İş vaadiyle gelen tehlike: Contagious Interview kampanyasının perde arkası

Kuzey Kore bağlantılı siber tehdit aktörleri, “Contagious Interview” olarak bilinen kötü şöhretli bir siber saldırı kampanyası kapsamında bu kez şaşırtıcı bir yönteme başvurdu.

Saldırganlar, yaygın olarak kullanılan ve güvenilir kabul edilen Microsoft Visual Studio Code yazılımını, saldırılarının bir parçası haline getirdi.Bu kampanya, başta Lazarus grubu olmak üzere devlet destekli Kuzey Koreli hacker ekiplerinin imzasını taşıyor.

Hedefte ise Batı ülkelerinde yaşayan yazılım geliştiriciler ve blok zinciri uzmanları var.Gerçek gibi görünen sahte işlerSaldırganlar, inandırıcı iş ilanları hazırlıyor ve adayları çevrim içi mülakatlara davet ediyor.

Süreç, klasik bir işe alım görüşmesi gibi ilerliyor.

Ancak perde arkasında bambaşka bir senaryo işliyor.Görüşme sırasında adaylardan bazı teknik görevleri yerine getirmeleri isteniyor.

Bu aşamada kurbanlar farkında olmadan kendi cihazlarına zararlı yazılımlar yüklüyor.

Böylece saldırganlar yalnızca bireysel bilgisayarlara değil, kurbanların çalıştığı şirket ağlarına da sınırsız erişim elde ediyor.Kripto soygunlarına uzanan bir kampanya“Contagious Interview” kampanyası yalnızca teoride kalan bir tehdit değil.

Güvenlik uzmanlarına göre bu yöntem, son yıllarda gerçekleşen en büyük kripto para hırsızlıklarının bazılarından sorumlu.Jamf güvenlik araştırmacıları tarafından yayımlanan yeni bir rapor, kampanyanın erken aşamalarında kullanılan tekniklerin giderek daha sofistike hale geldiğini ortaya koyuyor.Git depolarından başlayan tuzakAraştırmaya göre saldırganlar ilk olarak zararlı bir Git deposu oluşturuyor ve bunu GitHub veya GitLab gibi güvenilir platformlarda barındırıyor.

Ardından sahte mülakat sürecinde adayları bu depoyu kendi bilgisayarlarına klonlamaya ve Visual Studio Code üzerinden açmaya yönlendiriyorlar.Bu noktada Visual Studio Code, kullanıcıya depo sahibine güvenip güvenmediğini soruyor.

Eğer kullanıcı bu adımı onaylarsa, uygulama otomatik olarak tasks.json adlı yapılandırma dosyasını çalıştırıyor.

İşte saldırı tam da bu anda başlıyor.macOS sistemlerde sessiz saldırımacOS işletim sisteminde bu dosya, arka planda çalışan bir kabuk (shell) aracılığıyla uzaktaki bir JavaScript yükünü indiriyor.

Genellikle Vercel gibi platformlardan çekilen bu kod, Node.js ortamında çalıştırılıyor.Devreye giren JavaScript, sistemde kalıcı bir döngü oluşturarak cihazla ilgili bilgileri toplamaya başlıyor.

Bilgisayar adı, MAC adresleri ve işletim sistemi detayları toplanıyor ve bir komuta-kontrol (C2) sunucusuna gönderiliyor.Arka kapı yazılımı, belirli aralıklarla bu sunucuyla iletişim kurarak hem sistem bilgilerini paylaşıyor hem de yeni zararlı komutlar alıyor.Güvenlik uzmanlarından kritik uyarılarJamf, kullanıcıları bu saldırı yöntemlerine karşı uyarıyor.

Şirket, Mac kullanıcılarının Threat Prevention ve Advanced Threat Controls özelliklerini mutlaka etkinleştirmesi ve “engelleme modu”nda çalıştırması gerektiğini vurguluyor.Ayrıca geliştiricilere de önemli bir hatırlatma yapılıyor: Tanımadıkları kişilerden gelen veya doğrudan paylaşılan üçüncü taraf Git depolarına karşı temkinli olunmalı.

Bir depoyu Visual Studio Code içinde “güvenilir” olarak işaretlemeden önce içeriğin mutlaka dikkatle incelenmesi gerekiyor.