Северокорейские хакеры атакуют разработчиков через задачи VSCode в кампании Contagious Interview

Кампания нацелена на инженеров-программистов, часто связанных с криптоиндустрией. Злоумышленники, притворяясь рекрутерами на LinkedIn или заказчиками на фриланс-платформах, предлагают жертвам высокооплачиваемые проекты. Затем они просят разработчика клонировать репозиторий с Bitbucket, GitLab или GitHub для "ознакомления с кодом". Именно в этом репозитории и скрывается угроза.

Ключевым элементом атаки стал файл "tasks.json", расположенный в директории ".vscode" клонированного проекта. Этот файл задач VSCode, предназначенный для автоматизации рабочих процессов, был сконфигурирован злоумышленниками для выполнения вредоносных команд. В параметре ""runOptions"" установлено значение ""runOn": "folderOpen"". Это означает, что задача выполняется автоматически каждый раз, когда пользователь открывает любую папку или файл в этом проекте в VSCode, что обеспечивает постоянное присутствие вредоносной программы.

При первом открытии репозитория VSCode запрашивает у пользователя доверие к авторам файлов. После подтверждения этого запроса предупреждение больше не появляется, и вредоносная задача выполняется автоматически при каждом последующем открытии проекта. Исследователи отмечают, что это весьма изобретательный способ установки вредоносного загрузчика.

Вредоносная задача, описанная в "tasks.json", в зависимости от операционной системы жертвы (macOS, Linux или Windows) загружает и выполняет скрипт-загрузчик с контролируемого злоумышленниками домена на платформе Vercel. Этот скрипт запускает многоступенчатый процесс загрузки. В конечном итоге на компьютер жертвы устанавливается два основных вредоносных модуля.

Первый модуль, известный как BeaverTail, представляет собой крипто-стилер (cryptostealer). Он нацелен на кражу данных из более чем 43 расширений для браузеров, связанных с криптовалютами, включая MetaMask, Phantom и Coinbase Wallet. Кроме того, он ворует файлы кошельков (например, Exodus), учетные данные, cookies сессий, данные LocalStorage и базы данных ключей macOS. Собранные данные архивируются и отправляются на командный сервер.

Второй модуль, названный исследователями "Invisible Ferret", представляет собой сложный загрузчик на Python. Для затруднения анализа он использует 64 вложенных слоя обфускации, включающих обратное кодирование base64 и сжатие zlib. После распаковки в памяти вредоносная программа определяет операционную систему, создает скрытую директорию и загружает дополнительные компоненты бэкдора и похитителя данных из браузеров.

По данным исследователей, кампания использует как минимум 13 различных вариантов, распределенных по 27 учетным записям GitHub. Все они используют один и тот же метод с файлом задач VSCode, но загружают различные полезные нагрузки (payload) с уникальных URL на платформе Vercel. Анализ показывает, что хакеры начали экспериментировать с этой техникой еще в апреле 2025 года, но активно использовать ее стали примерно две недели назад, модифицируя старые репозитории. Команда OSM связалась с Vercel, GitHub и Atlassian с просьбой удалить вредоносные ресурсы. Все образцы вредоносного ПО и индикаторы компрометации были добавлены в открытую базу данных OpenSourceMalware и доступны общественности бесплатно. Эксперты предупреждают, что новая техника, вероятно, быстро вытеснит старый метод ClickFix и станет основным вектором начального заражения для Lazarus Group. Разработчикам рекомендуется проявлять особую осторожность при работе с репозиториями от незнакомых источников и внимательно проверять файлы в директории ".vscode".

IPv4

• 146.70.41.188

Domains

• ip-api-check-nine.vercel.app
• isvalid-region.vercel.app
• test-assesment-kk37hvtef-mahs-projects-03bae667.vercel.app
• test-assesment-self.vercel.app
• vercel.app
• vscode-bootstrapper.vercel.app
• vscode-config.vercel.app
• vscode-helper171.vercel.app
• vscode-load-config.vercel.app
• vscode-setup.vercel.app

URLs

• github.com/AbdullahSalihOner/golden-task
• github.com/Ambition-lead/linkfi
• github.com/CapsuleLabs-lgtml/Coin-ICO
• github.com/ChainspaceHub/TokenPresaleApp
• github.com/DAP2506/thirdweb-skill-test
• github.com/Gerome125/TokenPresale-dApp
• github.com/Luckystar483/QuickShop
• github.com/MahnoorKhushbakht/test-assesment
• github.com/markomilivojevic/ethvault_staking
• github.com/megaorg42/CoinLocatorDemo
• github.com/MentarisHub121/TokenPresaleApp
• github.com/prahaladbelavadi/CoinLocatorDemo
• github.com/SmartPay24/Demo
• github.com/softwareRoom1/skill-test
• github.com/tinitachodos/apom
• github.com/tinitachodos/apom22
• github.com/winterteam03311/apom
• github.com/winterteam29879/apom

Emails

• 64440843+Ab***************@******************ub.com
• am**************@***il.com
• bo****@******ly.co
• da*************@***il.com
• da***********@***il.com
• el*************@***il.com
• fe********@***il.com
• ia***********@***il.com
• mi***********@***il.com
• pe******@***il.com
• ph**********@***il.com
• se**********@***il.com
• sm******@***rt.com
• sm************@***il.com
• yo******@***il.com

SHA256

• 54a5c5cb16bdd482bd4147200557d3a94e413f9e9aebbf4818e76f16331bc6dc
• 869bce2efa60b60dab1e0fe8c9d94cfbd6476f4393f79564c4de26ec689dc64d
• 87e7f4ac95f090f9965175935955fdc02bee4b1bf417855bc65ff4bde9f271e5
• ebfaff5c2e9b709c1337e06a756f7ee69fc29d319a27adaafe73eb84d8a43b61
• ef12b15466255fafda6225a557cce780baa6b1c98adcf111f5564e7b3ecc0e14

GitHub Users

• AbdullahSalihOner
• Ambition-lead
• BogdanHabic
• CapsuleLabs-lgtm
• CapsuleLabs-lgtml
• ChainspaceHub
• DAP2506
• Emmanuel-bot-rgb
• Gerome125
• James Smith
• Luckystar483
• MahnoorKhushbakht
• SmartPay24
• ameeetgaikwad
• balocones
• dannythedawger
• markomilivojevic
• megaorg42
• nikkhielseath
• smartpayauthor
• softwareRoom1
• winterteam03311
• yenthanh
• yosket
• tinitachodos
• winterteam29879
• mahnoor
• MentarisHub121
• prahaladbelavadi
• eferos93

NPM packages

• react-svg-plugin
• react-svg-config