Jamfは、北朝鮮の脅威アクターがVisual Studio Codeのタスク構成ファイルを悪用し、macOSソフトウェア開発者を標的とする新たなキャンペーンでマルウェアを配布していると警告している。
同セキュリティ企業によると、これらの攻撃は、Operation Dream Job、Contagious Interview、ClickFake Interview、DeceptiveDevelopmentなど、北朝鮮のハッカーに帰属される偽の求人オファーキャンペーンの新たな反復に当たるという。
マルウェア配布にClickFixベースの手法を用いる代わりに、新たな攻撃では、求人課題を装って、GitHubまたはGitLabにホストされたリポジトリへアクセスしたりクローンしたりするよう被害者をだます。
悪意あるプロジェクトには、Jamfが説明するように、強く難読化された悪意あるJavaScriptコードを含むVS Codeのタスク構成ファイルが含まれている。
リポジトリをVS Codeで開くと、被害者はプロジェクトの作成者を信頼するよう促され、これによりmacOSシステム上で悪意あるコマンドが実行される。
実行されるシェルコマンドはJavaScriptペイロードを取得し、それをNode.jsランタイムにパイプすることで、VS Codeを閉じた後も実行が継続されるようにする。
Jamfによると、このJavaScriptペイロードは永続化を設定し、基本的なシステム情報を収集し、コマンド&コントロール(C&C)サーバーとの通信を確立する。
また、リモートコード実行やシステムのフィンガープリンティングなど、バックドアの中核機能を実装する複数のルーチンも含まれている。
このバックドアの主な機能は、渡されたJavaScriptコードを動的に実行することだ。コードは追加のNode.jsモジュールをインポートして機能を拡張できる。
バックドアは、OSの詳細、ホスト名、MACアドレスなどのマシン情報を収集し、外部公開されているIPアドレスの特定を試みる。
また、定期的にホストの詳細をC&Cサーバーへ送信し、応答を処理するビーコニング機能も実装している。
Jamfはさらに、このバックドアが自分自身に似たJavaScriptペイロードを取得する様子も観測しており、それはC&Cから追加のコード(どうやらAIの支援で生成されたもの)を取得して子プロセスで実行できる可能性がある。
Jamfは「開発者は、サードパーティのリポジトリ、とりわけ直接共有されたものや不慣れなソースに由来するものとやり取りする際には注意を怠らないようにすべきだ。Visual Studio Codeでリポジトリを信頼済みとしてマークする前に、その内容を確認することが重要である」と指摘している。
