Hackers norte-coreanos têm utilizado uma estratégia sofisticada para comprometer programadores por meio de projetos maliciosos no Microsoft Visual Studio Code (VS Code). Especialistas da Jamf Threat Labs analisaram a campanha Contagious Interview e descobriram que esses atores maliciosos exploram arquivos de configuração do VS Code para entregar backdoors e executar códigos remotamente.
Como os Hackers Norte-Coreanos Atraem suas Vítimas
A campanha Contagious Interview foi identificada inicialmente pela OpenSourceMalware. Os hackers norte-coreanos atraem programadores com ofertas de emprego tentadoras, direcionando-os para repositórios falsos no GitHub, GitLab ou BitBucket. Ao abrir o projeto no VS Code, os desenvolvedores acionam, sem saber, um mecanismo de infecção.
Mecanismo de Ataque: Explorando o VS Code
Os hackers norte-coreanos abusam dos arquivos de configuração de tarefas do VS Code, como o tasks.json. Ao abrir qualquer arquivo do projeto, a opção “runOn: folderOpen” é acionada, executando payloads maliciosos hospedados em domínios Vercel. Isso permite a instalação de malwares como BeaverTail e InvisibleFerret.
Além disso, versões mais avançadas do ataque utilizam droppers de múltiplos estágios e escondem o malware em arquivos de dicionário, que são usados para verificar a gramática do código. Essa técnica de ofuscação torna a detecção mais difícil, garantindo que o malware persista mesmo se o payload inicial falhar.
Método de Infecção Inédito
A Jamf Threat Labs observou que os hackers norte-coreanos implementaram um método de infecção inédito. Eles entregam uma backdoor que executa códigos remotamente no computador infectado. O VS Code solicita que o usuário confira a confiança no autor do repositório, o que permite o processamento do arquivo tasks.json e a execução do código malicioso.
Alvos Principais: Engenheiros de Software
Os hackers norte-coreanos focam especialmente em engenheiros de software que trabalham com criptomoedas, blockchain e fintechs. Esses profissionais são alvos valiosos, pois proporcionam acesso a bens financeiros, carteiras digitais e infraestrutura técnica crítica.
Evolução Rápida dos Malwares
Acompanhar as atividades desses grupos revela que os hackers norte-coreanos evoluem rapidamente seus malwares. Essa evolução constante ajuda a evitar antivírus e outras medidas de segurança, aumentando as chances de sucesso dos ataques. O abuso de configurações do VS Code e a execução de Node.js demonstram a sofisticação das ferramentas desenvolvidas por esses atores maliciosos.
Medidas de Proteção
- Sempre verifique a autenticidade dos repositórios antes de abrir projetos no VS Code.
- Mantenha seu sistema e ferramentas de desenvolvimento atualizados.
- Utilize soluções de segurança avançadas para detectar e bloquear malwares.
Em conclusão, os hackers norte-coreanos representam uma ameaça significativa para programadores e empresas de tecnologia. A conscientização e a adoção de práticas de segurança robustas são essenciais para mitigar esses riscos.