СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Продукты Реклама Политика ПДн
Отчеты
Технологии киберугроз
9 марта
#ИБ

Малвари через IDE: VS Code, GitHub Gists и Akira Stealer

Специалисты команды ASTRO зафиксировали актуальные техники доставки вредоносного ПО, использующие возможности автоисполнения в средах разработки, таких как Microsoft Visual Studio Code (VS Code) и Cursor. Несмотря на пересечения с ранее задокументированными цепочками Contagious Interview, ряд особенностей — в частности развертывание Akira Stealer — указывает на возможное участие других злоумышленников или тестирование новых методов.

Ключевые наблюдения

  • Злоумышленники активно используют GitHub Gists для размещения скриптов, маскирующихся под легитимные инструменты (особенно утилиты для NVIDIA), чтобы таргетировать разработчиков криптовалютных проектов.
  • Сценарии для выполнения в VS Code и Cursor применяли косвенные механизмы загрузки через GitHub Gists и Google Drive, после чего извлекали и запускали полезные нагрузки с маскированных URL.
  • Заметным вектором заражения стали задачи, определённые в файлах tasks.json, которые запускали загрузку через shell-команды, обходя предупреждения об исполнении и часть механизмов обнаружения.
  • Скрипты маскировали вредоносные файлы под драйверы камер NVIDIA и использовали команды PowerShell с техникой добавления пробелов, чтобы скрыть злонамеренные намерения.
  • В природе оставались активными Gists, предлагающие загружаемые полезные нагрузки, которые приводили к установке Go/Python бэкдоров.
  • Обнаружен вредоносный пакет Node Package Manager (NPM) под названием eslint-validator, выполнявший сильно обфусцированный JavaScript, скачиваемый с Google Drive и связывавшийся по функционалу с ранее документированными угрозами.

Технические особенности вредоносных цепочек

Проанализированные цепочки демонстрировали эволюцию подходов к доставке и сокрытию малвари:

  • Использование пакетных файлов и скриптов PowerShell для управления установкой и скрытой загрузки компонентов.
  • Кодирование JavaScript-полезных нагрузок, выполняемых через Node.js, с применением анти-отладочных техник и собственной виртуальной машины для байт-кода на основе стека.
  • В конечной стадии полезная нагрузка извлекала и исполняла дополнительные компоненты, включая Akira Stealer — инфостилер, похищающий конфиденциальные данные из приложений.
  • Широкое применение обфускации и перенаправлений для ускользания от средств защиты и затруднения анализа.

«Хотя наблюдаемые техники имеют сходства с историческими цепочками Contagious Interview, финальные стадии заражения и развертывание Akira Stealer ставят под вопрос причастность прежних акторов и указывают на возможную смену операторов или эксперименты злоумышленников», — отмечают аналитики ASTRO.

Почему это опасно

Комбинация доверия к инструментам разработки и возможностей автоисполнения делает разработчиков особенно уязвимыми: вредоносный скрипт может быть запущен в рамках нормальной рабочей среды, обойти некоторые предупреждения и доставить сложные, многоступенчатые полезные нагрузки. Маскировка под легитимный софт (например, драйверы NVIDIA) повышает вероятность успешной инъекции.

Рекомендации для обнаружения и предотвращения

Аналитики ASTRO рекомендуют следующие меры для повышения обнаружимости и снижения риска заражения:

  • Мониторить действия IDE, приводящие к запуску процессов оболочки (shell/PowerShell), в частности те, которые выполняют загрузку по внешним URL или запускают исполняемые файлы.
  • Проверять содержимое и изменения в файлах tasks.json в рабочих директориях разработчиков и систем автоматизации сборок.
  • Ограничить или контролировать использование внешних скриптов и Gists в рабочих средах: внедрить политику доверенных источников и проверку целостности кода.
  • Инспектировать установленные и используемые NPM-пакеты на предмет подозрительного поведения — выполнение удалённого кода, загрузки из Google Drive и сильная обфускация.
  • Настроить EDR/системы журналирования на выявление атипичных скриптов в пользовательских каталогах VS Code и Cursor, а также на применение анти-отладочных техник в исполняемом JavaScript/Node.js-коде.
  • Ограничить привилегии для процессов IDE и запретить автоматический запуск команд, требующих elevating прав, без явного одобрения.

Выводы

Обнаруженные цепочки демонстрируют гибкость и адаптивность киберпреступников: злоумышленники комбинируют привычные для разработчиков механизмы (автоисполнение в IDE, сторонние Gists, NPM-пакеты) с усиленной обфускацией и мультистадийной доставкой вредоноса. Факт появления Akira Stealer в таких цепочках свидетельствует о возможном перераспределении инструментов между группами угроз или о появлении новых операторов, тестирующих проверенные методы для своих целей.

Организациям и разработчикам следует пересмотреть практики использования сторонних скриптов и пакетов, усилить мониторинг активности IDE и внедрить превентивные меры по контролю источников кода, чтобы снизить вероятность компрометации.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: