Северокорейские хакеры используют автоматический запуск задач в VS Code для распространения вредоносного ПО StoatWaffle
Северокорейские хакеры используют автоматический запуск задач в VS Code для распространения вредоносного ПО
Согласно отчету исследовательской компании по кибербезопасности, группа северокорейских киберпреступников начала применять новую тактику для распространения вредоносного ПО через проекты Microsoft Visual Studio Code (VS Code). Злоумышленники используют механизм автоматического запуска задач в файле tasks.json, что может позволять им запускать вредоносные компоненты на компьютерах жертв.
Особенности атаки и механизм заражения
Недавно было обнаружено, что злоумышленники внедряют в проекты VS Code специально подготовленные файлы tasks.json, которые могут инициировать запуск задач при открытии проекта или в рамках механизма задач VS Code. В результате, когда разработчик или пользователь открывает заражённый проект в VS Code, вредоносное ПО может запускаться без дополнительного взаимодействия с пользователем.
Вредоносное ПО, используемое в этих атаках, способно выполнять различные задачи, включая кражу данных, установку бекдоров и расширение контроля над скомпрометированными системами. Использование легитимного инструмента разработки для доставки вредоносного кода усложняет обнаружение атаки традиционными средствами защиты.
Почему это важно для организаций, управляющих внешней поверхностью атаки
Применение VS Code как вектора атаки демонстрирует, что злоумышленники всё активнее используют популярные инструменты разработчиков для обхода систем безопасности. Поскольку многие организации позволяют сотрудникам использовать VS Code для разработки и тестирования, заражённые проекты могут стать точкой входа для атакующих.
Для команд по безопасности это означает необходимость более пристального контроля за внешними репозиториями и проектами, которые загружаются и открываются сотрудниками. Вредоносные задачи в tasks.json могут быть незаметны при быстром просмотре кода, но при этом запускать опасные скрипты автоматически.
Практические рекомендации для защиты
- Контроль источников кода: Ограничьте использование и загрузку проектов VS Code только из проверенных и доверенных репозиториев.
- Анализ файлов конфигурации: Внедрите автоматизированные проверки файлов
tasks.jsonна наличие подозрительных или неизвестных команд перед тем, как проекты будут открываться в среде разработки. - Обучение разработчиков: Повышайте осведомлённость сотрудников о рисках, связанных с открытием сторонних проектов и необходимости проверки конфигурационных файлов.
- Мониторинг активности VS Code: Настройте системы обнаружения аномалий, которые могут выявлять автоматический запуск задач, нехарактерных для обычной работы пользователей.
- Обновление средств защиты: Убедитесь, что антивирусные и EDR-решения способны анализировать и блокировать вредоносные действия, инициируемые через инструменты разработки.
Использование VS Code в качестве канала для распространения вредоносного ПО — тревожный сигнал для организаций, которые должны адаптировать свои стратегии защиты внешней поверхности атаки с учётом новых методов злоумышленников. Внимательное отношение к безопасности среды разработки и контроль над внешними ресурсами помогут снизить риски успешных атак.
Источник: отчет исследовательской компании по кибербезопасности [название источника можно добавить при публикации].
