Especialistas de segurança digital da Jamf Threat Labs identificaram uma nova campanha hacker chamada Contagious Interview, que envolve hackers norte-coreanos. O foco da campanha está em programadores, utilizando projetos maliciosos no Microsoft Visual Studio Code (VS Code) como armadilhas para instalar uma backdoor nos computadores das vítimas.
Estratégia de ataque
A campanha foi inicialmente percebida pela OpenSourceMalware no mês passado. Os hackers atraem programadores com ofertas de emprego tentadoras, direcionando-os a repositórios no GitHub, GitLab ou BitBucket. Ao abrir o projeto falso no VS Code, os programadores são induzidos a executar códigos maliciosos sob a aparência de testes de contratação.
Funcionamento dos malwares
Os atacantes exploram arquivos de configuração de tarefas do VS Code, ativando payloads maliciosos através de domínios Vercel. Cada vez que um arquivo da pasta do projeto é aberto, uma tarefa criminosa é acionada devido à opção “runOn: folderOpen”. Isso resulta na execução dos malwares BeaverTail e InvisibleFerret. Versões mais sofisticadas do ataque utilizam droppers de múltiplos estágios e ofuscam o malware sob a forma de um dicionário, garantindo que ele seja executado novamente caso o payload não seja obtido do domínio Vercel.
Método de infecção inédito
De acordo com a última atualização da Jamf, os hackers implementaram um método de infecção inédito, que permite a entrega de uma backdoor capaz de executar códigos remotamente nos computadores infectados. O VS Code solicita que o usuário confie no autor do repositório, o que leva à execução do código malicioso contido no arquivo de configuração tasks.json.
Alvo dos hackers
Os hackers norte-coreanos têm como alvo principal engenheiros de software que atuam em criptomoedas, blockchain e fintechs, buscando acesso a bens financeiros, carteiras digitais e infraestrutura técnica. A evolução rápida do código dos malwares aumenta a eficácia dos ataques, dificultando a detecção por antivírus e outras medidas de segurança.
Opinião
A crescente sofisticação dos ataques cibernéticos evidencia a necessidade de vigilância constante e educação sobre segurança digital entre profissionais de tecnologia.
