کمیته رکن چهارم – پژوهشگران امنیت سایبری از شناسایی یک روش جدید حمله توسط بازیگران تهدید وابسته به کره شمالی خبر دادهاند که در آن از پروژههای مخرب Microsoft Visual Studio Code (VS Code) برای استقرار درِ پشتی و اجرای کد از راه دور روی سیستم قربانیان استفاده میشود.
بر اساس گزارشی از Jamf Threat Labs، این فعالیت بخشی از کارزار شناختهشده Contagious Interview است؛ عملیاتی که مهاجمان در آن با پیشنهادهای شغلی جعلی، مهندسان نرمافزار را فریب میدهند تا یک مخزن آلوده را از GitHub، GitLab یا Bitbucket کلون کرده و در VS Code اجرا کنند.
پس از باز شدن پروژه، فایلهای پیکربندی tasks.json در VS Code بهصورت خودکار اجرا میشوند و با سوءاستفاده از قابلیتهای مشروع این محیط توسعه، بدافزارهایی مانند BeaverTail و InvisibleFerret را دانلود و اجرا میکنند. این بدافزارها که عمدتاً به زبان JavaScript و Node.js نوشته شدهاند، از زیرساختهای ابری مانند Vercel برای دریافت فرمانها استفاده میکنند.
یافتهها نشان میدهد مهاجمان از اعتماد کاربران به VS Code سوءاستفاده کرده و با تأیید گزینه «اعتماد به مخزن»، زمینه اجرای دستورات مخرب را فراهم میکنند. در سیستمهای macOS، این حمله میتواند منجر به اجرای مخفیانه دستورات شِل و ایجاد دسترسی پایدار حتی پس از بسته شدن VS Code شود.
هدف اصلی این حملات، توسعهدهندگان فعال در حوزههای رمزارز، بلاکچین و فینتک عنوان شده است؛ افرادی که به کد منبع، زیرساختهای حساس و داراییهای دیجیتال دسترسی دارند. بدافزارهای مستقرشده قادرند اطلاعات سیستم را جمعآوری کنند، فرمانهای راهدور اجرا کنند و حتی در برخی سناریوها به سرقت کیفپولهای دیجیتال و استخراج ارز دیجیتال بپردازند.
کارشناسان امنیتی هشدار دادهاند که این حملات نشاندهنده تغییر تمرکز فیشینگ از ایمیل به ابزارهای توسعه نرمافزار است و از توسعهدهندگان خواستهاند پیش از اجرای هر مخزن ناشناس، فایلهای پیکربندی VS Code را بهدقت بررسی کرده و به درخواستهای «اعتماد» در محیطهای توسعه با احتیاط پاسخ دهند.
