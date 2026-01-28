Хакеры КНДР начали использовать Microsoft Visual Studio Code для атак на программистов

С декабря 2025 г. APT-группировка Contagious Interview начала активно пользоваться Microsoft Visual Studio Code в качестве средства доставки бэкдоров. Целями атак остаются разработчики ПО.

Скопируйте и запустите

Северокорейский кластер угроз Contagious Interview, прославившийся атаками на разработчиков ПО, сменил тактику. Теперь он злоупотребляет файлами настроек задач в Microsoft Visual Studio Code, так что вредоносные компоненты запускаются в системах жертв.

Как указывают в своём исследовании эксперты компании Jamf Threat Labs, атаки производит APT-группа, отслеживаемая как Contagious Interview, которая длительное время паразитирует на ИТ-работниках и программистах.

Ещё в декабре 2025 г. года операторы этой группировки начали использовать проекты Microsoft Visual Studio Code (VS Code) в качестве средства проникновения в системы разработчиков.

Unsplash - Boitumelo Северокорейская группировка Contagious Interview начала активно пользоваться Microsoft Visual Studio Code как средством доставки бэкдоров

Злоумышленники выходят на связь с потенциальными жертвами, обычно ищущими работу, и предлагают им - в качестве тестового задания, перейти на GitHub, GitLab или Bitbucket, склонировать указанный злоумышленниками репозиторий и запустить проект на своей машине.

Конечная цель - запустить через файлы настроек задач VS Code вредоносные компоненты, которые скачиваются с доменов облачного хостера Vercel. Какой именно вредонос задействуется, зависит от операционной системы жертвы.

Задача составлена таким образом, чтобы заново запускаться при открытии любого файла в проектном каталоге через интегрированную среду разработки. Далее осуществляется скачивание и установка вредоносов, известных как BeaverTail и InvisibleFerret.

«Речь идёт о довольно замысловатой атаке на «цепочку поставок» через публичные репозитории, - отмечает Михаил Зайцев, эксперт по информационной безопасности компании SEQ. - Такие атаки стали пользоваться популярностью у различных APT-акторов, что означает, что они нередко оказываются эффективными. А значит, новые вариации будут появляться и впредь. Разработчикам следует иметь в виду, что, когда их настоятельно приглашают скопировать себе и запустить незнакомый код, это может быть ловушкой».

Изобретательность в немирных целях

В более свежих атаках замечено использование многоэтапных дропперов, которые маскируются под словари для проверки орфографии. Они оказываются задействованными в тех случаях, когда не удаётся закачать полезную нагрузку с доменов Vercel.

В них скрыт хорошо замаскированный JavaScript, который устанавливает соединение с сервером ip-regions-check.vercel[.]app и запускает полученный оттуда код.

На последнем этапе в систему сгружается ещё один скрипт JavaScript под плотным слоем обфускации.

По данным исследователей Jamf, в последнее время операторы кампании стали использовать ещё один метод компрометации: при первом открытии вредоносного проекта у пользователя запрашивается доверенный статус для автора репозитория. Если этот статус предоставляется, немедленно происходит обработка файла tasks.json в репозитории, вслед за чем происходит запуск встроенных произвольных команд.

Например, в системах под macOS осуществляется фоновый запуск шелла, который закачивает с удалённого источника вредоносную нагрузку на JavaScript и встраивает её в среду выполнения Node.js. Это позволяет скрытно орудовать на пользовательской машине даже когда процесс Visual Studio Code приостановлен.

На финальном этапе загружается основная логика бэкдора - опять же, внутри файла JavaScript. Этот бэкдор обеспечивает постоянство присутствия в системе и соединения с сервером операторов, сбор данных о хосте, и запуск произвольного кода.

В одном случае исследователи наблюдали, как на машине под управлением macOS запуск дополнительного кода JavaScript состоялся уже через восемь минут после первоначального заражения. Новый компонент опрашивал сервер злоумышленников каждые пять секунд, мог запускать дополнительные модули на JavaScript, а также устранять следы всякой активности по сигналу оператора.

В Jamf подозревают, что код был написан с помощью ИИ: об этом свидетельствуют комментарии в коде и другие артефакты.

«Количество информации об использовании ИИ для написания вредоносного кода постоянно растёт, и, к сожалению, это закономерное явление: всё, что приносит пользу, можно обернуть во вред, - отмечает Зайцев. - В целом это расширяет, конечно, возможности авторов вредоносного ПО, но им всё равно необходимо знать хотя бы, как и что работает, чтобы давать указания ИИ. Какой-либо революции ИИ в программировании пока не произвёл, и признаки его использования в коде вредоносов - это лишь второстепенная деталь».

Северокорейские хакеры плотно наседают на работников ИТ-сферы, в особенности связанных с криптовалютами, блокчейном и финтехом. Конечная цель - проникнуть в структуры, где работают потенциальные жертвы, и похитить всё, что может быть полезно режиму КНДР.