ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ

«Координированная кампания, нацеленная на разработчиков», использует вредоносные репозитории, замаскированные под легитимные проекты Next.js, и технические оценки, чтобы обманом заставить жертв запустить их и установить постоянный доступ к скомпрометированным машинам.

«Эта деятельность вписывается в более широкий кластер угроз, которые используют приманки, связанные с работой, чтобы вписаться в рутинные рабочие процессы разработчиков и увеличить вероятность выполнения кода», — заявила команда Microsoft Defender Security Research Team в отчете, опубликованном на этой неделе.

Технологический гигант заявил, что кампания характеризуется использованием нескольких точек входа, которые приводят к одному и тому же результату, когда контролируемый злоумышленниками JavaScript извлекается во время выполнения и запускается для облегчения управления (C2).

Атаки основаны на том, что злоумышленники создают поддельные репозитории на надежных платформах для разработчиков, таких как Bitbucket, используя такие названия, как «Cryptan-Platform-MVP1», чтобы обманом заставить разработчиков, ищущих работу, запустить их в рамках процесса оценки.

Дальнейший анализ выявленных репозиториев выявил три различных пути выполнения, которые, хотя и запускаются по-разному, имеют конечную цель — выполнение контролируемого злоумышленниками JavaScript непосредственно в памяти

Выполнение в рабочей области Visual Studio Code, где проекты Microsoft Visual Studio Code (VS Code) с настройками автоматизации рабочей области используются для запуска вредоносного кода, полученного из домена Vercel, как только разработчик открывает и доверяет проекту. Это включает использование runOn: «folderOpen» для настройки задачи.

Выполнение во время сборки при разработке приложения, где для активации выполнения вредоносного кода, встроенного в модифицированные библиотеки JavaScript, маскирующиеся под jquery.min.js, достаточно вручную запустить сервер разработки с помощью «npm run dev», что приводит к загрузке JavaScript-загрузчика, размещенного на Vercel. Затем Node.js выполняет полученный полезный груз в памяти.

Выполнение при запуске сервера посредством экстракции информации об окружении и динамического удаленного выполнения кода, когда запуск бэкэнда приложения приводит к выполнению вредоносной логики загрузчика, скрытой в модуле бэкэнда или файле маршрута. Загрузчик передает информацию об окружении процесса на внешний сервер и выполняет JavaScript, полученный в качестве ответа, в памяти в рамках процесса сервера Node.js.

Microsoft отметила, что все три метода приводят к одинаковой полезной нагрузке JavaScript, которая отвечает за профилирование хоста и периодический опрос конечной точки регистрации для получения уникального идентификатора «instanceId». Этот идентификатор впоследствии предоставляется в последующих опросах для сопоставления активности.

Он также способен выполнять предоставленный сервером JavaScript в памяти, что в конечном итоге открывает путь для контроллера второго уровня, который превращает первоначальную точку опоры в постоянный канал доступа для получения задач, связываясь с другим сервером C2 и выполняя их в памяти, чтобы минимизировать следы на диске.

«Контроллер поддерживает стабильность и непрерывность сеанса, отправляет телеметрию об ошибках в конечную точку отчетности и включает логику повторных попыток для обеспечения отказоустойчивости», — сообщила Microsoft. «Он также отслеживает запущенные процессы и может останавливать управляемую активность и чисто завершать работу по команде. Помимо выполнения кода по требованию, Stage 2 поддерживает обнаружение и экстракцию данных под управлением оператора».

Хотя производитель Windows не связывал эту деятельность с конкретным злоумышленником, использование задач VS Code и доменов Vercel для размещения вредоносного ПО является тактикой, которую применяют хакеры, связанные с Северной Кореей и участвующие в долгосрочной кампании под названием Contagious Interview.

Конечной целью этих усилий является получение возможности доставлять вредоносное ПО в системы разработчиков, которые часто содержат конфиденциальные данные, такие как исходный код, секреты и учетные данные, которые могут предоставить возможности для более глубокого проникновения в целевую сеть.

Использование GitHub gists в VS Code tasks.json вместо URL-адресов Vercel

В отчете, опубликованном в среду, Abstract Security сообщила, что наблюдает изменение в тактике злоумышленников, в частности, резкий рост использования альтернативных промежуточных серверов в командах VS Code tasks вместо URL-адресов Vercel. Это включает использование скриптов, размещенных на GitHub gists («gist.githubusercontent[.]com»), для загрузки и запуска полезных нагрузок следующего этапа. Альтернативный подход использует сокращатели URL-адресов, такие как short[.]gy, для скрытия URL-адресов Vercel.

Компания по кибербезопасности сообщила, что также обнаружила вредоносный пакет npm, связанный с кампанией под названием «eslint-validator», который извлекает и запускает запутывающий полезный груз с URL-адреса Google Drive. Данный полезный груз представляет собой известное вредоносное ПО JavaScript, называемое BeaverTail.

Кроме того, было обнаружено, что вредоносная задача VS Code, встроенная в репозиторий GitHub, инициирует цепочку заражения только для Windows, которая запускает пакетный скрипт для загрузки среды выполнения Node.js на хост (если она не существует) и использует программу certutil для анализа блока кода, содержащегося в скрипте. Затем декодированный скрипт выполняется с помощью ранее полученной среды выполнения Node.js для развертывания вредоносного ПО Python, защищенного PyArmor.

Компания Red Asgard, занимающаяся кибербезопасностью, которая также тщательно отслеживала эту кампанию, заявила, что злоумышленники использовали специально созданные проекты VS Code, которые используют триггер runOn: «folderOpen» для развертывания вредоносного ПО, которое, в свою очередь, запрашивает блокчейн Polygon для извлечения JavaScript, хранящегося в контракте NFT, с целью повышения устойчивости. Конечной целью является кража информации, которая собирает учетные данные и данные из веб-браузеров, криптовалютных кошельков и менеджеров паролей.

Распределение инфраструктуры, используемой северокорейскими злоумышленниками в 2025 году

«Эта кампания, нацеленная на разработчиков, показывает, как «проект собеседования» на тему найма персонала может быстро стать надежным способом удаленного выполнения кода, вливаясь в рутинные рабочие процессы разработчиков, такие как открытие репозитория, запуск сервера разработки или запуск бэкэнда», — заключила Microsoft.

Для противодействия этой угрозе компания рекомендует организациям усилить границы доверия в рабочих процессах разработчиков, обеспечить строгую аутентификацию и условный доступ, поддерживать строгую гигиену учетных данных, применять принцип минимальных привилегий к учетным записям разработчиков и идентификационным данным, а также разделять инфраструктуру сборки, где это возможно.

Это развитие событий произошло после того, как GitLab заявила, что заблокировала 131 уникальную учетную запись, которые были вовлечены в распространение вредоносных кодовых проектов, связанных с кампанией Contagious Interview.

«Угрозы обычно исходили от потребительских VPN при взаимодействии с GitLab.com для распространения вредоносного ПО; однако они также периодически исходили от выделенной инфраструктуры VPS и, вероятно, IP-адресов фермы ноутбуков», — сказал Оливер Смит из GitLab. «В почти 90 % случаев злоумышленники создавали учетные записи, используя адреса электронной почты Gmail».

Согласно платформе разработки программного обеспечения, в более чем 80% случаев злоумышленники использовали по меньшей мере шесть легитимных сервисов для размещения вредоносных программ, включая JSON Keeper, Mocki, npoint.io, Render, Railway.app и Vercel. Среди них Vercel был наиболее часто используемым: в 2025 году злоумышленники полагались на эту платформу веб-разработки не менее 49 раз.

«В декабре мы наблюдали группу проектов, выполняющих вредоносное ПО через задачи VS Code, либо передавая удаленный контент в нативную оболочку, либо выполняя настраиваемый скрипт для декодирования вредоносного ПО из двоичных данных в поддельном файле шрифта», — добавил Смит, подтверждая вышеупомянутые выводы Microsoft.

GitLab также обнаружил частный проект, «почти наверняка» контролируемый гражданином Северной Кореи, управляющим ячейкой северокорейских ИТ-специалистов, который содержал подробные финансовые и кадровые записи, показывающие доход в размере более 1,64 миллиона долларов за период с 1-го квартала 2022 года по 3-й квартал 2025 года. Проект включал более 120 таблиц, презентаций и документов, отслеживающих квартальные доходы отдельных членов команды.

«Записи показывают, что эти операции функционируют как структурированные предприятия с четко определенными целями и операционными процедурами, а также строгим иерархическим контролем», — отмечает GitLab. «Продемонстрированная способность этой ячейки привлекать посредников по всему миру обеспечивает высокую степень операционной устойчивости и гибкости в отмывании денег».

В отчете, опубликованном в начале этого месяца, Okta сообщила, что «подавляющее большинство» собеседований с ИТ-специалистами не приводят к второму собеседованию или предложению о работе, но отметила, что они «учатся на своих ошибках» и что многие из них ищут временную работу по контракту в качестве разработчиков программного обеспечения, нанятых сторонними компаниями, чтобы воспользоваться тем, что они вряд ли будут проводить строгие проверки анкетных данных.

«Однако некоторые участники, похоже, более компетентно создают образы и проходят отборочные собеседования», — добавила компания. Происходит своего рода естественный отбор ИТ-специалистов. Наиболее успешные участники очень плодотворны и проводят сотни собеседований каждый».