Государственные хакеры из Северной Кореи (КНДР) модернизировали свои методы кибершпионажа, нацелившись на инженеров-программистов через вредоносные проекты для Microsoft Visual Studio Code (VS Code). Данная активность является частью длительной кампании под названием «Contagious Interview» («Заразное интервью»). Основной целью злоумышленников выступают специалисты в секторах криптовалют, блокчейна и финансовых технологий (Fintech). Главная задача атакующих заключается в скрытной доставке бэкдоров на компьютеры жертв для удаленного выполнения кода (RCE), кибершпионажа и кражи финансовых активов в пользу находящегося под санкциями режима.
Первичный контакт с жертвой происходит через профессиональные платформы, такие как LinkedIn. Злоумышленники выдают себя за работодателей, например, представляясь техническим директором (CTO) проекта «М⃰2140». В ходе общения кандидатам отправляется ссылка на ресурс Notion[.]so, содержащая инструкции по техническому заданию. Для выполнения оценки разработчикам предлагается клонировать репозиторий с популярных хостингов кода — GitHub, GitLab или Bitbucket — и открыть проект в редакторе VS Code.
Ключевой механизм атаки, обнаруженный исследователями Jamf Threat Labs в декабре 2025 года, базируется на злоупотреблении файлом конфигурации задач
Техническая реализация заражения, особенно на устройствах с macOS, включает выполнение фоновой команды оболочки с использованием
Исследованием данной угрозы занимались несколько организаций. Помимо Jamf Threat Labs, где ведущим исследователем выступил Тейс Ксафлер (Thijs Xhaflaire), тактику описали специалисты OpenSourceMalware в прошлом месяце. На прошлой неделе Security Alliance опубликовал анализ вектора атаки через LinkedIn и Notion, а команда Red Asgard провела детальное расследование использования инструментов Tsunami и XMRig. Эти данные подтверждают постоянную эволюцию инструментов хакеров и их интеграцию в легитимные рабочие процессы разработчиков.
Вредоносное ПО, используемое в кампании, имеет многослойную структуру. Слой на базе Node.js получил название BeaverTail, а компонент на языке Python идентифицирован как InvisibleFerret. Также обнаружено использование полнофункционального бэкдора Tsunami (известного как TsunamiKit) и вредоносной зависимости npm под названием
Функциональные возможности развернутого ПО обширны и включают удаленное выполнение кода и сбор информации о системе. Злоумышленники получают доступ к кейлоггингу, созданию скриншотов и краже учетных данных из веб-браузеров. Особое внимание уделяется финансовым хищениям: вредонос подменяет адреса криптокошельков в буфере обмена и сканирует домашнюю директорию пользователя в поисках конфиденциальных файлов. Кроме того, на зараженных машинах может запускаться майнер криптовалюты XMRig и инструмент удаленного доступа AnyDesk. Предусмотрена функция заметания следов: по команде оператора скрипт способен полностью удалить данные о своей активности.
В случаях, когда основной вектор атаки не срабатывает, северокорейские хакеры применяют альтернативные методы. Согласно данным Security Alliance, запасной сценарий включает установку зависимости
Изображение носит иллюстративный характер
Первичный контакт с жертвой происходит через профессиональные платформы, такие как LinkedIn. Злоумышленники выдают себя за работодателей, например, представляясь техническим директором (CTO) проекта «М⃰2140». В ходе общения кандидатам отправляется ссылка на ресурс Notion[.]so, содержащая инструкции по техническому заданию. Для выполнения оценки разработчикам предлагается клонировать репозиторий с популярных хостингов кода — GitHub, GitLab или Bitbucket — и открыть проект в редакторе VS Code.
Ключевой механизм атаки, обнаруженный исследователями Jamf Threat Labs в декабре 2025 года, базируется на злоупотреблении файлом конфигурации задач
tasks.json. Хакеры устанавливают параметр "runOn: folderOpen", который инициирует автоматическое выполнение вредоносных команд сразу после того, как жертва открывает папку проекта или любой файл внутри него. Единственным препятствием служит стандартное предупреждение VS Code о доверии автору репозитория; если пользователь подтверждает доверие, атака переходит в активную фазу. Техническая реализация заражения, особенно на устройствах с macOS, включает выполнение фоновой команды оболочки с использованием
nohup bash -c в сочетании с curl -s. Вредоносный код часто размещается на доменах Vercel, таких как ip-regions-check.vercel[.]app, и передается напрямую в среду выполнения Node.js. Процесс настроен так, чтобы скрывать вывод данных и продолжать работу автономно, даже если само приложение VS Code будет закрыто. Тайминги атаки строго регламентированы: дополнительные инструкции JavaScript выполняются примерно через 8 минут после первичного заражения, а сигналы на управляющий сервер отправляются каждые 5 секунд. Исследованием данной угрозы занимались несколько организаций. Помимо Jamf Threat Labs, где ведущим исследователем выступил Тейс Ксафлер (Thijs Xhaflaire), тактику описали специалисты OpenSourceMalware в прошлом месяце. На прошлой неделе Security Alliance опубликовал анализ вектора атаки через LinkedIn и Notion, а команда Red Asgard провела детальное расследование использования инструментов Tsunami и XMRig. Эти данные подтверждают постоянную эволюцию инструментов хакеров и их интеграцию в легитимные рабочие процессы разработчиков.
Вредоносное ПО, используемое в кампании, имеет многослойную структуру. Слой на базе Node.js получил название BeaverTail, а компонент на языке Python идентифицирован как InvisibleFerret. Также обнаружено использование полнофункционального бэкдора Tsunami (известного как TsunamiKit) и вредоносной зависимости npm под названием
grayavatar, которая применяется в качестве запасного метода. Код JavaScript подвергается сильной обфускации, а некоторые скрипты маскируются под безобидные словари для проверки орфографии. Анализ исходного кода выявил фразы и комментарии, указывающие на использование инструментов искусственного интеллекта (ИИ) при написании вредоносных программ. Функциональные возможности развернутого ПО обширны и включают удаленное выполнение кода и сбор информации о системе. Злоумышленники получают доступ к кейлоггингу, созданию скриншотов и краже учетных данных из веб-браузеров. Особое внимание уделяется финансовым хищениям: вредонос подменяет адреса криптокошельков в буфере обмена и сканирует домашнюю директорию пользователя в поисках конфиденциальных файлов. Кроме того, на зараженных машинах может запускаться майнер криптовалюты XMRig и инструмент удаленного доступа AnyDesk. Предусмотрена функция заметания следов: по команде оператора скрипт способен полностью удалить данные о своей активности.
В случаях, когда основной вектор атаки не срабатывает, северокорейские хакеры применяют альтернативные методы. Согласно данным Security Alliance, запасной сценарий включает установку зависимости
grayavatar или загрузку контроллера Node.js, который запускает пять различных модулей для шпионажа и настраивает параллельную среду Python для InvisibleFerret. Red Asgard также зафиксировал случаи, когда репозиторий подгружал обфусцированный JS-код для прямой доставки бэкдора Tsunami. Все эти действия направлены на поддержку экономики Северной Кореи через кражу интеллектуальной собственности и цифровых валют.
