- A campanha Contagious Interview do grupo Lazarus abusa do Visual Studio Code por meio de repositórios Git maliciosos
- Os invasores entregam cargas JavaScript no macOS, permitindo a coleta persistente de dados e a comunicação C2
- Jamf recomenda habilitar controles avançados de ameaças e cautela com repositórios não confiáveis
Como parte do infame Entrevista contagiante campanha, os atores de ameaças norte-coreanos foram vistos abusando de Microsoft Visual Studio Code em seus ataques.
Contagious Interview é uma campanha de hackers na qual o grupo Lazarus (e outros atores norte-coreanos patrocinados pelo Estado) criam empregos falsos e convidam desenvolvedores de software e blockchain em países ocidentais para entrevistas.
Durante o processo de entrevista, eles enganam as vítimas para que implantem malware em seus dispositivos, concedendo aos invasores acesso ininterrupto aos seus computadores, bem como às redes de seus atuais empregadores.
Como se manter seguro
A campanha também é bastante bem-sucedida, pois é responsabilizada por alguns dos maiores roubos de criptografia dos últimos anos.
Num novo relatório, investigadores de segurança da Jamf detalhou “uma evolução nas técnicas usadas durante os estágios anteriores da campanha”. Eles disseram que os invasores primeiro criariam um repositório Git malicioso e o hospedariam em plataformas como GitHub ou GitLab.
Depois disso, durante o processo de “entrevista”, eles enganavam a vítima para que clonasse e abrisse o repositório usando o Microsoft Visual Studio Code. A ferramenta solicitaria que a vítima confiasse no autor do repositório e, se isso acontecesse, o aplicativo processaria automaticamente o arquivo de configuração tasks.json que aciona comandos arbitrários incorporados.
No macOS, esses comandos usam um shell em segundo plano para recuperar remotamente uma carga JavaScript (geralmente de uma plataforma como Vercel) e canalizá-la para o tempo de execução do Node.js.
A carga JavaScript é então executada, estabelecendo um loop persistente que coleta informações do host (nome do host, endereços MAC e detalhes do sistema operacional) e se comunica com um servidor remoto de comando e controle (C2). Por fim, o backdoor executa ping periodicamente no servidor C2, enviando dados do sistema e recebendo instruções JavaScript maliciosas adicionais.
“Recomendamos fortemente que os clientes garantam que a Prevenção de Ameaças e os Controles Avançados de Ameaças estejam habilitados e configurados para o modo de bloqueio no Jamf para Mac para permanecerem protegidos contra as técnicas descritas nesta pesquisa”, alertou Jamf.
“Os desenvolvedores devem permanecer cautelosos ao interagir com repositórios de terceiros, especialmente aqueles compartilhados diretamente ou provenientes de fontes desconhecidas. Antes de marcar um repositório como confiável no Visual Studio Code, é importante revisar seu conteúdo”, acrescentaram.
O melhor antivírus para todos os orçamentos
Siga o TechRadar no Google Notícias e adicione-nos como fonte preferencial para receber notícias, análises e opiniões de especialistas em seus feeds. Certifique-se de clicar no botão Seguir!
E é claro que você também pode Siga o TechRadar no TikTok para notícias, análises, unboxings em formato de vídeo e receba atualizações regulares nossas em WhatsApp também.