Angreifer verbreiten manipulierte Next.js-Repositories, um Entwickler ins Visier zu nehmen und Remote-Code-Ausführung zu ermöglichen. Die Kampagne wird nordkoreanischen Akteuren zugeordnet, die Entwickler durch gefälschte Jobchancen ködern.
Microsoft hat eine Cyberangriffskampagne aufgedeckt, bei der Angreifer manipulierte Next.js-Repositories als legitime Projekte und technische Assessments getarnt haben, um Entwicklersysteme zu kompromittieren. Das Ziel: Remote-Code-Ausführung (RCE) und die Etablierung eines persistenten Command-and-Control-Kanals – eine Taktik, die nordkoreanischen Akteuren zugeordnet wird.
Die Sicherheitsexperten von Microsoft Defender Experts und dem Microsoft Defender Security Research Team entdeckten mehrere trojoanisierte Repositories mit unterschiedlichen Infektionswegen. “Die Kampagne nutzt verschiedene Einstiegspunkte, die alle zum gleichen Ziel führen: der Laufzeit-Abruf und lokalen Ausführung von attacker-kontrolliertem JavaScript, das sich dann in eine gestaffelte Command-and-Control-Verbindung verwandelt”, heißt es in einem Blog-Post der beiden Microsoft-Teams.
Die Aktivität entspricht einem breiteren Bedrohungscluster, der mit nordkoreanischen Lazarus-APT-Akteuren verbunden ist und Job-themed Köder nutzt, um in routinemäßige Entwickler-Workflows einzudringen. Nordkoreanische Akteure ködern Entwickler seit Jahren mit vermeintlichen Jobchancen – verpackt als gefälschte Job-Interviews, bei denen Entwickler an technischen Challenges teilnehmen sollen, die letztlich Malware auf ihre Maschinen bringen.
“Diese Kampagne zeigt, wie ein Recruiting-orientiertes ‘Interview-Projekt’ schnell zu einem zuverlässigen Weg zur Remote-Code-Ausführung werden kann, indem es sich in normale Entwickler-Workflows einfügt – wie das Öffnen eines Repositories, das Starten eines Development-Servers oder eines Backends”, erklären die Forscher.
Das Endziel ist der Zugriff auf Entwicklersysteme, die oft hochwertige Ziele wie Quellcode, Umgebungsvariablen und Zugriff auf Build- oder Cloud-Ressourcen enthalten. Die Kampagne demonstriert einmal mehr, dass Entwickler-Workflows eine primäre Angriffsfläche für Cyber-Spionage und Supply-Chain-Angriffe darstellen.
Microsoft entdeckte die Kampagne, als Microsoft Defender verdächtige ausgehende Verbindungen von Node.js-Prozessen zur attacker-kontrollierten Infrastruktur flaggte. Alle betroffenen Next.js-Repositories (Next.js ist ein beliebtes Open-Source-Framework von Vercel) zeigten das gleiche bösartige Verhalten.
Die manipulierten Repositories initiieren einen von zwei Ausführungspfaden: Einige missbrauchen die VS-Code-Workspace-Automatisierung über .vscode/tasks.json-Konfigurationen, die beim Öffnen eines vertrauenswürdigen Workspace automatisch ausgelöst werden. Andere schleusen obfuszierten Code direkt in Entwicklungs-Assets ein, sodass Standard-Build-Befehle den versteckten Code dekodieren und weitere Payloads abrufen.
Nordkoreanische Cyberspione ködern Entwickler mit gefälschten Jobangeboten schon seit 2021, wie die damalige “Dream Jobs”-Kampagne zeigte. Die Angriffe wurden zunehmend raffinierter und nutzen heute Fake-Entwicklungsprojekte und Recruiting-Challenges, um Spyware zu verbreiten.
Zum Schutz empfiehlt Microsoft, Entwickler-Workflows als privilegierte Angriffsfläche zu behandeln und IDE-Vertrauensrichtlinien, Verhaltensanalysen und kontinuierliche Überwachung zu integrieren. Organisationen sollten strenge Trust-Policys für IDEs durchsetzen, Attack-Surface-Reduction-Regeln einführen und die Überwachung unerwarteter Node.js-Ausführungsmuster verstärken.
Quelle: Dark Reading