Товарищ Ким пришел за вашим кодом. Новые приключения программистов на GitHub
NewsMakerОбычной осторожности профессионала больше недостаточно.
Новая атака на разработчиков разворачивается тихо и почти незаметно — достаточно открыть скачанный репозиторий, чтобы запустить вредоносный код. Кампания, получившая название TasksJacker, показывает, как привычные инструменты разработки превращаются в точку входа для сложных цепочек компрометации.
Команда OpenSourceMalware обнаружила масштабную операцию, связанную с северокорейскими группами. За месяц злоумышленники внедрили вредоносные изменения более чем в 400 репозиториев на GitHub, затронув десятки организаций, включая DataStax. Атака не требует привычных уловок вроде фальшивых собеседований — заражение происходит автоматически при открытии проекта в Visual Studio Code.
Ключевой элемент схемы — файл .vscode/tasks.json. В норме такой файл помогает автоматизировать сборку или настройку проекта. В рамках TasksJacker в него добавляют команды, которые запускаются сразу после открытия папки. В результате редактор сам выполняет вредоносный скрипт, скачивает дополнительные компоненты и передаёт управление злоумышленникам.
Авторы атаки тщательно маскируют вмешательство. Они переписывают историю git, подменяют авторов и даты коммитов, из-за чего вредоносные изменения выглядят как часть старых легитимных правок. В одном из случаев сервисный аккаунт DataStax за полторы минуты внёс изменения сразу в 12 репозиториев — скорость и точность указывают на автоматизацию.
Новая атака на разработчиков разворачивается тихо и почти незаметно — достаточно открыть скачанный репозиторий, чтобы запустить вредоносный код. Кампания, получившая название TasksJacker, показывает, как привычные инструменты разработки превращаются в точку входа для сложных цепочек компрометации.
Команда OpenSourceMalware обнаружила масштабную операцию, связанную с северокорейскими группами. За месяц злоумышленники внедрили вредоносные изменения более чем в 400 репозиториев на GitHub, затронув десятки организаций, включая DataStax. Атака не требует привычных уловок вроде фальшивых собеседований — заражение происходит автоматически при открытии проекта в Visual Studio Code.
Ключевой элемент схемы — файл .vscode/tasks.json. В норме такой файл помогает автоматизировать сборку или настройку проекта. В рамках TasksJacker в него добавляют команды, которые запускаются сразу после открытия папки. В результате редактор сам выполняет вредоносный скрипт, скачивает дополнительные компоненты и передаёт управление злоумышленникам.
Авторы атаки тщательно маскируют вмешательство. Они переписывают историю git, подменяют авторов и даты коммитов, из-за чего вредоносные изменения выглядят как часть старых легитимных правок. В одном из случаев сервисный аккаунт DataStax за полторы минуты внёс изменения сразу в 12 репозиториев — скорость и точность указывают на автоматизацию.