يواصل المهاجمون المرتبطون بكوريا الشمالية توسيع قدراتهم الهجومية من خلال استغلال برنامج Microsoft Visual Studio Code، وهو أحد أشهر محررات الأكواد في العالم. أظهرت حملات التهديد المستمرة تطوراً ملحوظاً، حيث تحولت من أساليب الهندسة الاجتماعية التقليدية إلى استهداف المطورين عبر بيئات التطوير الموثوقة.
يمثل هذا النهج الجديد تصعيداً مقلقاً في كيفية استغلال الخصوم لأدوات برمجية شرعية لتوصيل برامج ضارة متطورة مباشرة إلى أنظمة الضحايا. تبدأ سلسلة الهجوم عندما يقوم المطورون باستنساخ مستودعات خبيثة دون علمهم، وغالباً ما تكون هذه المستودعات مموهة كواجبات توظيف أو مقابلات عمل فنية.
حملة “Contagious Interview”: تطور استغلال Visual Studio Code
تمثل أساليب الاستغلال الجديدة تحولاً في التكتيكات التي تتجاوز طرق التوصيل المعروفة سابقاً، مثل تلك المعتمدة على ClickFix. فبدلاً من الاعتماد على روابط البريد الإلكتروني المشبوهة، يقوم المهاجمون الآن بتضمين أوامر ضارة داخل ملفات تكوين Visual Studio Code.
وفقاً لبحث أجراه محللون، عند قيام الضحية بفتح مستودع مخترق في Visual Studio Code ومنح الثقة للمستودع – وهو إجراء قياسي في سير العمل – يقوم التطبيق بمعالجة ملف تكوين tasks.json الخاص بالمستودع تلقائياً. يمكن أن يحتوي هذا الملف على أوامر مضمنة تقوم بتنفيذ تعليمات برمجية عشوائية على النظام، مما يتجاوز بفعالية وعي المستخدم.
من جهة أخرى، حدد محللون باحثون في Jamf في ديسمبر استخداماً إضافياً لملفات تكوين المهام في Visual Studio Code، حيث اكتشفوا ملفات قواميس تحتوي على تعليمات برمجية JavaScript مشفرة بشكل كبير. تقوم هذه البرمجيات الخبيثة بالتنفيذ بصمت عند فتح الضحية لمستودع خبيث.
إضافة إلى ذلك، وثق الباحثون الأمنيون كيف قام المهاجمون بإدخال تقنيات تشفير متزايدة التعقيد للتهرب من الكشف والتحليل.
آلية العدوى وتدفق التنفيذ
تبدأ عملية العدوى عندما يقوم المطور باستنساخ وفتح مستودع Git خبيث مستضاف على GitHub أو GitLab. في أنظمة macOS، تستخدم البرامج الضارة أمراً شللياً في الخلفية يجمع بين `nohup bash` و `curl` لجلب حمولة JavaScript عن بعد من البنية التحتية المستضافة على Vercel.
يتم تنفيذ الحمولة مباشرة في بيئة تشغيل Node.js، مما يسمح للهجوم بالاستمرار حتى لو تم إغلاق Visual Studio Code. هذه الآلية المستمرة فعالة بشكل خاص لأنها تعمل بشكل مستقل عن عملية المحرر.
بمجرد التنفيذ، تقوم حمولة JavaScript بإنشاء اتصال مستمر مع خادم القيادة والسيطرة (C2) الموجود على العنوان 87.236.177.93، ويرسل إشارات كل خمس ثوانٍ.
تقوم البرامج الضارة بجمع معلومات النظام، بما في ذلك اسم المضيف وعناوين MAC وتفاصيل نظام التشغيل، ثم ترسل هذه البيانات إلى المهاجمين لتنفيذ مهام إضافية. تحتفظ الحمولة بحلقة تنفيذ مستمرة قادرة على قبول تعليمات JavaScript إضافية من خادم C2، مما يمكّن المهاجمين من تنفيذ أوامر عشوائية والحفاظ على وصول طويل الأمد.
يجب على المطورين مراجعة محتويات المستودعات بعناية قبل تمييزها كثقة، والتدقيق في ملفات tasks.json بحثاً عن تكوينات مشبوهة قد تشير إلى نية خبيثة.