Microsoft a dezvăluit luni o campanie de malware coordonată care transformă în arme depozite de cod malițioase deghizate ca proiecte Next.js legitime și evaluări tehnice legate de joburi, transformând acțiunile de rutină ale dezvoltatorilor în căi pentru execuție de cod la distanță și furt de date.
Avertismentul, publicat de echipa Microsoft Defender Experts pe 24 februarie, vine în contextul unui val mai amplu de atacuri care exploatează procesul de angajare în dezvoltarea software pentru a compromite sistemele dezvoltatorilor — mașini care adesea conțin cod sursă, secrete de mediu și credențiale pentru infrastructura cloud.
Trei căi de compromitere
Conform analizei Microsoft, campania se bazează pe trei căi de execuție distincte, fiecare concepută să se declanșeze în timpul activității normale a unui dezvoltator, dar toate conducând la același rezultat: obținerea în timpul execuției și executarea în memorie a codului JavaScript controlat de atacatori.
Prima cale exploatează automatizarea workspace-ului Visual Studio Code. Depozitele malițioase includ un fișier configurat să ruleze automat atunci când un dezvoltator deschide și acordă încredere folderului proiectului. Un mecanism de rezervă încorporează JavaScript ofuscat care se activează în timpul inițializării workspace-ului, cu payloaduri găzduite pe domenii de staging Vercel.
A doua cale se activează atunci când un dezvoltator rulează un server local de dezvoltare folosind comenzi precum. Resurse de aplicație troianizate — de obicei un modificat — decodifică un URL codificat în base64 și preiau un loader de la Vercel pentru execuție în memorie prin Node.js.
A treia cale se declanșează în timpul pornirii serverului backend, unde logica loader-ului malițios încorporată în rutele backend citește un endpoint codificat în base64 dintr-un fișier, exfiltrează întregul mediu de proces către infrastructura controlată de atacatori, apoi execută JavaScript-ul returnat în răspuns folosind compilare dinamică.
Arhitectură de comandă și control în mai multe etape
Toate cele trei puncte de intrare converg către un sistem de comandă și control în două etape, a declarat Microsoft. Etapa 1 acționează ca un canal de înregistrare și bootstrapping ușor, profilând gazda și interogând la intervale regulate un endpoint de înregistrare. La anumite răspunsuri de la server, execută JavaScript suplimentar în memorie fără a scrie pe disc.
Etapa 2 transformă punctul de intrare într-un client persistent de executare a sarcinilor care comunică cu un set separat de infrastructură C2 furnizat de Etapa 1. Primește array-uri de sarcini JavaScript, le execută într-un interpretor Node.js separat și acceptă navigarea în directoare condusă de operator și exfiltrarea eșalonată a fișierelor.
Microsoft a identificat multiple familii de repositories care utilizează convenții de denumire repetabile — inclusiv Cryptan, JP-soccer, RoyalJapan și SettleMint — cu variante aproape identice concepute pentru a crește șansele ca un dezvoltator să întâlnească capcana.
O amenințare în creștere la adresa fluxurilor de lucru ale dezvoltatorilor
Campania se suprapune cu un model mai larg de atacuri care vizează dezvoltatorii prin oferte false de locuri de muncă. Cercetătorii în securitate de la Jamf Threat Labs, Abstract Security și Security Alliance au documentat separat tehnici similare atribuite actorilor sponsorizați de statul nord-coreean care operează sub umbrela campaniei „Contagious Interview” (Interviul Contagios), activă cel puțin din finalul anului 2022. Blogul Microsoft nu a atribuit în mod explicit activitatea unui anumit actor de amenințări, dar a menționat că telemetria „se aliniază cu un grup mai larg de amenințări care folosesc momeli cu tematică de recrutare”.
Microsoft a îndemnat organizațiile să trateze stațiile de lucru ale dezvoltatorilor ca elemente de prim rang ale securității întreprinderii, să activeze implicit Visual Studio Code Workspace Trust și Restricted Mode și să monitorizeze execuția neobișnuită a Node.js și conexiunile ieșite neașteptate de la mașinile de dezvoltare.
Surse:
https://thehackernews.com/2026/01/north-korea-linked-hackers-target.html
https://www.abstract.security/blog/contagious-interview-tracking-the-vs-code-tasks-infection-vector