Реклама, АО «Позитив Текнолоджиз», ИНН 7718668887, 18+
Image

Устали от спама и фишинга?

Вредоносные письма просто не дойдут до ваших пользователей — мы позаботились об этом.
Онлайн-трансляция — 9 апреля в 15:00 — присоединяйтесь.

Товарищ Ким пришел за вашим кодом. Новые приключения программистов на GitHub

leer en español

TasksJacker GitHub DataStax Visual Studio Code DPRK PolinRider цепочка поставок
Товарищ Ким пришел за вашим кодом. Новые приключения программистов на GitHub
TasksJacker GitHub DataStax Visual Studio Code DPRK PolinRider цепочка поставок

Обычной осторожности профессионала больше недостаточно.

image

Новая атака на разработчиков разворачивается тихо и почти незаметно — достаточно открыть скачанный репозиторий, чтобы запустить вредоносный код. Кампания, получившая название TasksJacker, показывает, как привычные инструменты разработки превращаются в точку входа для сложных цепочек компрометации.

Команда OpenSourceMalware обнаружила масштабную операцию, связанную с северокорейскими группами. За месяц злоумышленники внедрили вредоносные изменения более чем в 400 репозиториев на GitHub, затронув десятки организаций, включая DataStax. Атака не требует привычных уловок вроде фальшивых собеседований — заражение происходит автоматически при открытии проекта в Visual Studio Code.

Ключевой элемент схемы — файл .vscode/tasks.json. В норме такой файл помогает автоматизировать сборку или настройку проекта. В рамках TasksJacker в него добавляют команды, которые запускаются сразу после открытия папки. В результате редактор сам выполняет вредоносный скрипт, скачивает дополнительные компоненты и передаёт управление злоумышленникам.

Авторы атаки тщательно маскируют вмешательство. Они переписывают историю git, подменяют авторов и даты коммитов, из-за чего вредоносные изменения выглядят как часть старых легитимных правок. В одном из случаев сервисный аккаунт DataStax за полторы минуты внёс изменения сразу в 12 репозиториев — скорость и точность указывают на автоматизацию.

Техническая сторона кампании выделяется отдельно. Управление вредоносной инфраструктурой перенесли в блокчейн — используются сети TRON, Aptos и Binance Smart Chain. Такой подход делает командные серверы практически неуязвимыми для отключения, поскольку данные в блокчейне невозможно удалить. Даже после блокировки отдельных доменов атака быстро возобновляется через новую инфраструктуру.

После начального заражения вредоносное ПО собирает учётные данные, ключи SSH, токены облачных сервисов и криптокошельки. Параллельно устанавливается скрытый бэкдор для длительного доступа. Полученные данные затем используют в следующем этапе — атаке PolinRider, где уже заражённые аккаунты применяют для внедрения вредоносного кода в популярные open source проекты через pull request.

Отдельно специалисты отмечают появление схожих техник у других групп. Кампания GlassWorm использует те же приёмы — переписывание истории коммитов и управление через блокчейн — что указывает на быстрое распространение подобных методов среди атакующих.

Несмотря на попытки блокировки инфраструктуры, операция продолжается. Злоумышленники добавили слой маскировки через сокращатели ссылок и развернули новые серверы. На момент публикации часть заражённых репозиториев остаётся доступной, а значит риск для разработчиков сохраняется.

TasksJacker показывает сдвиг в логике атак на цепочки поставок — теперь под ударом оказываются не только зависимости и библиотеки, но и сами инструменты разработки. Обычное открытие проекта превращается в точку компрометации, а обнаружить подмену становится всё сложнее.