Microsoft identifizierte in den untersuchten Repositorys drei unterschiedliche Ausführungswege, die zwar verschieden ausgelöst werden, aber alle dasselbe Ziel verfolgen: vom Angreifer kontrolliertes JavaScript direkt im Arbeitsspeicher auszuführen. Alle drei Methoden münden demnach in dieselbe JavaScript-Payload, die den Host profiliert und regelmäßig einen Registrierungsendpunkt abfragt, um eine eindeutige Kennung („instanceId") zu erhalten. Diese Kennung wird bei späteren Abfragen mitgesendet, um Aktivitäten zuzuordnen.
Die Payload kann zudem vom Server geliefertes JavaScript im Speicher ausführen und ebnet so den Weg für einen Controller der zweiten Stufe. Dieser verwandelt den ersten Zugang in einen dauerhaften Zugriffspfad, kontaktiert einen anderen C2-Server, empfängt Aufgaben und führt sie im Speicher aus, um möglichst wenige Spuren auf der Festplatte zu hinterlassen. Laut Microsoft sorgt der Controller für Stabilität und Sitzungskontinuität, meldet Fehlertelemetrie an einen Reporting-Endpunkt und verfügt über eine Wiederholungslogik. Er verfolgt gestartete Prozesse, kann gesteuerte Aktivitäten beenden und sich auf Anweisung sauber abmelden; die zweite Stufe unterstützt darüber hinaus durch Operatoren gesteuerte Erkundung und Datenabfluss.
Eine konkrete Tätergruppe nennt Microsoft nicht. Der Einsatz von VS-Code-Tasks und Vercel-Domains zum Bereitstellen von Malware sei jedoch eine Taktik, die mit Nordkorea verbundene Akteure im Rahmen der langjährigen Kampagne „Contagious Interview" übernommen hätten.
Das Sicherheitsunternehmen Abstract Security beobachtete laut einem am Mittwoch veröffentlichten Bericht eine Verschiebung der Taktiken: einen Anstieg alternativer Staging-Server in den VS-Code-Task-Befehlen statt der Vercel-URLs. Dazu zählten auf GitHub-Gists gehostete Skripte sowie URL-Verkürzer wie short[.]gy zur Verschleierung von Vercel-URLs. Abstract Security fand außerdem ein bösartiges npm-Paket namens „eslint-validator", das eine verschleierte Payload von einer Google-Drive-URL nachlädt — die bekannte JavaScript-Malware BeaverTail. Ein in einem GitHub-Repository eingebetteter VS-Code-Task startete zudem eine nur unter Windows laufende Infektionskette, die per Batch-Skript die Node.js-Laufzeit herunterlädt und mithilfe von certutil einen Codeblock dekodiert, der anschließend eine mit PyArmor geschützte Python-Malware ausliefert.
Das Unternehmen Red Asgard, das die Kampagne ebenfalls verfolgt, berichtete von präparierten VS-Code-Projekten mit dem Auslöser runOn: „folderOpen". Die so ausgelieferte Malware fragt die Polygon-Blockchain ab, um in einem NFT-Contract gespeichertes JavaScript abzurufen. Die finale Payload ist ein Informationsdieb, der Zugangsdaten aus Webbrowsern, Kryptowährungs-Wallets und Passwortmanagern abgreift.
Zum Schutz empfiehlt Microsoft, die Vertrauensgrenzen in Entwicklerabläufen zu härten, starke Authentifizierung und bedingten Zugriff durchzusetzen, strikte Hygiene bei Zugangsdaten zu wahren, das Prinzip der minimalen Rechtevergabe auf Entwicklerkonten und Build-Identitäten anzuwenden und die Build-Infrastruktur nach Möglichkeit zu trennen.
Parallel dazu teilte GitLab mit, im Jahr 2025 insgesamt 131 Konten gesperrt zu haben, die Schadcode-Projekte im Zusammenhang mit „Contagious Interview" und dem betrügerischen IT-Worker-Schema „Wagemole" verbreiteten. Laut Oliver Smith von GitLab stammten die Akteure meist von Consumer-VPNs, gelegentlich auch von dedizierter VPS-Infrastruktur und vermutlich Laptop-Farm-Adressen; in fast 90 Prozent der Fälle nutzten sie Gmail-Adressen. In über 80 Prozent der Fälle setzten sie mindestens sechs legitime Dienste zum Hosten von Payloads ein, darunter JSON Keeper, Mocki, npoint.io, Render, Railway.app und Vercel — letzteres mit Abstand am häufigsten, nämlich mindestens 49 Mal im Jahr 2025.
GitLab entdeckte zudem ein privates Projekt, das „mit ziemlicher Sicherheit" von einem nordkoreanischen Staatsangehörigen kontrolliert wurde, der eine nordkoreanische IT-Worker-Zelle leitete. Es enthielt detaillierte Finanz- und Personalunterlagen mit Einnahmen von über 1,64 Millionen US-Dollar zwischen dem ersten Quartal 2022 und dem dritten Quartal 2025 sowie mehr als 120 Tabellen, Präsentationen und Dokumente. Diese Operationen funktionierten laut GitLab als strukturierte Unternehmen mit definierten Zielen, Verfahren und enger hierarchischer Aufsicht.
In einem in diesem Monat veröffentlichten Bericht erklärte Okta, die „überwiegende Mehrheit" der Bewerbungsgespräche mit IT-Arbeitern führe weder zu einem zweiten Gespräch noch zu einem Angebot. Viele suchten jedoch befristete Vertragsarbeit als an Dritte vermittelte Softwareentwickler, weil dort selten strenge Hintergrundprüfungen erfolgten. Einige Akteure seien geschickter im Aufbau von Identitäten und bestünden Auswahlgespräche; die erfolgreichsten seien äußerst produktiv und vereinbarten je Hunderte Gespräche.
