Kiberxavfsizlik mutaxassislari yangi va xavfli hujum usulini aniqladi — unda Shimoliy Koreyaga aloqador hakerlar dasturchilarni nishonga olib, zararli Visual Studio Code loyihalari orqali malware tarqatmoqda.
Mazkur kampaniya “Contagious Interview” nomi bilan tanilgan bo‘lib, u orqali foydalanuvchilarga soxta ish takliflari, test topshiriqlari va texnik intervyu jarayonlari yuboriladi. Hujumchilar aynan ishonch va professional qiziqishdan foydalanib, qurbonlarni zararli loyihalarni yuklab ochishga majbur qiladi.
“Hujumchilar ish intervyusi kabi ko‘rinadigan jarayon orqali foydalanuvchini aldab, zararli kodni ishga tushirishga majbur qilmoqda.”
Ushbu hujumning eng xavfli jihati — zararli kodning qanday ishga tushirilishida. StoatWaffle malware VS Code’dagi tasks.json fayli orqali tarqatiladi va undagi runOn: folderOpen parametri sababli loyiha papkasi ochilishi bilan avtomatik ishga tushadi. Foydalanuvchi hech qanday qo‘shimcha amal bajarmasdan turib infektsiyalanishi mumkin.
Zararli kod ishga tushgach, dastlab tizimni tekshiradi. Agar qurilmada Node.js o‘rnatilmagan bo‘lsa, uni rasmiy manbadan yuklab o‘rnatadi. Shundan so‘ng esa asosiy payload bosqichma-bosqich yuklanadi va ishga tushiriladi.
StoatWaffle modulli arxitekturaga ega bo‘lib, u ikkita asosiy komponent orqali ishlaydi: ma’lumot o‘g‘irlaydigan stealer va tizimni masofadan boshqaruvchi RAT. Stealer brauzerlarda saqlangan login-parollar, extension ma’lumotlari va boshqa maxfiy fayllarni yig‘adi. macOS tizimlarida esa iCloud Keychain’ga ham kirish mumkin.
RAT esa hujumchiga deyarli to‘liq nazorat beradi — fayllarni ko‘rish va yuklab olish, buyruqlarni ishga tushirish, yangi zararli kodlarni yuklash, hatto tizim ichida qidiruvlar o‘tkazish imkonini yaratadi.
“Bu malware foydalanuvchi tizimini to‘liq nazorat ostiga olish darajasigacha yetadi.”
Tahlillarga ko‘ra, hujumlar tasodifiy emas. Hakerlar ayniqsa yuqori darajadagi mutaxassislarni — CTO, senior developer va Web3 hamda kriptovalyuta sohasidagi mutaxassislarni nishonga olmoqda. Sababi — bu foydalanuvchilar kompaniya infratuzilmasi va moliyaviy tizimlarga keng kirish huquqiga ega.
Ko‘pincha hujumlar LinkedIn orqali boshlanadi. Hujumchilar o‘zlarini ish beruvchi yoki recruiter sifatida tanishtirib, real intervyuga o‘xshash jarayon yaratadi. Natijada foydalanuvchi shubhalanmay zararli loyihani yuklab ochadi.
So‘nggi versiyalarda hujumchilar yanada murakkab usullarga o‘tgan. Masalan, avval Vercel xizmatidan foydalanilgan bo‘lsa, endilikda zararli skriptlar GitHub Gist orqali yuklanmoqda. Bu esa aniqlashni yanada qiyinlashtiradi.
Microsoft ushbu tahdidga qarshi choralar ko‘rishni boshladi. VS Code’ning yangi versiyalarida avtomatik task’larni ishga tushirish funksiyasi sukut bo‘yicha o‘chirib qo‘yilgan va foydalanuvchiga qo‘shimcha ogohlantirish oynalari chiqariladi.
“Ishonchli ko‘ringan loyiha ham xavfli bo‘lishi mumkin — ayniqsa u tashqi manbadan olingan bo‘lsa.”
Mutaxassislar foydalanuvchilarga noma’lum manbalardan kelgan kodlarni ishga tushirmaslik, GitHub loyihalarini tekshirish va VS Code xavfsizlik sozlamalarini doimiy nazorat qilishni tavsiya qilmoqda.
