- Злоумышленники запустили кампанию с поддельными приглашениями на собеседования и вредоносными проектами на базе Next.js для внедрения бэкдоров на устройства разработчиков.
- Вредоносный код автоматически запускается при открытии проекта в VS Code или запуске команд разработки, загружая вредоносные payload-ы и обеспечивая удалённое управление инфицированными системами.
- Microsoft рекомендует разработчикам соблюдать меры безопасности, включая ограничение доверенных рабочих областей и минимизацию секретов на устройствах.
В последнее время корпорация Microsoft зафиксировала скоординированную кампанию кибератак, направленную на разработчиков программного обеспечения. Злоумышленники используют фейковые приглашения на собеседования, а также поддельные репозитории, которые маскируются под легитимные проекты на основе популярного JavaScript-фреймворка Next.js. Такие репозитории предлагают материалы для технических оценок, включая программные тесты, что привлекает потенциальных жертв из числа разработчиков.
Суть атаки заключается в распространении вредоносного кода через стандартные рабочие процессы разработчиков. Как только жертва клонирует репозиторий и открывает проект локально, вредоносный JavaScript автоматически запускается в среде Node.js. Этот скрипт загружает дополнительные полезные нагрузки — бэкдоры, которые выполняются непосредственно в памяти заражённого устройства.
Для ускорения процесса заражения злоумышленники встроили несколько триггеров активации кода. В частности, открытие папки проекта в VS Code, при условии доверенной рабочей области, активирует выполнение вредоносного скрипта. Аналогично, запуск команд разработки, таких как npm run dev, а также старт бэкенда с использованием конфигурационных файлов с закодированными адресами злоумышленников, приводит к автоматическому выполнению вредоносных компонентов. Это позволяет атакующим не только осуществлять удалённое выполнение кода, но и собирать конфиденциальную информацию, отслеживать процессы на устройстве и поэтапно извлекать ценные данные.
Microsoft Defender обнаружил, что в рамках кампании злоумышленники создавали несколько репозиториев с общей структурой и шаблонами, что свидетельствует о целенаправленных и систематических действиях, а не разовой случайной атаке. Хотя исследователи не раскрыли подробностей о конкретных группах хакеров и масштабах операции, эксперты подчёркивают серьёзность угрозы для сообщества разработчиков.
В ответ на эти события Microsoft рекомендует разработчикам внимательно относиться к своим рабочим процессам и рассматривать даже стандартные действия как потенциальные поверхности для атак. В числе ключевых рекомендаций — ограничение доверия к рабочим областям в VS Code (использование ограниченного режима), внедрение правил для снижения поверхности атаки (ASR), постоянный мониторинг безопасности с помощью инструментов Entra ID Protection, а также минимизация хранения секретных данных на рабочих машинах с применением кратковременных токенов с минимальными правами доступа.
Отметим, что подобные методы обмана не новы — ранее сообщалось о кампаниях северокорейских хакеров, которые распространяли вредоносные пакеты в репозиториях npm и PyPI, замаскированные под задания для разработчиков JavaScript и Python. Данный случай с Next.js иллюстрирует эволюцию атак, направленных именно на специалистов по разработке ПО, использующих популярные технологии и инструменты.
