Microsoft обнаружила скоординированную кампанию, нацеленную на разработчиков через вредоносные репозитории, маскирующиеся под проекты Next.js и техзадания. Кампания использует приманки, встраиваясь в рутинные рабочие процессы, такие как клонирование и запуск сборки, для незаметного выполнения вредоносного кода. — csoonline.com
Microsoft сообщила об обнаружении скоординированной кампании, нацеленной на разработчиков программного обеспечения с использованием вредоносных репозиториев, маскирующихся под легитимные проекты Next.js и технические задания. Кампания использует тщательно продуманные приманки, чтобы вписаться в рутинные рабочие процессы, такие как клонирование репозиториев, открытие проектов и запуск сборки, что позволяет вредоносному коду выполняться незамеченным.
Телеметрия, собранная в ходе расследования инцидента Microsoft, указала на связь кампании с более широким кластером угроз, использующим уловки, связанные с трудоустройством. «В ходе первоначального анализа инцидента телеметрия Defender выявила ограниченный набор вредоносных репозиториев, непосредственно вовлеченных в наблюдаемые компрометации», — говорится в сообщении компании в блоге по безопасности пост. «Дальнейшее расследование выявило дополнительные связанные репозитории, которые не были напрямую упомянуты в наблюдаемых журналах, но демонстрировали те же механизмы выполнения, логику загрузчика и инфраструктуру развертывания».
Кампания использует доверие разработчиков к общему коду, обеспечивая постоянное присутствие в высокоценных системах разработчиков, которые часто содержат исходный код, секреты среды, учетные данные и доступ к инфраструктуре сборки или облачной инфраструктуре.
Несколько триггеров для удаленного управления
Исследователи Microsoft обнаружили, что вредоносные репозитории были разработаны с избыточностью, предлагая несколько путей выполнения, которые в конечном итоге приводят к одному и тому же поведению бэкдора.
В некоторых случаях было достаточно просто открыть проект в Visual Studio Code. Злоумышленники злоупотребляли автоматизацией рабочих областей, встраивая задачи, настроенные на автоматический запуск при открытии и доверии к папке. Это приводит к выполнению кода без каких-либо действий со стороны разработчика.
Другие варианты зависят от процессов сборки или рутинных процедур запуска сервера, гарантируя, что вредоносный код будет запущен, когда разработчики выполняют типичные действия, такие как запуск сервера разработки. Независимо от триггера, репозитории извлекают дополнительные JavaScripts из удаленной инфраструктуры и выполняют их в памяти, уменьшая следы на диске.
Извлеченная полезная нагрузка работает поэтапно. Начальный компонент регистрации идентифицирует хост и может передавать инструкции по загрузке, после чего отдельный C2-контроллер обеспечивает постоянство и позволяет выполнять последующие действия, такие как доставка полезной нагрузки и эксфильтрация данных.
Заражение через поддельный «тест по кодированию»
Microsoft заявила, что расследование началось с анализа подозрительных исходящих соединений от процессов Node.js, взаимодействующих с серверами, контролируемыми злоумышленниками. Сопоставление сетевой активности с телеметрией процессов привело аналитиков к первоначальному заражению через рекрутинговые упражнения.
Один из репозиториев размещался на Bitbucket и представлял собой техническое задание, наряду со связанным репозиторием, использующим соглашение об именовании Cryptan-Platform-MVP1. «Множество репозиториев следовали повторяющимся соглашениям об именовании и шаблонам «семейства» проектов, что позволяло проводить целенаправленный поиск дополнительных связанных репозиториев, которые не были напрямую упомянуты в наблюдаемой телеметрии, но демонстрировали то же поведение выполнения и развертывания», — написала Microsoft.
При подозрении на заражение Microsoft предупреждает, что затронутые организации должны немедленно изолировать подозрительные конечные точки, отследить исходное дерево процессов и искать повторяющиеся опросы подозрительной инфраструктуры по всему парку устройств. Поскольку может последовать кража учетных данных и сеансов, специалисты по реагированию должны оценить риск идентификации, отозвать сеансы и ограничить действия SaaS с высоким риском, чтобы уменьшить воздействие во время расследования.
Долгосрочные меры смягчения последствий включают сосредоточение внимания на ужесточении границ доверия разработчиков и снижении риска выполнения, добавила Microsoft. Другие рекомендации включают обеспечение соблюдения настроек по умолчанию для доверия к рабочим областям Visual Studio Code, применение правил уменьшения поверхности атаки, включение облачных защит на основе репутации и усиление условного доступа.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Shweta Sharma