитет на сесијата, испраќа телеметрија за грешки до endpoint за известување и вклучува retry логика за поголема отпорност“, соопшти Microsoft. „Исто така ги следи процесите што ги стартува и може да ја запре управуваната активност и да излезе чисто кога ќе добие инструкција. Покрај извршување код по барање, Фаза 2 поддржува откривање (discovery) и ексфилтрација управувана од оператор.“

Иако производителот на Windows не ја припиша активноста на конкретен заканувачки актер, употребата на VS Code задачи и Vercel домени за поставување (staging) malware е тактика што ја користат хакери поврзани со Северна Кореја, асоцирани со долготрајна кампања позната како Contagious Interview.

Крајната цел на овие активности е да се добие можност за испорака на malware на системи на развивачи, кои често содржат чувствителни податоци како изворен код, тајни (secrets) и креденцијали, што може да овозможи понатамошно продлабочување (pivot) во целната мрежа.

Во извештај објавен во средата, Abstract Security соопшти дека забележала промена во тактиките на заканувачките актери, особено пораст на користење алтернативни staging сервери во VS Code tasks команди наместо Vercel URL-адреси. Ова вклучува користење скрипти хостирани на GitHub gists („gist.githubusercontent[.]com“) за преземање и извршување на payload од следна фаза. Алтернативен пристап користи URL-скратувачи како short[.]gy за прикривање на Vercel URL-адресите.

Компанијата за сајбер-безбедност исто така идентификувала злонамерен npm пакет поврзан со кампањата наречен „eslint-validator“, кој презема и извршува обфускиран payload од Google Drive URL. Станува збор за познат JavaScript malware наречен BeaverTail.

Дополнително, злонамерна VS Code задача вградена во GitHub репозиториум е откриена дека иницира Windows-only синџир на инфекција, кој извршува batch скрипта за преземање Node.js runtime на хостот (доколку не постои) и го користи certutil програмот за декодирање код блок содржан во скриптата. Декодираниот скрипт потоа се извршува со претходно преземениот Node.js runtime за да распореди Python malware заштитен со PyArmor.

Компанијата за сајбер-безбедност Red Asgard, која исто така детално ја следи кампањата, соопшти дека заканувачките актери користат специјално изработени VS Code проекти со тригер runOn: "folderOpen" за да испорачаат malware кој понатаму ја користи Polygon blockchain мрежата за преземање JavaScript складиран во NFT договор, со цел зголемена отпорност. Финалниот payload е крадец на информации (information stealer) кој собира креденцијали и податоци од веб-прелистувачи, крипто-паричници и менаџери за лозинки.

„Оваа кампања насочена кон развивачи покажува како регрутациски ‘интервју проект’ може брзо да стане сигурен пат до далечинско извршување на код (remote code execution) со тоа што се вклопува во вообичаените работни процеси на развивачите, како отворање репозиториум, стартување развоен сервер или пуштање backend,“ заклучи Microsoft.

За спротивставување на заканата, компанијата препорачува организациите да ги зајакнат границите на доверба во развивачките работни процеси, да применуваат силна автентикација и условен пристап (conditional access), да одржуваат строга хигиена на креденцијали, да го применуваат принципот на најмала привилегија (least privilege) за развивачките сметки и build идентитети, и каде што е можно, да ја одделат build инфраструктурата.

Во меѓувреме, GitLab соопшти дека забранил 131 уникатна сметка кои биле вклучени во дистрибуција на злонамерни код-проекти поврзани со кампањата Contagious Interview и измамничката ИТ-работна шема позната како Wagemole.

„Заканувачките актери најчесто потекнуваа од consumer VPN услуги при интеракција со GitLab.com за дистрибуција на malware; сепак, повремено користеа и наменска VPS инфраструктура и веројатно IP-адреси од т.н. ‘laptop farm’ системи,“ изјави Оливер Смит од GitLab. „Во речиси 90% од случаите, заканувачките актери креирале сметки користејќи Gmail адреси.“

Во повеќе од 80% од случаите, според платформата за развој на софтвер GitLab, заканувачките актери користеле најмалку шест легитимни сервиси за хостирање на malware payload-и, вклучувајќи ги JSON Keeper, Mocki, npoint.io, Render, Railway и Vercel.

Меѓу нив, Vercel бил најчесто користен, при што заканувачките актери се потпирале на оваа веб-развојна платформа најмалку 49 пати во текот на 2025 година.

„Во декември забележавме група проекти што извршуваа malware преку VS Code tasks, или со пренасочување (piping) на далечинска содржина кон нативен shell, или со извршување сопствена скрипта за декодирање malware од бинарни податоци скриени во лажна font-датотека,“ додаде Смит, потврдувајќи ги претходно наведените наоди од Microsoft.

GitLab открила и приватен проект кој „речиси сигурно“ бил контролиран од севернокорејски државјанин што управувал со севернокорејска ИТ-работна ќелија. Проектот содржел детални финансиски и кадровски евиденции што покажуваат заработка од повеќе од 1,64 милиони долари во периодот од првиот квартал 2022 до третиот квартал 2025 година.

Во рамки на проектот имало повеќе од 120 табели, презентации и документи со кои се следеле кварталните приходи и перформанси на поединечни членови на тимот.

„Евиденциите покажуваат дека овие операции функционираат како структурирани претпријатија со дефинирани цели, оперативни процедури и тесен хиерархиски надзор,“ соопшти GitLab. „Докажаната способност на оваа ќелија да регрутира и одржува посредници (facilitators) на глобално ниво обезбедува висок степен на оперативна отпорност и флексибилност за перење пари.“

Во извештај објавен претходно овој месец, Okta соопшти дека „огромното мнозинство“ интервјуа со ИТ-работници не напредуваат до второ интервју или понуда за работа. Сепак, компанијата истакна дека тие „учат од своите грешки“ и дека голем број од нив бараат привремени договорни ангажмани како софтверски развивачи, ангажирани преку трети компании, користејќи го фактот што тие често не спроведуваат ригорозни проверки на позадината (background checks).

„Некои актери, сепак, изгледа се покомпетентни во креирање лажни идентитети (personas) и поминување на скрининг интервјуа,“ се додава во извештајот. „Се одвива еден вид природна селекција кај ИТ-работниците. Најуспешните актери се исклучително продуктивни и закажуваат стотици интервјуа.“

Извори:

• The Hacker News – Microsoft Warns Developers of Fake Next.js Job Repos Delivering In-Memory Malware The Hacker News