מלכודת למפתחים: האקרים מצפון קוריאה משתלטים על מחשבי Mac דרך פרויקטים ב-VS Code

האקרים הפועלים בשירות המשטר בצפון קוריאה העלו הילוך במלחמה הדיגיטלית שלהם נגד מפתחי תוכנה, והפעם על הכוונת, משתמשי macOS.

על פי דו"ח חדש של חברת האבטחה Jamf, התוקפים משתמשים בשיטה מתוחכמת המנצלת קבצי הגדרה בתוך עורך הקוד הפופולרי Visual Studio Code (VS Code) כדי להחדיר נוזקות ולהשתלט מרחוק על מחשבי מפתחים.

מדובר בשינוי אסטרטגי בקמפיינים המוכרים של צפון קוריאה, המכוון ישירות אל מי שמחזיקים במפתחות לשרתים ולאפליקציות של חברות ענק.

הונאת "העבודה החלומית": איך עובדת שיטת הפריצה החדשה?

הקמפיין הוא המשך ישיר של מבצעי הונאה כמו "Operation Dream Job", שבהם האקרים פונים למפתחים ברשתות חברתיות (בעיקר לינקדאין) עם הצעות עבודה מפתות.

1. הפיתיון: המועמד מתבקש להוריד ולבצע "משימת בית" טכנית ממאגר ב-GitHub או GitLab.
2. הסוס הטרויאני: בתוך המאגר מסתתרים קבצי הגדרה של VS Code (כמו tasks.json) המכילים קוד JavaScript מוסווה היטב.
3. רגע הפריצה: ברגע שהמפתח פותח את הפרויקט ב-VS Code ומאשר שהוא "בוטח במחבר" (Trust Author), הקוד הזדוני רץ באופן אוטומטי ומחבר את המחשב לשרת שליטה ובקרה (C2) של ההאקרים.

דלת אחורית ב-JavaScript: מה הנוזקה מסוגלת לעשות?

ברגע שהנוזקה חודרת למחשב ה-Mac, היא מפעילה סדרה של פקודות Shell המזריקות קוד לתוך סביבת ה-Node.js של המערכת. התחכום כאן טמון בכך שהנוזקה ממשיכה לפעול גם לאחר סגירת ה-VS Code.

היכולות של הנוזקה כוללות:

• איסוף מידע (Fingerprinting): שליפת כתובות MAC, שמות מארח וגרסאות מערכת הפעלה.
• ביצוע פקודות מרחוק (RCE): ההאקרים יכולים להריץ כל פקודה שירצו על המחשב הנגוע.
• סיוע של AI: חוקרי Jamf זיהו קטעי קוד שנראים כאילו נוצרו בעזרת בינה מלאכותית, מה שמאפשר להאקרים לייצר וריאציות חדשות של הנוזקה במהירות כדי לחמוק ממערכות אנטי-וירוס.

אזהרה למפתחים: אל תסמכו על כל Repo

השימוש ב-VS Code כווקטור תקיפה מנצל את האמון הבסיסי שיש למפתחים בכלי העבודה שלהם.
חוקרי האבטחה מדגישים כי מפתחים חייבים להיות זהירים במיוחד כאשר הם מורידים פרויקטים ממקורות לא מוכרים.

1. אל תלחצו על "Trust": לפני שאתם מאשרים אמון בפרויקט ב-VS Code, בדקו את התיקיות הנסתרות ואת קבצי ה-JSON במבנה הפרויקט.
2. הפרדה: בצעו בדיקת משימות קוד בסביבה מבודדת (Sandbox) או במכונה וירטואלית, ולא על מחשב הפיתוח המרכזי שלכם הכולל מפתחות גישה וסיסמאות.

המתקפה הזו היא תזכורת לכך שבתעשיית ההייטק, המפתח הוא לעיתים החוליה החלשה ביותר בשרשרת האבטחה הארגונית.