กลุ่มแฮกเกอร์ที่เชื่อมโยงกับเกาหลีเหนือได้ขยายขีดความสามารถในการโจมตีโดยใช้วิธีการใหม่ในการใช้ประโยชน์จาก Microsoft Visual Studio Code ซึ่งเป็นโปรแกรมแก้ไขโค้ดยอดนิยม เพื่อส่งมัลแวร์ที่เป็นอันตรายเข้าสู่ระบบของเหยื่อ แคมเปญ ‘Contagious Interview’ นี้เปลี่ยนจากการใช้กลวิธี Social Engineering แบบเดิมไปสู่การกำหนดเป้าหมายนักพัฒนาผ่านสภาพแวดล้อมการพัฒนาที่น่าเชื่อถือ โดยการหลอกให้โคลน Repository ที่เป็นอันตราย ซึ่งจะเรียกใช้โค้ด JavaScript ที่ซ่อนอยู่ผ่านไฟล์ tasks.json เพื่อสร้างการเชื่อมต่อกับเซิร์ฟเวอร์ Command-and-Control และขโมยข้อมูลระบบ
Severity: สูง
System Impact:
- Microsoft Visual Studio Code
- macOS systems
- Node.js runtime
- Corporate systems
Technical Attack Steps:
- การโจมตีเริ่มต้นด้วยแคมเปญฟิชชิ่งบน LinkedIn ที่หลอกล่อพนักงานด้วยข้อความมืออาชีพปลอม
- นักพัฒนาถูกหลอกให้โคลน Repository ที่เป็นอันตราย ซึ่งมักปลอมตัวเป็นงานมอบหมายสำหรับการรับสมัครงานหรือการสัมภาษณ์ทางเทคนิค
- เมื่อเหยื่อเปิด Repository ที่ถูกบุกรุกใน Visual Studio Code และให้ความน่าเชื่อถือ (Trust) แก่ Repository นั้น Visual Studio Code จะประมวลผลไฟล์ tasks.json โดยอัตโนมัติ
- ไฟล์ tasks.json ที่ถูกปรับเปลี่ยนจะฝังคำสั่งที่เป็นอันตรายที่สามารถรันโค้ดได้ตามอำเภอใจบนระบบ โดยหลีกเลี่ยงการรับรู้ของผู้ใช้
- บนระบบ macOS มัลแวร์จะใช้คำสั่ง shell (nohup bash with curl) ในการดึง JavaScript payload จากโครงสร้างพื้นฐานที่โฮสต์บน Vercel
- JavaScript payload จะถูกรันโดยตรงในสภาพแวดล้อม Node.js ทำให้การโจมตีดำเนินต่อไปได้แม้ Visual Studio Code จะปิดไปแล้ว เพื่อสร้างกลไกการคงอยู่ของมัลแวร์
- Payload สร้างการเชื่อมต่อที่ต่อเนื่องกับเซิร์ฟเวอร์ Command-and-Control (C2) ที่ IP 87.236.177.93 โดยส่งสัญญาณทุกๆ ห้าวินาที
- มัลแวร์รวบรวมข้อมูลระบบ เช่น ชื่อโฮสต์ (hostname), ที่อยู่ MAC (MAC addresses) และรายละเอียดระบบปฏิบัติการ (operating system details) และส่งข้อมูลนี้ไปยังผู้โจมตีเพื่อรับคำสั่งเพิ่มเติม
- Payload ยังคงวนลูปเพื่อรับคำสั่ง JavaScript เพิ่มเติมจากเซิร์ฟเวอร์ C2 ทำให้ผู้โจมตีสามารถรันคำสั่งใดๆ และเข้าถึงระบบในระยะยาวได้
Recommendations:
Short Term:
- นักพัฒนาควรตรวจสอบเนื้อหาของ Repository อย่างละเอียดก่อนที่จะทำเครื่องหมายว่าเชื่อถือได้
- ตรวจสอบไฟล์ tasks.json สำหรับการกำหนดค่าที่น่าสงสัยซึ่งอาจบ่งบอกถึงเจตนาร้าย
Long Term:
Source: https://cybersecuritynews.com/hackers-extensively-abuses-visual-studio-code/
Share this content: