Jamf Threat Labs, Kuzey Kore'ye (DPRK) atfedilen "Contagious Interview" kampanyasında tehdit aktörlerinin Microsoft Visual Studio Code'u kötüye kullanım yöntemlerini genişlettiğini ortaya koydu. Daha önce ClickFix tabanlı tekniklerle başlayan bu kampanya, artık Visual Studio Code'un tasks.json konfigürasyon dosyalarını kullanarak kurban sistemlerde zararlı yüklerin çalıştırılmasını sağlıyor. Bu yeni yöntem, kullanıcıların kötü niyetli bir Git deposunu Visual Studio Code içinde açtığında, gizlenmiş JavaScript kodlarının otomatik olarak yürütülmesine yol açabiliyor. Jamf Threat Labs ve OpenSourceMalware (OSM) araştırmacıları, bu tekniklerin evrimini yakından takip ediyor.
Son tespitlere göre, kampanya daha da gelişerek daha önce belgelenmemiş bir enfeksiyon yöntemini içeriyor. Bu yöntem, kurban sistemlerde uzaktan kod yürütme yetenekleri sağlayan bir arka kapı (backdoor) implantının dağıtımını kapsıyor. Enfeksiyon süreci, kurbanın genellikle bir işe alım süreci veya teknik görev bahanesiyle kötü niyetli bir Git deposunu (GitHub veya GitLab'da barındırılan) klonlayıp Visual Studio Code ile açmasıyla başlıyor. Kullanıcı depoya güvendiğinde, uygulama tasks.json dosyasını işleyerek gömülü komutların çalışmasına izin veriyor. macOS sistemlerinde bu durum, nohup bash -c ve curl -s komutlarını kullanarak uzaktan bir JavaScript yükünü Node.js çalışma zamanına aktararak bağımsız bir şekilde çalışmasını sağlıyor. Bu JavaScript yükleri genellikle Vercel.app gibi platformlarda barındırılıyor ve DPRK ile ilişkili faaliyetlerde giderek daha fazla kullanılıyor. Bu durum, geliştirme ortamlarının siber saldırılar için nasıl hedef alındığını gösteriyor.
Geliştirme ortamları ve araçları, siber saldırganlar için yeni ve etkili bir hedef haline gelerek yazılım geliştirme süreçlerinin güvenliğini tehdit ediyor.