Hackers norte-coreanos exploram VS Code para invadir devs
Hackers norte-coreanos associados à campanha Contagious Interview voltaram a atacar, desta vez distribuindo projetos maliciosos do Visual Studio Code (VS Code) que instalam um backdoor com execução remota de código em sistemas de desenvolvedores.
Tática: abrir o projeto já dispara o ataque
Segundo a Jamf Threat Labs, o golpe começa quando o alvo clona um repositório no GitHub, GitLab ou Bitbucket, supostamente como parte de um teste técnico para vaga de emprego. Ao abrir o projeto no VS Code e clicar em “Trust the author”, o arquivo tasks.json é processado automaticamente. Essa configuração contém comandos que baixam um payload hospedado em domínios da plataforma Vercel, usando o parâmetro runOn: folderOpen para acionar o script toda vez que a pasta é acessada.
No macOS, por exemplo, um comando nohup bash -c com curl -s puxa um JavaScript ofuscado e o injeta direto no Node.js, continuando mesmo que o VS Code seja fechado. A partir daí, o backdoor coleta informações do host, mantém comunicação contínua com um servidor remoto (ip-regions-check.vercel.app) e aguarda instruções.
BeaverTail, InvisibleFerret e mineração de criptomoeda
O estágio final entrega malwares batizados de BeaverTail (Node.js) e InvisibleFerret (Python). Juntos, eles permitem:
- Execução remota de comandos;
- Keylogging e capturas de tela;
- Substituição de endereços de carteira criptográfica copiados para a área de transferência;
- Execução do minerador XMRig para Monero;
- Instalação furtiva do AnyDesk para acesso persistente.
Relatórios da Red Asgard e da Security Alliance reforçam que os operadores, ligados à República Popular Democrática da Coreia (DPRK), tentam múltiplos vetores: dependências npm maliciosas, scripts em Notion e repositórios alternativos. A meta é comprometer desenvolvedores de cripto, fintech e blockchain, que costumam ter acesso privilegiado a ativos digitais e códigos-fonte sensíveis.
Imagem: Internet
Para o pesquisador Thijs Xhaflaire, a constante evolução — da simples execução automática a dicionários de correção ortográfica falsos como plano B — mostra como o grupo ajusta suas ferramentas para se misturar a fluxos legítimos de trabalho dos devs.
Recomendações incluem desativar a execução automática de tarefas no VS Code, revisar cada tasks.json antes de conceder confiança ao autor e monitorar conexões de saída para domínios Vercel suspeitos. Um passo-a-passo detalhado pode ser conferido no relatório original do The Hacker News, referência em segurança.
Entender como esses ataques funcionam ajuda a reforçar práticas de desenvolvimento seguro. Quer mais conteúdos sobre proteção de setups e novidades do mundo gamer? Visite a página inicial da Games In e continue conosco.
Crédito da imagem: The Hacker News Fonte: The Hacker News
