Sicherheitsforscher beobachten seit Wochen eine störende Variation in den Techniken der nordkoreanischen Gruppen: Statt nur klassische Phishing-E-Mails oder Web-Exploits zu verwenden, nutzen sie den täglichen Workflow von Entwicklern. Der Trick besteht darin, Ingenieure - vor allem in Kryptomoneda, Blockchain und Finanzen - zu überzeugen, ein Repository zu klonen und das Projekt in Visual Studio Code zu öffnen, mit dem Haken einer angeblichen technischen Übung oder einem Jobangebot. Wenn das Opfer dem Repository vertraut und das Projekt öffnet, wird eine Kette aktiviert, die am Ende eine Hintertür mit Remote-Ausführungsfähigkeiten liefern kann.
Der zentrale Mechanismus des Angriffs sind die VS-Code-Aufgabe-Konfigurationsdateien (tasks.json), die konfiguriert werden können, automatisch zu laufen, wenn der Projektordner geöffnet ist. Diese Option - legitim verwendet, um Entwicklungsaufgaben zu automatisieren - wird missbraucht, um Downloads und die Ausführung von veraltetem JavaScript-Code in externen Diensten als Domains in Vercel zu orchestrieren. Öffentliche Untersuchungen und technische Berichte haben dokumentiert, wie diese Taktik dazu beigetragen hat, Malware-Familien wie BeaverTail (Node.js-Schicht) und InvisibleFerret (Python-Schicht) sowie Bergleute und Hintertüren, die für das Bedrohungs-Ökosystem bekannt sind, einzusetzen.
Die ersten Analysen, die von Gruppen wie OpenSourceMalware und durch Unterschriften wie Ja, zeigen eine stetige Entwicklung: Wenn das Projekt im VS-Code geöffnet wird, fordert die Anwendung den Benutzer auf, anzuzeigen, ob dem Repository-Autor vertrauen soll; wenn dieses Vertrauen erteilt wird, verarbeitet VS-Code automatisch Aufgaben. json und kann beliebige Befehle auf der Maschine ausführen. In macOS zum Beispiel wurde gezeigt, wie die Laufkette im Hintergrund gestartet wird - mit Systemstandard-Tools - um eine JavaScript-Payload mit Node.js zu wiederherstellen und auszuführen, so dass der Prozess auch bei geschlossenem Editor fortgesetzt wird.
Das entfernte JavaScript fungiert als Hauptimplantat: Es erzeugt eine persistente Schleife, die grundlegende Computerinformationen sammelt, Fingerabdrücke macht und eine kontinuierliche Kommunikation mit einem Befehls- und Steuerserver unterhält, wodurch eine Remotecode-Ausführung ermöglicht wird. In einigen Zwischenfällen wurde festgestellt, dass Minuten nach der ersten Infektion zusätzliche Anweisungen heruntergeladen wurden, die den Server alle paar Sekunden beaconisieren, mehr Code ausführen und in der Reihenfolge des Betreibers die Spuren reinigen, um die Untersuchung schwierig zu machen. Forscher haben sogar auf Anzeichen der Verwendung von künstlichen Intelligenz-Tools hingewiesen, um Teile des Codes zu erzeugen, aufgrund der Anwesenheit von inline Kommentare und einige Schreibstil in JavaScript.
Neben der Haupttechnik haben Schauspieler Buchungsrouten vorbereitet, um ihre Erfolgsquote zu maximieren. Wenn die Aufgabe von VS Code die Nutzlast von Vercel nicht wiederherstellen kann, kann das Repository anspruchsvolle Droppers in Dateien verstecken, die harmlos erscheinen - zum Beispiel "Diktionäre" für orthographische Korrektur -, die auch JavaScript osfuscado enthalten. In anderen Fällen wird die Installation einer schädlichen npm-Einheit angeboten (das Paket wurde identifiziert) Grauavatar in der öffentlichen Analyse) oder das Herunterladen eines Node.js-Treibers, der wiederum Module startet, um Impulse zu erfassen, Bildschirme zu erfassen, Suche sensible Dateien im Benutzerverzeichnis, supplant kopierte Portfolio-Adressen an die Zwischenablage und extrahiert Anmeldeinformationen von Browsern. Parallel bereiten die Angreifer eine Python-Umgebung vor, die den Kryptomoneda-Abbau mit XMRig, Remote Access Tools und Datenexfiltration erleichtert.
Zusätzliche Forschung hat Varianten mit verschiedenen Namen und Komponenten dokumentiert: Ausrüstung wie Asgard Network haben Repositories analysiert, die eine Backdoor namens Tsunami (auch bekannt als TsunamiKit) zusammen mit einem XMRig Bergmann verteilen, während andere technische Berichte beschrieben haben, wie Angreifer Opfer über professionelle Netzwerke wie LinkedIn ansprechen, um Links zu technischen Tests zu senden, die auf bösartige Repositorien hinweisen, professionelles Vertrauen nutzen.
Hinter diesen Operationen stehen Akteure im Zusammenhang mit dem nordkoreanischen Regime, die sich historisch auf Softwarespezialisten mit Zugang zu Finanzinfrastruktur und digitalen Schlüsseln konzentriert haben. Der Vorteil für die angreifende Gruppe ist klar: Zugriff auf Quellcode, Geheimnisse, Konten und in vielen Fällen bewegen oder stehlen digitale Vermögenswerte. Die Variation und Vielfältigkeit der beobachteten Vektoren schlägt eine bewusste Strategie vor, mit verschiedenen Techniken zu experimentieren, um die Wahrscheinlichkeit des Engagements und damit die Fähigkeit, ihre Operationen zu finanzieren.
Diese Kampagnen sind auch eine Lektion darüber, wie legitime Tools für Entwickler Angriffsvektoren werden können, wenn sie blind auf externe Inhalte vertrauen. Visual Studio Code bietet Funktionen, um Zeit zu sparen, aber eine solche Automatisierung kann gefährlich werden, wenn Kontrollen und gute Praktiken nicht angewendet werden. Wenn Sie prüfen möchten, wie die VS-Code-Aufgaben funktionieren, ist offizielle Dokumentation ein guter Ausgangspunkt: Aufgabendokumentation im Visual Studio Code.
Für diejenigen, die in der Entwicklung oder Verwaltung von technischen Geräten arbeiten, ist die Empfehlung klar: geben Sie nicht automatisch Vertrauen zu unbekannten Repositories, überprüfen Sie alle Aufgaben. json, bevor es seine Ausführung zulässt und externe Abhängigkeiten mit Vorsicht zu behandeln. Organisationen sollten diese Maßnahmen mit Netzkontrollen ergänzen, die verdächtige Domänen, restriktive Umsetzungspolitiken für Entwicklungsumgebungen und Erkennungstools blockieren, die das Baken-, Persistenz- und Abbauverhalten identifizieren können. Öffentliche Berichte und Analysen von Gruppen wie Jamf, Red Asgard und Security Alliance bieten nützliche technische Details für Verteidiger, die diese Bedrohungen verstehen und abmildern möchten; Sie können ihre Publikationen konsultieren, um die Lesung zu erweitern: Ja, Asgard Network und Sicherheitsbündnis.
Kurz gesagt, die Bedrohung ist nicht nur technisch, sondern kulturell: auf Repositorien und technische Übungen zu vertrauen, ohne ihren Ursprung zu überprüfen, ist eine menschliche Verwundbarkeit, die die Angreifer mit Kreativität ausnutzen. Die gute Nachricht ist, dass, im Gegensatz zu den Null-Tage-Schwachstellen Lücken, dieser Missbrauch besser durch digitale Hygienerichtlinien und -praktiken verwaltet wird: Inspektion, Befragung und Begrenzung der automatischen Ausführung in der Entwicklungsumgebung kann verhindern, dass ein Interview oder akademische Herausforderung zum Tor für eine anhaltende Hintertür.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...