- A campanha Contagious Interview do Lazarus explora o Visual Studio Code por meio de repositórios Git maliciosos
- Os invasores fornecem cargas JavaScript no macOS, permitindo a coleta persistente de dados e a comunicação C2
- Jamf exige ativação de controles avançados de ameaças e cautela contra repositórios não confiáveis
Como parte da infame campanha Contagious Interview, agentes de ameaças norte-coreanos foram vistos explorando o legítimo Microsoft Visual Studio Code em seus ataques.
Contagious Interview é uma campanha de hackers onde o grupo Lazarus (e outros atores norte-coreanos patrocinados pelo Estado) criam empregos falsos e convidam desenvolvedores de software e blockchain de países ocidentais para entrevistas.
No processo de conversação, as vítimas são levadas a implantar malware em seus dispositivos, dando aos invasores acesso constante aos seus computadores, bem como às redes de seus atuais empregadores.
Como se manter seguro
A campanha também tem bastante sucesso, pois é responsável por alguns dos maiores roubos de criptografia dos últimos anos.
Num novo relatório, os investigadores de segurança da Jamf detalharam “uma evolução das técnicas utilizadas nas fases iniciais da campanha”. Eles disseram que os invasores primeiro criariam um repositório Git malicioso e o hospedariam em plataformas como GitHub ou GitLab.
Depois disso, durante o processo de “conversa”, a vítima seria enganada para clonar e abrir o repositório usando o Microsoft Visual Studio Code. A ferramenta pediria à vítima que confiasse no autor do repositório e, se isso acontecesse, o aplicativo processaria automaticamente o arquivo de configuração tasks.json que inicia comandos incorporados arbitrários.
No MacOS, esses comandos usam um shell em segundo plano para recuperar remotamente uma carga de JavaScript (geralmente de uma plataforma como Vercel) e roteá-la para o tempo de execução do Node.js.
A carga JavaScript é então executada, configurando um loop persistente que coleta informações do host (nome do host, endereços MAC e detalhes do sistema operacional) e se comunica com um servidor de comando e controle remoto (C2). Finalmente, o backdoor executa ping periodicamente no servidor C2, enviando dados do sistema e recebendo mais instruções JavaScript maliciosas.
“Recomendamos fortemente que os clientes tenham a Prevenção de Ameaças e os Controles Avançados de Ameaças ativados e configurados para bloquear em seus Macs para serem protegidos contra as técnicas descritas neste estudo Jamf”, alertou Jamf.
“Os desenvolvedores devem ter cuidado ao interagir com repositórios de terceiros, especialmente aqueles compartilhados diretamente ou de fontes desconhecidas. Antes de marcar um repositório como confiável no Visual Studio Code, é importante revisar seu conteúdo”, acrescentaram.
O melhor antivírus para cada orçamento
Siga o TechRadar no Google Notícias e adicione-nos como sua fonte padrão para receber notícias, opiniões e opiniões de nossos especialistas em feeds. Certifique-se de clicar no botão Continuar!
E é claro que você também pode Siga o TechRadar no TikTok para receber novidades, análises, unboxings em formato de vídeo e receber atualizações constantes nossas WhatsApp também
