Северокорейские правительственные хакеры развернули скоординированную кампанию по внедрению вредоносного программного обеспечения, маскируя свои атаки под технические собеседования для программистов. Действуя в рамках масштабных операций, известных как Contagious Interview и Wagemole (мошенническая схема с участием IT-специалистов), злоумышленники атакуют корпоративные сети. Их главная цель — обманом заставить разработчиков запустить вредоносный код в ходе привычного рабочего процесса для установления постоянного удаленного контроля (C2), кражи исходного кода, секретных данных и учетных данных.
На этой неделе исследовательская группа Microsoft Defender Security Research Team опубликовала отчет, раскрывающий векторы этой угрозы. Хакеры размещают вредоносные репозитории на доверенных платформах, таких как GitHub и Bitbucket, выдавая их за легитимные проекты на базе фреймворка Next.js. Конечная цель этих действий — доставка вредоносного ПО, работающего исключительно в оперативной памяти устройства разработчика, что позволяет обойти традиционные средства защиты и проникнуть глубже во внутреннюю инфраструктуру целевой компании.
Microsoft выявила три основных пути выполнения вредоносного кода, которые сводятся к загрузке JavaScript во время работы программы. Первый путь использует автоматические конфигурации рабочих пространств среды Visual Studio Code (VS Code): при открытии папки проекта срабатывает триггер
Третий путь выполнения запускается при старте серверной части приложения. Скрытая логика загрузчика в бэкенд-модуле или маршруте осуществляет кражу переменных среды процесса, отправляя их на внешний сервер, а полученный в ответ JavaScript выполняется непосредственно в памяти процесса Node.js. Все три метода обращаются к конечной точке регистрации для генерации уникального идентификатора
В среду компания Abstract Security сообщила об изменении тактики злоумышленников для обхода систем обнаружения. Хакеры постепенно отказываются от использования прямых ссылок на Vercel в задачах VS Code. Вместо этого они применяют альтернативные методы: хостинг полезной нагрузки через сервисы GitHub (
Помимо этого, специалисты выявили специфическую цепочку заражения, нацеленную исключительно на пользователей Windows. В ней задача VS Code запускает пакетный скрипт для загрузки Node.js, использует системную утилиту
Данная кампания функционирует как высокоорганизованное коммерческое предприятие. Аналитик компании GitLab Оливер Смит (Oliver Smith) сообщил, что еще в декабре были зафиксированы случаи выполнения вредоносного ПО через задачи VS Code и поддельные файлы шрифтов путем передачи удаленного контента в нативные оболочки. В ходе расследования GitLab заблокировала 131 уникальный аккаунт за распространение вредоносных проектов. Почти 90% учетных записей злоумышленников были созданы с использованием адресов Gmail. В более чем 80% случаев хакеры задействовали не менее 6 легитимных сервисов (включая JSON Keeper, Mocki, , Render и ) для хостинга вирусов, а платформа Vercel в 2025 году использовалась ими 49 раз. Злоумышленники применяли потребительские VPN-сервисы, выделенную VPS-инфраструктуру и IP-адреса ферм ноутбуков.
Масштаб финансовой выгоды от этих операций колоссален. Исследователи обнаружили приватный проект, включающий фальшивый репозиторий
В отчете компании Okta, опубликованном ранее в этом месяце, описывается феномен «естественного отбора IT-специалистов» среди атакующих. Большинство подставных кандидатов проваливают собеседования, но быстро учатся на своих ошибках. Самые продуктивные участники группы планируют сотни собеседований и создают убедительные личности, позволяющие успешно проходить проверки. Они часто выбирают временные контрактные должности разработчиков программного обеспечения в сторонних компаниях, умело эксплуатируя отсутствие тщательных проверок биографических данных.
Для противодействия этой сложной и многовекторной угрозе Microsoft рекомендует организациям применять строгие стратегии защиты. Необходимо усилить границы доверия в рабочих процессах разработчиков, внедрить строгую аутентификацию и условный доступ. Ключевое значение имеет соблюдение жесткой гигиены учетных данных и применение принципа наименьших привилегий к аккаунтам разработчиков и идентификаторам процессов сборки. Там, где это технически возможно, компаниям следует изолировать инфраструктуру сборки программного обеспечения от остальной сети.
Изображение носит иллюстративный характер
На этой неделе исследовательская группа Microsoft Defender Security Research Team опубликовала отчет, раскрывающий векторы этой угрозы. Хакеры размещают вредоносные репозитории на доверенных платформах, таких как GitHub и Bitbucket, выдавая их за легитимные проекты на базе фреймворка Next.js. Конечная цель этих действий — доставка вредоносного ПО, работающего исключительно в оперативной памяти устройства разработчика, что позволяет обойти традиционные средства защиты и проникнуть глубже во внутреннюю инфраструктуру целевой компании.
Microsoft выявила три основных пути выполнения вредоносного кода, которые сводятся к загрузке JavaScript во время работы программы. Первый путь использует автоматические конфигурации рабочих пространств среды Visual Studio Code (VS Code): при открытии папки проекта срабатывает триггер
runOn: "folderOpen", который мгновенно выполняет код, загружаемый с домена платформы Vercel. Второй метод активируется на этапе сборки, когда разработчик вручную запускает локальный сервер командой npm run dev. В этом случае вредоносный код, спрятанный в модифицированных библиотеках под видом файла jquery.min.js, скачивает JavaScript-загрузчик с Vercel для последующего выполнения в памяти с помощью Node.js. Третий путь выполнения запускается при старте серверной части приложения. Скрытая логика загрузчика в бэкенд-модуле или маршруте осуществляет кражу переменных среды процесса, отправляя их на внешний сервер, а полученный в ответ JavaScript выполняется непосредственно в памяти процесса Node.js. Все три метода обращаются к конечной точке регистрации для генерации уникального идентификатора
instanceId. Эта полезная нагрузка подготавливает почву для контроллера второго этапа (Stage 2), который работает исключительно в оперативной памяти, не оставляя следов на жестком диске. Контроллер поддерживает непрерывность сеанса, отправляет телеметрию об ошибках, имеет логику повторных попыток, отслеживает порожденные процессы и обеспечивает оператору возможности для исследования сети и кражи данных. В среду компания Abstract Security сообщила об изменении тактики злоумышленников для обхода систем обнаружения. Хакеры постепенно отказываются от использования прямых ссылок на Vercel в задачах VS Code. Вместо этого они применяют альтернативные методы: хостинг полезной нагрузки через сервисы GitHub (
gist.githubusercontent[.]com) или использование сокращателей ссылок, таких как short[.]gy. Также был обнаружен вредоносный npm-пакет под названием eslint-validator, который извлекает обфусцированный JavaScript-вирус BeaverTail по ссылке из Google Drive. Помимо этого, специалисты выявили специфическую цепочку заражения, нацеленную исключительно на пользователей Windows. В ней задача VS Code запускает пакетный скрипт для загрузки Node.js, использует системную утилиту
certutil для декодирования скрипта и развертывает вредоносное ПО на языке Python, защищенное инструментом PyArmor. Эксперты компании Red Asgard зафиксировали еще более изощренный подход: триггер runOn: "folderOpen" используется для отправки запросов к блокчейну Polygon. Код извлекает вредоносный JavaScript, надежно скрытый внутри смарт-контракта NFT, а итоговая полезная нагрузка представляет собой стилер, нацеленный на веб-браузеры, криптовалютные кошельки и менеджеры паролей. Данная кампания функционирует как высокоорганизованное коммерческое предприятие. Аналитик компании GitLab Оливер Смит (Oliver Smith) сообщил, что еще в декабре были зафиксированы случаи выполнения вредоносного ПО через задачи VS Code и поддельные файлы шрифтов путем передачи удаленного контента в нативные оболочки. В ходе расследования GitLab заблокировала 131 уникальный аккаунт за распространение вредоносных проектов. Почти 90% учетных записей злоумышленников были созданы с использованием адресов Gmail. В более чем 80% случаев хакеры задействовали не менее 6 легитимных сервисов (включая JSON Keeper, Mocki, , Render и ) для хостинга вирусов, а платформа Vercel в 2025 году использовалась ими 49 раз. Злоумышленники применяли потребительские VPN-сервисы, выделенную VPS-инфраструктуру и IP-адреса ферм ноутбуков.
Масштаб финансовой выгоды от этих операций колоссален. Исследователи обнаружили приватный проект, включающий фальшивый репозиторий
Cryptan-Platform-MVP1, управляемый гражданином Северной Кореи. Данная ячейка действовала как структурированная корпорация с четко определенными целями, процедурами и иерархическим контролем. В ходе расследования было найдено более 120 электронных таблиц, презентаций и документов, фиксирующих ежеквартальный доход группы. Согласно этим данным, в период с первого квартала 2022 года по третий квартал 2025 года прибыль IT-ячейки превысила 1,64 миллиона долларов. В отчете компании Okta, опубликованном ранее в этом месяце, описывается феномен «естественного отбора IT-специалистов» среди атакующих. Большинство подставных кандидатов проваливают собеседования, но быстро учатся на своих ошибках. Самые продуктивные участники группы планируют сотни собеседований и создают убедительные личности, позволяющие успешно проходить проверки. Они часто выбирают временные контрактные должности разработчиков программного обеспечения в сторонних компаниях, умело эксплуатируя отсутствие тщательных проверок биографических данных.
Для противодействия этой сложной и многовекторной угрозе Microsoft рекомендует организациям применять строгие стратегии защиты. Необходимо усилить границы доверия в рабочих процессах разработчиков, внедрить строгую аутентификацию и условный доступ. Ключевое значение имеет соблюдение жесткой гигиены учетных данных и применение принципа наименьших привилегий к аккаунтам разработчиков и идентификаторам процессов сборки. Там, где это технически возможно, компаниям следует изолировать инфраструктуру сборки программного обеспечения от остальной сети.
