Auf die Aktivität aufmerksam wurde Microsoft, als Microsoft Defender verdächtige ausgehende Verbindungen von Node.js-Prozessen zu einer von Angreifern kontrollierten Infrastruktur meldete. In der Folge ließen sich diese Verbindungen auf Next.js-Repositories zurückführen, die alle dasselbe schädliche Verhalten zeigten. Next.js ist ein weit verbreitetes Open-Source-Framework für die Web-Entwicklung, das vom Cloud-Software-Anbieter Vercel gepflegt wird.
Laut einem von beiden Microsoft-Sicherheitsteams veröffentlichten Blogbeitrag nutzt die Kampagne mehrere Einstiegspunkte, die auf dasselbe Ergebnis hinauslaufen: das Abrufen und lokale Ausführen von durch Angreifer kontrolliertem JavaScript zur Laufzeit, das in ein gestaffeltes Command-and-Control übergeht. Ein als ‘Interview-Projekt’ getarntes Rekrutierungsszenario werde so zu einem verlässlichen Weg zur Remote-Code-Ausführung, indem es sich in alltägliche Entwickler-Abläufe einfüge – etwa das Öffnen eines Repositories, das Starten eines Entwicklungsservers oder eines Backends.
Die schädlichen Repositories starten einen von zwei Ausführungswegen, die eine schlanke Registrierungsstufe zur Feststellung der Host-Identität sowie Bootstrap-Code ausliefern. Diese führen schließlich zum Abruf und zur In-Memory-Ausführung von angreiferkontrolliertem JavaScript, das in eine dauerhafte C2-Verbindung übergeht – über sie werden weitere Schadkomponenten nachgeladen und Daten von den befallenen Systemen abgezogen.
Einige Repositories missbrauchen die Workspace-Automatisierung von Visual Studio Code: Eine enthaltene .vscode/tasks.json ist so konfiguriert, dass Aufgaben automatisch ausgeführt werden, sobald ein Workspace geöffnet und als vertrauenswürdig eingestuft wird, wodurch über Node.js eine Lader-Sequenz nach dem Muster Abrufen-und-Ausführen anläuft. Andere betten verschleierte Schadlogik direkt in Entwicklungsressourcen ein, sodass beim Ausführen üblicher Build-Befehle oder beim Start eines Entwicklungsservers der getarnte Code dekodiert und weitere Schadkomponenten nachlädt.
Microsoft ordnet die Kampagne einem breiteren Cluster zu, das mit job-bezogenen Ködern arbeitet und mit der nordkoreanischen APT-Gruppe Lazarus assoziiert wird; der Blogbeitrag verweist zudem auf Drittforschung dieses Jahres zu nordkoreanischer APT-Aktivität rund um Visual Studio Code. Nordkoreanische Akteure greifen Entwickler den Forschern zufolge bereits seit mindestens 2021 mit gefälschten Jobangeboten an, als die Dream-Jobs-Kampagne entdeckt wurde, die gefälschte Stellenangebote mit Verweis auf schädliche Web-Dateien verschickte. Diese Masche entwickelte sich zu raffinierteren, sozial manipulierten Angriffen, bei denen Entwickler zur Teilnahme an fingierten Entwicklungsprojekten oder Rekrutierungsaufgaben verleitet wurden, über die Spyware und andere Malware ausgeliefert wurde.
Zur Abwehr empfiehlt Microsoft, Entwickler-Workflows als privilegierte Angriffsfläche zu behandeln und IDE-Vertrauensrichtlinien, Verhaltensanalysen und kontinuierliches Monitoring in umfassendere Programme zur Bedrohungserkennung und -reaktion einzubinden. Konkret nennt das Unternehmen strikte Vertrauensrichtlinien für IDEs wie Visual Studio Code, den Einsatz von Regeln zur Reduzierung der Angriffsfläche über Microsoft Defender for Endpoint sowie erhöhte Aufmerksamkeit für unerwartete Node.js-Ausführungsmuster und auffällige ausgehende Verbindungen von Entwickler-Endpunkten.
