macOS-aanvalscampagne gelieerd aan Noord-Korea maakt misbruik van VS Code
Jamf Threat Labs waarschuwt voor een aan Noord-Korea (DPRK) gelieerde campagne die schadelijke Git-repositories gebruikt om macOS-malware te verspreiden via Visual Studio Code. Onderzoek naar deze campagne brengt verschillende niet eerder gedocumenteerde activiteiten aan het licht die een verdieping vormen op eerdere bevindingen.
Zo maken schadelijke repositories misbruik van de tasks.json-configuratiebestanden van Visual Studio Code. Hierdoor kunnen ingebedde commando's automatisch worden uitgevoerd zodra een gebruiker het project opent en als vertrouwd markeert. Ook wijst Jamf Threat Labs op een niet eerder gedocumenteerde backdoor-implant. De onderzoekers hebben een op JavaScript gebaseerde backdoor ontdekt die remote code execution, persistente communicatie met de C&C-infrastructuur en system fingerprinting op macOS-systemen mogelijk maakt.
Meer obfuscatie en andere infrastructuur
Ook wijst Jamf Threat Labs op toenemend gebruik van obfuscatie en wijzigende infrastructuur. De payload bevat zwaar geobfusceerde JavaScript en werd gehost op infrastructuur die tijdens de monitoring meerdere keren is gewijzigd.
De bevindingen laten volgens de onderzoekers zien hoe aanvallers zich blijven aanpassen, door de verspreiding van malware te integreren in veelgebruikte tools voor ontwikkelaars, waardoor de drempel voor een initiële infectie wordt verlaagd.
Meer informatie over de campagne is hier beschikbaar.
Meer over Jamf
Over Wouter Hoeffnagel
