Šiaurės Korėjos programuotojų spąstai: atidarai aplanką — ir tavo kompiuteris nebe tavo

Įsivaizduokite: gaunate laišką iš potencialaus darbdavio. „Peržiūrėkite mūsų atviro kodo projektą", rašo jis, ir pateikia nuorodą į „GitHub" repozitoriją. Atidarote ją „Visual Studio Code" redaktoriuje — ir tą pačią akimirką jūsų kompiuteryje įsijungia kenkėjiškas kodas. Jokio paspaudimo, jokio „paleisti". Tiesiog atidarėte aplanką.

Būtent taip pastaruosius šešis mėnesius veikė Šiaurės Korėjos kibernetinė grupė, kurią tyrėjai sieja su gerai žinomu klasteriu „Contagious Interview" (dar vadinamu „Famous Chollima" ar „Void Dokkaebi"). „Proofpoint" tyrėjai šią savaitę paskelbė ataskaitą, kurioje detalizuoja kampaniją, pavadintą UNK_DeadDrop — ir jos mastai verčia sunerimti.

Beveik šimtas organizacijų per šešias savaites

Per šešių savaičių laikotarpį buvo išsiųsta daugiau nei 250 laiškų, nukreiptų į beveik 100 organizacijų. Daugiau nei 75 procentai taikinių yra JAV, likusieji — Jungtinėje Karalystėje, Australijoje, Prancūzijoje, Brazilijoje, Vokietijoje, Indijoje, Izraelyje, Japonijoje ir Nyderlanduose. Sektoriai: finansai, kriptovaliutos, švietimas, technologijos ir dar keletas.

Laiškai apsimeta programavimo darbo pasiūlymais arba kodo peržiūros prašymais. Juose pateikiamos nuorodos į užpuolikų kontroliuojamas „GitHub" repozitorijas, kurios maskuojasi kaip techninės užduotys ar kriptovaliutų projektai. Gavėjo prašoma klonuoti repozitoriją ir atidaryti ją „VS Code" arba „Cursor" redaktoriuje.

Ir štai čia slypi techninis triukas, dėl kurio ši kampanija tokia pavojinga.

Vienas atidarymas — ir jūsų sistema nebe jūsų

Užpuolikai naudoja „VS Code" funkciją „runOn: folderOpen" — tai konfigūracijos nustatymas, kuris automatiškai paleidžia nurodytą kodą kaskart, kai atidaromas projekto aplankas. Jokio vartotojo patvirtinimo, jokio įspėjimo. Šią techniką „Contagious Interview" grupė naudoja nuo 2025 metų gruodžio.

Paleistas kodas įdiegia kenkėjišką „VS Code" plėtinį (VSIX failą), kuris apsimeta teisėta „Google" paslauga. Plėtinys susisiekia su išoriniu serveriu ir suteikia užpuolikams nuotolinę komandų vykdymo galimybę, sistemos žvalgybą ir duomenų vagystę.

Taikiniai — naršyklių kriptovaliutų piniginių plėtiniai, prisijungimo duomenys ir darbalaukio piniginių programėlės. „Linux" ir „macOS" sistemose užkrėtimo grandinė veda į adaptuotą atviro kodo „Overlord" karkaso versiją, kuri vagia duomenis ir dar papildomai parodo netikrą saugumo iššokantį langą, prašantį įvesti sistemos slaptažodį. „Windows" atveju naudojamas VBScript, paleidžiantis CMD failą, kuris įdiegia tą patį plėtinį.

Visi pavogti duomenys siunčiami į serverį 23.137.105[.]75 per HTTP POST užklausas.

Kodėl programuotojai yra idealus taikinys

Ši kampanija atskleidžia platesnį Šiaurės Korėjos kibernetinių operacijų poslinkį. Anksčiau Pchenjanas daugiausiai taikėsi į kriptovaliutų biržas ir finansines platformas — tiesioginis pinigų grobimas. Dabar matome perėjimą prie tiekimo grandinės atakų: užkrėsti programuotojo darbo vietą, kad per jį patektum į organizacijos vidų.

Programuotojai yra ypač pažeidžiami, nes jų darbo įrankiai — „GitHub", „VS Code", „Cursor" — yra sukurti pasitikėjimui. Niekas nesitiki, kad atidarius repozitoriją įsijungs kenkėjiškas kodas. Be to, programuotojai dažnai turi aukštesnes prieigos teises organizacijos sistemose, todėl vienas sėkmingas užkrėtimas gali atverti kelią į visą tinklą.

„Proofpoint" tyrėjai pažymi, kad gegužės mėnesį pastebėti nauji masalai — užuot siūlę darbą, užpuolikai dabar prašo peržiūrėti jų atviro kodo projektus. Tai dar labiau atitinka programuotojų kasdienybę: kas gi atsisakys padėti kolegai su kodo peržiūra?

„Contagious Interview" — ne naujokas

„Contagious Interview" nėra nauja grupė. Ją pirmą kartą identifikavo 2023 metais, kai ji taikėsi į kriptovaliutų sektoriaus darbuotojus per netikrus darbo pokalbius „Zoom" ar „Skype" platformose. Tada masalas buvo paprastesnis: pokalbio metu prašoma parsisiųsti ir paleisti kenkėjišką failą, apsimetantį PDF dokumentu ar kodo testu.

Dabar matome evoliuciją. Vietoj tiesioginio failo siuntimo — „GitHub" repozitorija. Vietoj prašymo „paleiskite šį failą" — „atidarykite mūsų projektą". Kiekviena iteracija tampa vis labiau įsiliejusi į normalią programuotojo darbo eigą, todėl vis sunkiau atskirti, kas yra tikra, o kas — spąstai.

Šiaurės Korėjos kibernetinės operacijos jau seniai peržengė paprasto pinigų grobimo ribas. Vakarų žvalgybos tarnybos vertina, kad Pchenjano kibernetinės grupės per pastaruosius penkerius metus pavogė milijardus dolerių vertės kriptovaliutos — lėšos, kurios tiesiogiai finansuoja ginklų programas. „Proofpoint" ataskaita rodo, kad ši kampanija yra dalis tos pačios strategijos: kuo daugiau piniginių prieigų, tuo daugiau resursų režimui.

Kaip apsisaugoti

Pirmiausia — niekada neatidarinėkite nepažįstamų „GitHub" repozitorijų vietiniame redaktoriuje, ypač jei jos atėjo per įdarbinimo laišką. Peržiūrėkite kodą tiesiogiai „GitHub" žiniatinklio sąsajoje. Antra — patikrinkite, ar jūsų „VS Code" nustatymuose nėra įjungtas automatinis užduočių vykdymas atidarant aplanką. Trečia — jei jau atidarėte įtartiną repozitoriją, nedelsdami patikrinkite įdiegtus plėtinius ir aktyvius tinklo ryšius.

„Proofpoint" rekomenduoja organizacijoms blokuoti VSIX plėtinių diegimą iš nepatvirtintų šaltinių ir stebėti neįprastus tinklo ryšius į išorinius serverius, ypač tuos, kurie priima HTTP POST užklausas su dideliais duomenų kiekiais.