Acteurs menaçants nord-coréens associés au long terme Entretien contagieux Il a été observé que cette campagne utilise des projets Microsoft Visual Studio Code (VS Code) malveillants comme leurre pour ouvrir une porte dérobée vers des points de terminaison compromis.
Cette dernière découverte démontre l’évolution continue de la nouvelle tactique découverte pour la première fois en décembre 2025, a déclaré Jamf Threat Labs.
“Cette activité impliquait le déploiement d'un implant de porte dérobée qui fournit des capacités d'exécution de code à distance sur le système de la victime”, a déclaré le chercheur en sécurité Thijs Xhaflaire dans un rapport partagé avec The Hacker News.
L'attaque, révélée pour la première fois par OpenSourceMalware le mois dernier, consiste essentiellement à demander à des cibles potentielles de cloner un référentiel sur GitHub, GitLab ou Bitbucket et de publier le projet sur VS Code dans le cadre d'une supposée évaluation du travail.
Le but ultime de ces efforts est d'abuser des fichiers de configuration des tâches VS Code pour exécuter des charges utiles malveillantes organisées sur les domaines Vercel, en fonction du système d'exploitation de l'hôte infecté. La tâche est configurée pour qu'elle s'exécute chaque fois que ce fichier ou tout autre fichier du dossier du projet est ouvert dans VS Code en définissant l'option « runOn:OpenFolder ». Cela conduit finalement au déploiement de BeaverTail et InvisibleFerret.
Il a été constaté que les itérations ultérieures de la campagne dissimulaient des droppers multi-étapes sophistiqués dans les fichiers de configuration des tâches en déguisant le malware en dictionnaires de vérification orthographique inoffensifs comme mécanisme de secours au cas où la tâche ne parviendrait pas à récupérer la charge utile du domaine Vercel.
Comme auparavant, le JavaScript masqué intégré dans ces fichiers est exécuté dès que la victime ouvre le projet dans l'environnement de développement intégré (IDE). Établit la communication avec un serveur distant (“ip-regions-check.vercel[.]app”) et exécute tout code JavaScript reçu de celui-ci. La dernière étape livrée dans le cadre de l'attaque est un autre JavaScript fortement obscurci.
Jamf a déclaré avoir découvert un autre changement dans cette campagne, dans laquelle les acteurs malveillants ont utilisé une méthode d'infection jusqu'alors non documentée pour fournir une porte dérobée offrant des capacités d'exécution de code à distance sur l'hôte compromis. Le point de départ de la chaîne d'attaque n'est pas différent puisqu'elle est déclenchée lorsque la victime clone et ouvre un référentiel Git malveillant à l'aide de VS Code.
“Lorsque le projet est ouvert, Visual Studio Code invite l'utilisateur à faire confiance à l'auteur du référentiel”, a expliqué Xhaflaire. “Si cette confiance est accordée, l'application traite automatiquement le fichier de configuration task.json du référentiel, ce qui peut entraîner l'exécution de commandes arbitraires intégrées au système.”
“Sur les systèmes macOS, cela entraîne l'exécution d'une commande shell en arrière-plan qui utilise nohup bash -c en combinaison avec curl -s pour récupérer une charge utile JavaScript à distance et la diriger directement vers le runtime Node.js. Cela permet à l'exécution de continuer indépendamment si le processus Visual Studio Code se termine, tout en supprimant toutes les sorties de commande. “
La charge utile JavaScript, hébergée sur Vercel, contient la principale logique de porte dérobée pour établir une boucle d'exécution persistante qui collecte des informations de base auprès de l'hôte et communique avec un serveur distant pour faciliter l'exécution de code à distance, la prise d'empreintes digitales du système et la communication continue.
Dans un cas, la société de gestion d'appareils Apple a déclaré avoir observé davantage d'instructions JavaScript exécutées environ huit minutes après l'infection initiale. Le JavaScript nouvellement téléchargé est conçu pour envoyer un signal au serveur toutes les cinq secondes, exécuter du JavaScript supplémentaire et supprimer les traces de son activité dès réception d'un signal de l'opérateur. On soupçonne que le script a pu être généré à l'aide d'un outil d'intelligence artificielle (IA) en raison de la présence de commentaires et de phrases en ligne dans le code source.
Les acteurs menaçants ayant des liens avec la République populaire démocratique de Corée (RPDC) sont connus pour cibler spécifiquement les ingénieurs logiciels, en particulier ceux qui travaillent dans les secteurs de la cryptomonnaie, de la blockchain et des technologies financières, car ils ont souvent tendance à avoir un accès privilégié aux actifs financiers, aux portefeuilles numériques et à l'infrastructure technique.
La compromission de vos comptes et de vos systèmes pourrait permettre aux attaquants d'accéder sans autorisation au code source, à la propriété intellectuelle, aux systèmes internes et au détournement d'actifs numériques. Ces changements constants dans leurs tactiques sont considérés comme un effort visant à atteindre un plus grand succès dans leurs objectifs financiers et de cyberespionnage pour soutenir le régime lourdement sanctionné.
Ce développement intervient alors que Red Asgard a détaillé son enquête sur un référentiel malveillant qui a été découvert comme utilisant une configuration de tâches VS Code pour récupérer du JavaScript obscurci conçu pour placer une porte dérobée complète appelée Tsunami (également connue sous le nom de TsunamiKit) aux côtés d'un mineur de crypto-monnaie XMRig.
Une autre analyse de Security Alliance la semaine dernière a également révélé l'abus des tâches VS Code par la campagne dans une attaque dans laquelle elle a contacté une victime non précisée sur LinkedIn, les acteurs de la menace prétendant être le CTO d'un projet appelé Meta2140 et partageant une notion.[.]Par conséquent, le lien contient une évaluation technique et une URL vers un référentiel Bitbucket qui héberge le code malveillant.
Il est intéressant de noter que la chaîne d'attaque est conçue pour recourir à deux autres méthodes : installer une dépendance npm malveillante appelée “grayavatar” ou exécuter du code JavaScript chargé de récupérer un pilote Node.js sophistiqué, qui à son tour exécute cinq modules différents pour enregistrer les frappes au clavier, prendre des captures d'écran, analyser le répertoire personnel du système à la recherche de fichiers sensibles, remplacer les adresses de portefeuille copiées dans le presse-papiers, les informations d'identification du navigateur Web et établir une connexion persistante à un serveur distant.
Le malware procède ensuite à la configuration d'un environnement Python parallèle à l'aide d'un script intermédiaire qui permet la collecte de données, l'extraction de crypto-monnaie à l'aide de XMRig, l'enregistrement de frappe et le déploiement d'AnyDesk pour un accès à distance. Il convient de noter que les couches Node.js et Python sont respectivement nommées BeaverTail et InvisibleFerret.
Ces résultats indiquent que les acteurs parrainés par l’État expérimentent ensemble plusieurs méthodes d’exécution pour augmenter la probabilité de succès de leurs attaques.
“Cette activité met en évidence l'évolution continue des acteurs de la menace liés à la RPDC, qui adaptent constamment leurs outils et mécanismes de livraison pour les intégrer aux flux de travail légitimes des développeurs”, a déclaré Jamf. “L'abus des fichiers de configuration des tâches de Visual Studio Code et de l'exécution de Node.js démontre comment ces techniques continuent d'évoluer parallèlement aux outils de développement couramment utilisés.”
