Severokorejští aktéři hrozeb spojení s dlouhodobou kampaní Contagious Interview byli pozorováni při používání škodlivých projektů Microsoft Visual Studio Code (VS Code) jako návnad k doručení zadních vrátek na kompromitované koncové body.

Nejnovější zjištění demonstruje pokračující vývoj nové taktiky, která byla poprvé objevena v prosinci 2025, uvedla společnost Jamf Threat Labs.

Útok, poprvé zveřejněný společností OpenSourceMalware, v podstatě zahrnuje instruování potenciálních cílů ke klonování repozitáře na GitHubu, GitLabu nebo Bitbucketu a spuštění projektu ve VS Code jako součást údajného pracovního hodnocení.

Konečným cílem těchto snah je zneužít konfigurační soubory úloh VS Code ke spuštění škodlivých payloadů umístěných na doménách Vercel v závislosti na operačním systému na infikovaném hostiteli. Úloha je nakonfigurována tak, že se spustí pokaždé, když je tento soubor nebo jakýkoli jiný soubor ve složce projektu otevřen ve VS Code nastavením možnosti „runOn: folderOpen“. To nakonec vede k nasazení BeaverTail a InvisibleFerret.

Následné iterace kampaně byly shledány skrývajícími sofistikované vícestupňové droppery v konfiguračních souborech úloh maskováním malwaru jako neškodných slovníků pro kontrolu pravopisu jako záložní mechanismus v případě, že úloha není schopna získat payload z domény Vercel.

Stejně jako předtím je obfuskovaný JavaScript vložený do těchto souborů spuštěn, jakmile oběť otevře projekt v integrovaném vývojovém prostředí (IDE). Naváže komunikaci se vzdáleným serverem („ip-regions-check.vercel[.]app“) a spustí jakýkoli JavaScript kód od něj přijatý. Konečná fáze doručená jako součást útoku je další silně obfuskovaný JavaScript.

JavaScript payload, hostovaný na Vercelu, obsahuje hlavní logiku zadních vrátek k vytvoření trvalé smyčky spouštění, která shromažďuje základní informace o hostiteli a komunikuje se vzdáleným serverem k usnadnění vzdáleného spouštění kódu, snímání otisků systému a nepřetržité komunikace.

Zdroj: thehackernews.com