Смена вектора: киберпреступники используют Gist, Google Drive и сокращатели ссылок для атаки на разработчиков через IDE

Ранние кампании активно использовали домены на платформе Vercel, размещая в файлах "tasks.json" прямые ссылки на вредоносные скрипты. Однако после публикации отчётов и последующих блокировок акторы начали диверсифицировать подход. Теперь в арсенале появляются GitHub Gist, Google Drive и сервисы сокращения ссылок, что усложняет обнаружение и повышает живучесть кампании. Основной вектор остаётся прежним: злоумышленники заражают репозитории на GitHub, добавляя в них модифицированные файлы конфигурации задач ".vscode/tasks.json" или ".cursor/tasks.json". При открытии такого проекта в IDE вредоносная команда, настроенная на выполнение при открытии папки ("runOn: folderOpen"), автоматически запускается, инициируя цепочку загрузки вредоносного ПО.

Одним из новых методов стало использование GitHub Gist - сервиса для быстрого обмена фрагментами кода. Вредоносные команды в "tasks.json" теперь содержат ссылки на скрипты, размещённые на "gist.githubusercontent.com". Эти скрипты, маскирующиеся под инструменты для работы с GPU (например, с именами вроде "cuda_toolkit_sim_v12.4.ps1"), затем загружают следующую стадию полезной нагрузки с домена "camdriver[.]pro". Выбор тематики, связанной с NVIDIA и драйверами, не случаен - он нацелен на разработчиков в сфере DeFi и криптовалют, которые с высокой вероятностью используют производительные видеокарты. Хотя конкретные gist были удалены, сам факт их использования указывает на новый тренд в арсенале злоумышленников.

Параллельно наблюдается активное применение сервисов сокращения ссылок, таких как "short[.]gy". Этот шаг, вероятно, является прямой реакцией на публичное обсуждение использования доменов Vercel. Сокращённые ссылки часто ведут на те же самые серверы Vercel, но их использование затрудняет анализ и автоматическое обнаружение по прямым URL-адресам. Более того, в файлах "tasks.json" продолжает встречаться примитивная техника обфускации - заполнение команд пробелами, чтобы сместить вредоносную строку за пределы видимой области в редакторе кода.

Ещё одним интересным вектором стало злоупотребление Google Drive. Исследователи обнаружили вредоносный пакет NPM под названием "eslint-validator", который при установке загружает и исполняет код с Google Диска. Механизм специально обрабатывает страницы с предупреждениями антивирусного сканирования, автоматически переключаясь на альтернативный URL-формат "drive.usercontent.google.com". Это демонстрирует достаточно высокий уровень технической подготовки акторов и их внимание к деталям, обеспечивающим беспрепятственное выполнение кода.

Аналитики также сообщили о цепочке заражения, которая, несмотря на поразительное сходство техник с методами Contagious Interview, привела к загрузке совершенно иного финального полезного груза - Akira Stealer. Этот троянец-похититель данных, распространяемый по модели Malware-as-a-Service (MaaS, вредоносное ПО как услуга), обычно не ассоциируется с данной группой. Данное несоответствие может указывать либо на появление подражателя, копирующего успешные методы, либо на тестирование новой схемы самими акторами. Инцидент подчёркивает сложность точной атрибуции в современных кибератаках и показывает, как удачные техники могут тиражироваться разными угрозными акторами.

С практической точки зрения, для специалистов по безопасности критически важно адаптировать системы мониторинга. Ключевые точки детекции теперь должны включать не только прямые ссылки на подозрительные домены, но и обращения к "gist.githubusercontent.com" или "drive.google.com" из процессов, не связанных с браузером, например, из "node.exe" или "npm". Подозрительным является любое скачивание и немедленное выполнение кода через конвейер (pipe), например, "curl URL | bash". Также стоит обращать внимание на нестандартное поведение в пользовательских каталогах ".vscode", таких как создание исполняемых ".cmd"-файлов или портативная установка Node.js с помощью "msiexec /a".

В заключение, эволюция кампании Contagious Interview наглядно иллюстрирует классическую «гонку вооружений» в кибербезопасности. Ответные меры защитников приводят к постоянному совершенствованию тактик нападающих. Смещение в сторону легитимных и широко используемых сервисов, таких как GitHub Gist и Google Drive, размывает границы между доброкачественным и вредоносным трафиком, требуя от SOC-команд более глубокого контекстного анализа и применения поведенческих детекторов, а не просто сигнатур на основе URL. Разработчикам же следует проявлять повышенную бдительность при работе с открытыми репозиториями, особенно при клонировании малоизвестных форков, и регулярно проверять содержимое скрытых конфигурационных файлов в своих проектах.

Domains

• camdriver.pro
• josehub88.vercel.app
• nomgwenya.co.za
• postprocesser.com

URLs

• https://camdriver.pro/realtekmac.sh?r=7205d529-ff14-4dcf-965b-29d500663a75
• https://camdriver.pro/realtekwin.update?r=7205d529-ff14-4dcf-965b-29d500663a75
• https://camdriver.pro/realtekwin.update?r=ffa752c6-84e9-4bb9-b3c8-a3ab09cbcbe6
• https://drive.google.com/file/d/16AaeeVhqj4Q6FlJIDMgdWASJvq7w00Yc/view?usp=sharing
• https://gist.githubusercontent.com/cuda-toolkit/0959deda4982736d1c1647cff354c665/raw/metal_pytorch_sim_v2.3.0.sh
• https://gist.githubusercontent.com/cuda-toolkit/384410c927451dbada9ecb0072851198/raw/cuda_toolkit_sim_v12.4.ps1
• https://gist.githubusercontent.com/cuda-toolkit/4ece7a2e99311a4aa384c24733b7a41b/raw/metal_pytorch_sim_v2.3.0.sh
• https://gist.githubusercontent.com/cuda-toolkit/936835c7a98d3b223970a5d2ed63fc97/raw/cuda_toolkit_sim_v12.4.ps1
• https://nomgwenya.co.za/js/bootstrap?win=32
• https://nomgwenya.co.za/js/settings?win=32
• https://postprocesser.com/.well-known/pki-validation/go/python3.zip

SHA256

• 2a7e7b76a3e8070410adce9b6a2b9cf112687922792c91be563c20fbf6a4a82f
• 6d9379e365a4da282531d7f234c69eefa48567c01ba173b462e907a1ddfc71b2