Пу пу пу: сходил на собес — остался без штанов и крипты 😭
Северокорейские хакеры из Lazarus Group вышли на новый уровень. Теперь они заражают разработчиков не через сомнительные ссылки, а через функции самого VS Code.
Как работает схема:
— Вам пишет «рекрутер» с жирным оффером мечты в крипто-проект;
— Просят склонировать репозиторий с GitHub, чтобы «пофиксить баг» или «оценить код»;
— Вы открываете папку в VS Code, и редактор спрашивает: «Do you trust the authors?». Как только вы жмете «Yes» — маховик заражения запущен.
В папке .vscode лежит файл tasks.json с параметром runOn: folderOpen. В ту же секунду, как вы открыли проект, VS Code в фоне запускает вредоносный скрипт.
Что крадут (спойлер: всё) 😭:
— Крипта: сид-фразы и ключи из 40+ кошельков (MetaMask, Phantom, Binance и др.);
— Пароли: все куки и логины из браузеров;
— Система: доступы к Keychain в macOS и установка бэкдора для удаленного управления.
TL;DR: Бережем свои биткоины и запускаем тестовые только в изолированной виртуалке или Docker-контейнере 🤨
➖➖➖➖➖➖➖➖➖
