Threat Actors Expand Abuse of Microsoft Visual Studio Code
4 months ago
- #DPRK
- #cybersecurity
- #malware
- 与朝鲜(DPRK)有关的威胁行为体正滥用微软Visual Studio Code任务配置文件(tasks.json)来传播恶意软件。
- 感染始于受害者克隆并打开恶意Git仓库,这些仓库通常伪装成招聘或技术测试项目。
- 若用户授权Visual Studio Code的信任提示,将自动执行tasks.json中嵌入的恶意命令。
- 在macOS系统中,攻击通过nohup bash -c和curl -s组合命令,利用Node.js获取并执行JavaScript有效载荷。
- 载荷托管在vercel.app平台——该平台正日益成为朝鲜相关攻击者的基础设施。
- 该JavaScript后门具有远程代码执行、系统指纹识别及C2通信功能。
- 恶意软件会收集主机名、MAC地址、操作系统详情及通过ipify.org获取的公网IP用于指纹识别。
- 每5秒进行一次C2信标通信,支持从攻击者控制服务器动态执行JavaScript代码。
- 感染后获取的附加载荷显示出AI辅助生成的代码特征,并具备自我清理能力。
- 开发者应审查代码仓库、避免盲目信任tasks.json文件,并严格检查npm安装脚本以防感染。