Hackers norte-coreanos atacam programadores por projetos maliciosos no VS Code
Por Lillian Sibila Dala Costa • Editado por Jones Oliveira |
Especialistas de segurança digital da Jamf Threat Labs estudaram a campanha hacker Contagious Interview, que tem envolvimento de atores norte-coreanos, e notaram o uso de projetos maliciosos no Microsoft Visual Studio Code (VS Code) como iscas para entregar uma backdoor de acesso contínuo a computadores de programadores, comprometendo-os.
- White Hat vs. Black Hat: O que é um hacker ético?
- SuperDaE: O hacker que enfrentou Microsoft e FBI e fugiu para contar a história
Ataques do grupo hacker foram percebidos pela primeira vez pela OpenSourceMalware, no mês passado. A atividade consiste em chamar a atenção de programadores para ofertas de emprego muito boas, enviando-os para repositórios GitHub, GitLab ou BitBucket para que abram o projeto falso no VS Code para supostos testes de contratação.
Explorando o VS Code
A campanha abusa dos arquivos de configuração de tarefas do VS Code, executando payloads maliciosos em domínios Vercel. Toda vez que qualquer outro arquivo da pasta do projeto é aberto, a tarefa criminosa é acionada graças à opção “runOn: folderOpen”. Isso faz com que os malwares BeaverTail e InvisibleFerret rodem.
Versões mais sofisticadas ainda usam droppers de múltiplos estágios e escondem o malware na forma de um dicionário para que rode novamente caso o payload não seja trazido do domínio Vercel.
A última atualização da Jamf notou que os hackers usam um método de infecção inédito, entregando uma backdoor que executa códigos remotamente no computador infectado. O VS Code pede que o usuário dê confiança ao autor do repositório, o que faz o arquivo de configuração tasks.json ser processado, levando à execução do código malicioso.
Hackers ligados à Coreia do Norte miram especialmente, em engenheiros de software que trabalham com criptomoedas, blockchain e fintechs, já que isso pode dar acesso a bens financeiros, carteiras digitais e infraestrutura técnica.
Acompanhar as atividades do grupo mostrou que os hackers evoluem o código dos malwares muito rapidamente, o que ajuda a evitar antivírus e outras medidas de segurança e aumentar as chances de sucesso dos ataques. O abuso de configurações do VS Code e execução de Node.js também demonstra a evolução das ferramentas de desenvolvimento dos atores maliciosos da Coreia do Norte.
Leia também no Canaltech:
- VoidLink, malware nativo à nuvem, foi gerado por uma só pessoa usando IA
- Plugin popular do WordPress permite que hackers invadam 50.000 sites como admin
- Hackers russos intensificam ataques a instituições do Reino Unido
VÍDEO | 7 ataques hacker que entraram para a história [Top Tech]
Fonte: Jamf