Пријави инцидент
Пријави инцидент
Преглед на приватноста

Оваа веб-страница користи колачиња за да ви обезбеди најдобро можно корисничко искуство. Информациите за колачињата се складираат во вашиот прелистувач и извршуваат функции како препознавање кога се враќате на нашата веб-страница и им помагаат на нашите програмери да разберат кои делови од веб-страницата ви се најинтересни и најкорисни.

Строго неопходни колачиња

Строго неопходните колачиња треба да бидат овозможени во секое време за да можеме да ги зачуваме вашите поставки за колачиња.

Powered by  GDPR Cookie Compliance

Нападот „Contagious Interview“ сега испорачува backdoor преку VS Code

Објавено: 22.01.2026

Откако ќе се додели доверба на авторот на репозиториумот, малициозна апликација извршува произволни команди на системот на жртвата без каква било дополнителна интеракција од корисникот. Севернокорејските актери на закани зад кампањата Contagious Interview користат нов механизам што го злоупотребува Microsoft Visual Studio Code за да испорача досега невиден backdoor кој овозможува далечинско извршување на код на системите на развивачите.

Jamf Threat Labs го откри најновиот метод на инфекција претходно оваа недела и го опиша во извештај како најнова еволуција на тековна кампања која таргетира софтверски развивачи и други лица преку лажни шеми за регрутација за работа уште од најмалку крајот на 2023 година.

Вклопување во работните текови на развивачите

Како и кај претходните итерации, новиот механизам за испорака е дизајниран да се вклопи беспрекорно во легитимните работни текови на развивачите. Нападниот синџир започнува кога од целите се бара да клонираат и отворат малициозни репозиториуми хостирани на GitHub или GitLab, најчесто претставени како дел од техничка задача или вежба за преглед на код поврзана со процесот на вработување.

Кога развивач ќе отвори еден од овие проекти во Visual Studio Code, апликацијата го прашува дали му верува на авторот на репозиториумот. Доколку жртвата ја даде таа доверба, Visual Studio Code автоматски обработува малициозна конфигурациска датотека вградена во проектот, што резултира со извршување на произволни команди на системот на жртвата без понатамошна интеракција од корисникот.

Жртвите кои го отвораат малициозниот проект на систем со macOS активираат скриена команда што се извршува невидливо во позадина, потоа презема и веднаш извршува JavaScript датотека користејќи Node.js. Кодот продолжува да работи дури и ако Visual Studio Code е затворен и не прикажува видлив излез, што ја прави активноста тешка за забележување од страна на корисникот, соопшти Jamf.

Во изјава за Dark Reading, Jaron Bradley, директор на Jamf Threat Labs, вели дека пристапот со хостирање малициозни репозиториуми на овие платформи очигледно станал доста чест за операторите на кампањата Contagious Interview. „Во овој случај, Jamf го забележа репозиториумот онлајн најмалку две недели пред да биде отстранет,“ што е типично за вакви репозиториуми, вели тој.

Нов payload

Ова е првпат Jamf да го види конкретниот payload што напаѓачите го испорачуваат преку овој нов пристап. „Различен е по тоа што е напишан целосно во JavaScript,“ забележува Bradley. Напаѓачите користат различни техники на социјален инженеринг за да ги намамат жртвите и, во овој случај, се чини дека се фокусираат на лица кои веќе се запознаени со Node развој.

Contagious Interview е кампања за кражба на податоци која безбедносните истражувачи со висок степен на сигурност ѝ ја припишуваат на севернокорејски актери на закани. За разлика од традиционалните phishing шеми, операторите на Contagious Interview се претставуваат како регрутери или кандидати за работа на LinkedIn и платформи за развивачи и користат наводно легитимни процеси за вработување за да испорачаат малициозен софтвер на системите на жртвите.

Кампањата првенствено таргетира софтверски развивачи и ИТ професионалци, особено во области со висока вредност како блокчејн, криптовалути и нови технологии, при што корисниците на macOS се омилена цел. Мотивите на групата изгледа се комбинација од шпионажа, обезбедување почетен пристап (initial access brokerage) и финансиска добивка. Компаниите што ја следат Contagious Interview ги опишуваат операторите како постојано еволуирачки, со нови семејства на малициозен софтвер со имиња како Ferret и BeaverTail, нова хостинг инфраструктура, па дури и интервјуа за работа со користење на deepfake технологија.

„Овој актер на закани првенствено ги таргетира системите на развивачи вклучени во криптовалутни и блокчејн проекти,“ вели Bradley. „Тие обично распоредуваат infostealer-и кои брзо извлекуваат лозинки и други чувствителни информации, овозможувајќи му на напаѓачот да се претстави како развивачот или да добие неовластен пристап до поврзани системи.“

Препораката на Jamf до развивачите е да бидат претпазливи при интеракција со репозиториуми од трети страни, особено кога се поврзани со непознати лица. Развивачите исто така треба внимателно да ја прегледаат содржината на репозиториумот пред да го означат како доверлив во Visual Studio Code. „Слично на тоа,“ наведува JFrog во својот извештај, „npm install треба да се извршува само на проекти што се проверени, со посебно внимание на package.json датотеките, install скриптите и конфигурациските датотеки за задачи, со цел да се избегне ненамерно извршување на малициозен код.“

Извори:

  • Dark Reading – ‘Contagious Interview’ Attack Now Delivers Backdoor Via VS Code Dark Reading