Μια ομάδα hacking που συνδέεται με τη Βόρεια Κορέα, γνωστή ως Void Dokkaebi, η οποία παρακολουθείται επίσης ως Famous Chollima, εκτελεί μια καμπάνια που εξαπατά τους προγραμματιστές λογισμικού να εγκαταστήσουν κακόβουλο λογισμικό μέσω ψεύτικων συνεντεύξεων εργασίας.
Η ομάδα παρασύρει τους προγραμματιστές να κλωνοποιήσουν μολυσμένα αποθετήρια κώδικα ως μέρος μιας κατασκευασμένης δοκιμής κωδικοποίησης και στη συνέχεια μετατρέπει τα μηχανήματα και τα έργα τους σε εργαλεία διάδοσης κακόβουλου λογισμικού.
Η επίθεση ξεκινά με ένα πειστικό στήσιμο. Οι πρωταγωνιστές των απειλών παρουσιάζονται ως προσλαμβάνοντες από εταιρείες κρυπτονομισμάτων και τεχνητής νοημοσύνης, προσεγγίζοντας προγραμματιστές σε επαγγελματικές πλατφόρμες.
Κατά τη διάρκεια μιας ψεύτικης συνέντευξης, ο στόχος καλείται να κλωνοποιήσει ένα αποθετήριο στο GitHub, το GitLab ή το Bitbucket και να το εκτελέσει ως «τεχνική αξιολόγηση».
Αυτά τα αποθετήρια μοιάζουν με νόμιμα έργα αλλά φέρουν κρυφά κακόβουλος κώδικας που εκτελείται τη στιγμή που ο προγραμματιστής ανοίγει τον φάκελο.
Αυτό που κάνει αυτή την εκστρατεία επικίνδυνη είναι τι συμβαίνει μετά την πρώτη μόλυνση. Οι αναλυτές της Trend Micro εντόπισαν ότι ο Void Dokkaebi δεν σταματά σε έναν μόνο παραβιασμένο προγραμματιστή.
Ο εισβολέας χρησιμοποιεί το μηχάνημα και τα αποθετήρια του ίδιου του θύματος για να μολύνει το επόμενο κύμα προγραμματιστών, δημιουργώντας μια αλυσίδα τύπου worm που εξαπλώνεται σε οργανισμούς χωρίς περαιτέρω κοινωνική μηχανική.
Μέχρι τον Μάρτιο του 2026, η κλίμακα είχε αυξηθεί σημαντικά. Η ανάλυση από την Trend Micro Research εντόπισε περισσότερα από 750 μολυσμένα αποθετήρια, περισσότερες από 500 κακόβουλες διαμορφώσεις εργασιών VS Code και 101 περιπτώσεις ενός εργαλείου παραβίασης δέσμευσης σε πλατφόρμες φιλοξενίας δημόσιου κώδικα.
Τα αποθετήρια που ανήκουν σε οργανισμούς όπως οι DataStax και Neutralinojs βρέθηκαν επίσης να φέρουν δείκτες μόλυνσης, που δείχνουν ότι η καμπάνια είχε φτάσει σε δημοφιλή έργα ανοιχτού κώδικα.
Μόλις ένας παραβιασμένος προγραμματιστής ωθήσει κώδικα στο GitHub ή επαναχρησιμοποιήσει στοιχεία αλλού, τα κακόβουλα αρχεία ταξιδεύουν μαζί του, περιμένοντας τον επόμενο προγραμματιστή να ανοίξει το έργο και να ενεργοποιήσει την επίθεση, δημιουργώντας έναν κύκλο που μεγαλώνει με κάθε δέσμευση.
Μέσα στην Αλυσίδα Λοιμώξεων
Η καμπάνια χρησιμοποιεί δύο μεθόδους που συνεργάζονται. Οι πρώτες καταχρήσεις Αρχεία χώρου εργασίας Visual Studio Code, συγκεκριμένα ένα κρυφό αρχείο που ονομάζεται .vscode/tasks.json, που έχουν ρυθμιστεί να εκτελούνται αυτόματα όταν ο προγραμματιστής ανοίγει το φάκελο του έργου.
Όταν ο προγραμματιστής αποδέχεται την προτροπή εμπιστοσύνης του χώρου εργασίας, η κακόβουλη εργασία εκτελείται χωρίς περαιτέρω αλληλεπίδραση, ανακτώντας μια κερκόπορτα από μια απομακρυσμένη διεύθυνση URL ή εκκινώντας ένα κρυμμένο αρχείο μέσα στο χώρο αποθήκευσης που μεταφέρει το ωφέλιμο φορτίο.
.webp)
Η δεύτερη μέθοδος είναι πιο άμεση. Αφού αποκτήσει απομακρυσμένη πρόσβαση στο μηχάνημα ενός προγραμματιστή, η ασαφής JavaScript εγχέεται σε αρχεία προέλευσης στα αποθετήρια του ίδιου του θύματος.
Ο κώδικας ωθείται στη δεξιά άκρη της οθόνης χρησιμοποιώντας κενό διάστημα, αποκρύπτοντάς τον κατά τη διάρκεια γρήγορων αναθεωρήσεων.
Ένα σενάριο δέσμης που ονομάζεται temp_auto_push.bat ξαναγράφει το ιστορικό δέσμευσης git αντιγράφοντας το αρχικό όνομα του συντάκτη, τη χρονική σήμανση και το μήνυμα πριν πιέσετε αναγκαστικά την παραποιημένη έκδοση για να εμφανιστεί ως νόμιμη δέσμευση.
.webp)
Το ωφέλιμο φορτίο που παραδόθηκε είναι μια παραλλαγή του trojan απομακρυσμένης πρόσβασης DEVSPOPPER, ενός εργαλείου που βασίζεται σε πολλές πλατφόρμες Node.js. Συνδέεται με α διακομιστή εντολών και ελέγχου μέσω WebSocket και χρησιμοποιεί HTTP για εξαγωγή αρχείων.
Ένα σύστημα συνεδρίας πολλαπλών χειριστών επιτρέπει σε πολλούς παράγοντες απειλών να εργάζονται ταυτόχρονα σε ένα παραβιασμένο μηχάνημα.
Το RAT εντοπίζει και αποφεύγει περιβάλλοντα CI/CD και sandboxes cloud, τα οποία εκτελούνται μόνο σε πραγματικούς σταθμούς εργασίας προγραμματιστών, επομένως η αυτοματοποιημένη σάρωση σωλήνων θα το χάσει.
Οι προγραμματιστές και οι οργανισμοί μπορούν να λάβουν μέτρα για τη μείωση της έκθεσης. Να εκτελείτε πάντα τον κώδικα συνέντευξης σε απομονωμένα ή αναλώσιμα εικονικά περιβάλλοντα που καταστρέφονται μετά τη συνεδρία και μην τον εκτελείτε ποτέ σε προσωπικές μηχανές ή μηχανήματα παραγωγής.
Προσθέστε το .vscode/ στο .gitignore και επιβάλετε αυτό σε όλα τα αποθετήρια του οργανισμού για να αποκλείσετε την παθητική διάδοση worm. Απαιτήστε δεσμεύσεις με υπογραφή GPG ή SSH με προστασία διακλάδωσης και υποχρεωτικά αιτήματα έλξης για να σταματήσετε το εργαλείο δέσμευσης παραβίασης.
Ελέγξτε τον πηγαίο κώδικα για τους δείκτες μόλυνσης σε παγκόσμιο επίπεδο′!′ και global’\_V’ και ελέγξτε για temp_auto_push.bat.
Παρακολουθήστε τις εξερχόμενες συνδέσεις σε τερματικά σημεία API blockchain όπως τα τελικά σημεία api.trongrid.io και Binance Smart Chain RPC από σταθμούς εργασίας προγραμματιστών.
Η ανίχνευση σε επίπεδο τελικού σημείου σε σταθμούς εργασίας προγραμματιστών είναι απαραίτητη, καθώς το RAT αποφεύγει τα περιβάλλοντα CI/CD από τη σχεδίασή του.
VIA: cybersecuritynews.com
