Kuzey Koreli tehdit aktörleri uzun süredir devam eden saldırıyla bağlantılı Bulaşıcı Röportaj kampanyasının kötü amaçlı Microsoft Visual Studio Code (VS Code) projelerini, tehlikeye atılmış uç noktalara bir arka kapı sunmayı cezbetmek için kullandığı gözlemlendi.
Jamf Threat Labs, son bulgunun, ilk olarak Aralık 2025’te keşfedilen yeni taktiğin evriminin devam ettiğini gösterdiğini söyledi.
Güvenlik araştırmacısı Thijs Xhaflaire, The Hacker News ile paylaşılan bir raporda, “Bu etkinlik, kurbanın sisteminde uzaktan kod yürütme yetenekleri sağlayan bir arka kapı implantının konuşlandırılmasını içeriyordu.” dedi.
İlk olarak geçen ay OpenSourceMalware tarafından açıklanan saldırı, esasen potansiyel hedeflere GitHub, GitLab veya Bitbucket üzerinde bir depo kopyalama ve sözde iş değerlendirmesinin bir parçası olarak projeyi VS Code’da başlatma talimatı vermeyi içeriyor.
Bu çabaların nihai hedefi, virüslü ana bilgisayardaki işletim sistemine bağlı olarak Vercel etki alanlarında hazırlanan kötü amaçlı yükleri yürütmek için VS Code görev yapılandırma dosyalarını kötüye kullanmaktır. Görev, “runOn:foldOpen” seçeneği ayarlanarak VS Code’da bu dosya veya proje klasöründeki herhangi bir dosya her açıldığında çalışacak şekilde yapılandırılmıştır. Bu sonuçta BeaverTail ve InvisibleFerret’in konuşlandırılmasına yol açar.
Kampanyanın daha sonraki yinelemelerinin, görevin Vercel etki alanından yükü alamaması durumunda bir geri dönüş mekanizması olarak kötü amaçlı yazılımı zararsız yazım denetimi sözlükleri olarak gizleyerek, görev yapılandırma dosyalarındaki karmaşık çok aşamalı bırakıcıları gizlediği tespit edildi.
Daha önce olduğu gibi, kurban projeyi entegre geliştirme ortamında (IDE) açar açmaz bu dosyalara gömülü olan karmaşık JavaScript çalıştırılıyor. Uzak bir sunucuyla (“ip-regions-check.vercel) iletişim kurar[.]app”) ve kendisinden alınan tüm JavaScript kodlarını çalıştırır. Saldırının bir parçası olarak sunulan son aşama, oldukça karmaşık hale getirilmiş başka bir JavaScript’tir.
Jamf, bu kampanyada başka bir değişiklik daha keşfettiğini söyledi: Tehdit aktörleri, ele geçirilen ana makinede uzaktan kod yürütme yetenekleri sunan bir arka kapı sunmak için daha önce belgelenmemiş bir enfeksiyon yöntemini kullanıyor. Saldırı zincirinin başlangıç noktası, kurbanın VS Code’u kullanarak kötü amaçlı bir Git deposunu klonlayıp açmasıyla etkinleştirilmesi açısından farklı değildir.
Xhaflaire, “Proje açıldığında, Visual Studio Code kullanıcıdan depo yazarına güvenmesini ister” dedi. “Bu güven sağlanırsa uygulama, deponun Task.json yapılandırma dosyasını otomatik olarak işler ve bu da sistemde gömülü rastgele komutların yürütülmesine neden olabilir.”
“MacOS sistemlerinde bu, uzaktan bir JavaScript verisi almak ve bunu doğrudan Node.js çalışma zamanına yönlendirmek için nohup bash -c ile curl -s kombinasyonunu kullanan bir arka plan kabuk komutunun yürütülmesiyle sonuçlanır. Bu, tüm komut çıktısını bastırırken Visual Studio Code işlemi sonlandırılırsa yürütmenin bağımsız olarak devam etmesine olanak tanır.”
Vercel’de barındırılan JavaScript yükü, temel ana bilgisayar bilgilerini toplayan ve uzaktan kod yürütmeyi, sistem parmak izini almayı ve sürekli iletişimi kolaylaştırmak için uzak bir sunucuyla iletişim kuran kalıcı bir yürütme döngüsü oluşturmak için ana arka kapı mantığını içerir.
Bir vakada, Apple cihaz yönetimi firması, ilk enfeksiyondan yaklaşık sekiz dakika sonra daha fazla JavaScript talimatının yürütüldüğünü gözlemlediğini söyledi. Yeni indirilen JavaScript, sunucuya her beş saniyede bir işaret verecek, ek JavaScript çalıştıracak ve operatörden bir sinyal aldığında etkinliğinin izlerini silecek şekilde tasarlanmıştır. Kaynak kodunda satır içi yorumların ve ifadelerin bulunması nedeniyle komut dosyasının bir yapay zeka (AI) aracı kullanılarak oluşturulmuş olabileceğinden şüpheleniliyor.
Kore Demokratik Halk Cumhuriyeti (DPRK) ile bağlantısı olan tehdit aktörlerinin, genellikle finansal varlıklara, dijital cüzdanlara ve teknik altyapıya ayrıcalıklı erişime sahip olma eğiliminde olmaları nedeniyle özellikle kripto para birimi, blockchain ve fintech sektörlerinde çalışan yazılım mühendislerinin peşine düştükleri biliniyor.
Hesaplarının ve sistemlerinin ele geçirilmesi, saldırganların kaynak koduna, fikri mülkiyete, dahili sistemlere ve dijital varlıklara yetkisiz erişim sağlamasına olanak tanıyabilir. Taktiklerinde yapılan bu tutarlı değişiklikler, siber casuslukta ve ağır yaptırımlara maruz kalan rejimi desteklemeye yönelik mali hedeflerinde daha fazla başarı elde etme çabası olarak görülüyor.
Bu gelişme, Red Asgard’ın, bir XMRig kripto para madencisi ile birlikte Tsunami (diğer adıyla TsunamiKit) adlı tam özellikli bir arka kapıyı bırakmak üzere tasarlanmış karmaşık JavaScript’i getirmek için bir VS Code görev yapılandırması kullandığı tespit edilen kötü amaçlı bir depoya ilişkin araştırmasını ayrıntılarıyla açıklamasıyla ortaya çıktı.
Security Alliance’ın geçen hafta yaptığı bir başka analiz de, LinkedIn’de belirsiz bir kurbana yaklaşıldığı ve tehdit aktörlerinin Meta2140 adlı bir projenin baş teknoloji sorumlusu olduklarını iddia ettiği ve bir Notion paylaştığı bir saldırıda kampanyanın VS Code görevlerini kötüye kullandığını ortaya koydu.[.]so bağlantısı teknik bir değerlendirme ve kötü amaçlı kodu barındıran Bitbucket deposunun URL’sini içerir.
İlginç bir şekilde, saldırı zinciri diğer iki yönteme geri dönecek şekilde tasarlanmıştır: “grayavatar” adlı kötü amaçlı bir npm bağımlılığı yüklemek veya karmaşık bir Node.js denetleyicisini almaktan sorumlu olan JavaScript kodunu çalıştırmak; bu denetleyici, tuş vuruşlarını günlüğe kaydetmek, ekran görüntüleri almak, sistemin ana dizinini hassas dosyalar için taramak, panoya kopyalanan cüzdan adreslerini değiştirmek, web tarayıcılarından gelen kimlik bilgilerini değiştirmek ve uzak bir sunucuyla kalıcı bir bağlantı kurmak için beş farklı modül çalıştırır.
Kötü amaçlı yazılım daha sonra veri toplamayı, XMRig kullanarak kripto para birimi madenciliğini, keylogging’i ve uzaktan erişim için AnyDesk dağıtımını mümkün kılan bir aşama betiği kullanarak paralel bir Python ortamı kurmaya devam ediyor. Node.js ve Python katmanlarının sırasıyla BeaverTail ve InvisibleFerret olarak adlandırıldığını belirtmekte fayda var.
Bu bulgular, devlet destekli aktörlerin, saldırılarının başarı olasılığını artırmak için birden fazla dağıtım yöntemini birlikte denediğini gösteriyor.
Jamf, “Bu etkinlik, araçlarını ve dağıtım mekanizmalarını meşru geliştirici iş akışlarıyla entegre olacak şekilde tutarlı bir şekilde uyarlayan Kuzey Kore bağlantılı tehdit aktörlerinin devam eden gelişimini vurguluyor.” dedi. “Visual Studio Code görev yapılandırma dosyalarının ve Node.js uygulamasının kötüye kullanılması, bu tekniklerin yaygın olarak kullanılan geliştirme araçlarıyla birlikte nasıl gelişmeye devam ettiğini gösteriyor.”