Kuzey Kore bağlantılı tehdit aktörleri, dünyanın en popüler kod editörlerinden biri olan Microsoft Visual Studio Code’u silahlandırarak saldırı yeteneklerini genişletmeye devam etti.
Bulaşıcı Röportaj kampanyası, geleneksel sosyal mühendislik taktiklerinden güvenilir geliştirme ortamları aracılığıyla geliştiricileri hedeflemeye geçerek önemli ölçüde gelişti.
Bu yeni yaklaşım, saldırganların karmaşık kötü amaçlı yazılımları doğrudan kurban sistemlerine dağıtmak için meşru yazılım araçlarından nasıl yararlandıkları konusunda endişe verici bir artışa işaret ediyor.
Saldırı zinciri, geliştiricilerin farkında olmadan, genellikle işe alım görevleri veya teknik iş görüşmeleri olarak gizlenen kötü amaçlı depoları klonlamasıyla başlar.
Saldırı, daha önce belgelenen ClickFix tabanlı dağıtım yöntemlerinin ötesinde taktiklerde bir değişikliği temsil ediyor. Saldırganlar artık şüpheli e-posta bağlantılarına güvenmek yerine, Visual Studio Code yapılandırma dosyalarına kötü amaçlı komutlar yerleştiriyor.
.webp)
Bir kurban, Visual Studio Code’da güvenliği ihlal edilmiş bir depoyu açtığında ve depo güveni verdiğinde (standart bir iş akışı eylemi), uygulama, deponun Tasks.json yapılandırma dosyasını otomatik olarak işler.
Bu dosya, kullanıcı farkındalığını etkili bir şekilde atlayarak sistemde rastgele kod çalıştıran gömülü komutlar içerebilir.
Jamf analistleri ve araştırmacıları, Aralık ayında Visual Studio Code’un görev yapılandırma dosyalarının ek olarak kötüye kullanıldığını tespit ederek, oldukça karmaşık JavaScript kodu içeren sözlük dosyalarını keşfettiler.
Bu JavaScript, kurban kötü amaçlı bir veri deposunu açtığında sessizce yürütülür. Güvenlik araştırmacıları ayrıca saldırganların tespit ve analizden kaçmak için giderek daha karmaşık hale gelen gizleme tekniklerini nasıl kullandıklarını da belgeledi.
Enfeksiyon Mekanizması ve Yürütme Akışı
Bulaşma, bir geliştiricinin GitHub veya GitLab’da barındırılan kötü amaçlı bir Git deposunu klonlayıp açmasıyla başlar.
Kötü amaçlı yazılım, macOS sistemlerinde, Vercel tarafından barındırılan altyapıdan uzaktan bir JavaScript verisi almak için nohup bash ile curl’u birleştiren bir arka plan kabuk komutu kullanıyor.
Yük doğrudan Node.js çalışma zamanında yürütülür ve Visual Studio Code kapansa bile saldırının devam etmesine olanak tanır.
.webp)
Bu kalıcılık mekanizması özellikle etkilidir çünkü editörün sürecinden bağımsız olarak çalışır.
Çalıştırıldıktan sonra JavaScript verisi, 87.236.177.93 adresinde bulunan bir komuta ve kontrol sunucusuyla her beş saniyede bir işaret vererek kalıcı bir bağlantı kurar.
.webp)
Kötü amaçlı yazılım, ana bilgisayar adı, MAC adresleri ve işletim sistemi ayrıntıları dahil olmak üzere sistem bilgilerini topluyor ve daha sonra bu verileri daha ileri görevler için saldırganlara gönderiyor.
Yük, C2 sunucusundan ek JavaScript talimatlarını kabul edebilen kalıcı bir yürütme döngüsünü sürdürerek saldırganların keyfi komutları yürütmesine ve uzun vadeli erişimi sürdürmesine olanak tanır.
Geliştiriciler, depo içeriğini güvenilir olarak işaretlemeden önce dikkatli bir şekilde incelemeli ve Task.json dosyalarını kötü niyetli niyet gösterebilecek şüpheli yapılandırmalara karşı incelemelidir.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
