文章摘要
朝鲜黑客组织利用微软Visual Studio Code的tasks.json配置文件传播恶意软件,安全团队发现其攻击手法持续演变,新增了任务配置滥用方式,与之前的ClickFix技术并行使用。
文章总结
标题:威胁行为体扩大对微软Visual Studio Code的滥用
Jamf威胁实验室发现Visual Studio Code遭进一步滥用,揭示了"传染性面试"攻击活动的最新演变。
2026年1月20日 | Jamf威胁实验室 | 作者:Thijs Xhaflaire
核心内容: 1. 攻击背景 - 朝鲜背景的威胁组织"传染性面试"持续进化攻击手法 - 最新发现滥用VSCode的tasks.json配置文件传播恶意软件 - 攻击链涉及GitHub/GitLab恶意代码库,利用开发者信任机制
- 攻击技术细节
- 初始感染:攻击者伪造技术面试题库,诱骗开发者克隆恶意仓库
- 执行机制:利用VSCode的"信任作者"功能自动执行恶意任务配置
- 载荷投放:通过vercel.app平台托管JavaScript后门程序
- 持久化:使用nohup保持后台运行,规避进程终止
- 恶意载荷分析
- 核心功能:
- 远程代码执行(通过动态执行JS代码)
- 系统指纹收集(主机名、MAC地址、公网IP)
- C2通信(每5秒心跳检测)
- 混淆技术:包含大量冗余代码和未使用函数
- 新特征:出现AI辅助生成的代码注释
- 防护建议
- 开发者注意事项:
- 谨慎处理第三方代码库
- 审查VSCode任务配置文件
- 验证npm安装脚本
- 企业防护:
- 启用高级威胁防护功能
- 监控异常网络活动
- 趋势研判
- 朝鲜黑客组织持续优化攻击工具链
- 恶意软件日益融合正常开发工作流
- 云服务平台(如Vercel)成为新型攻击跳板
(注:原文中的技术细节如SHA256哈希值、具体代码函数等非核心内容已酌情删减,保留关键攻击流程和防护要点)
评论总结
以下是评论内容的总结:
对VS Code安全性的质疑
- 观点:认为VS Code存在安全隐患,特别是自动运行恶意代码的风险
- 引用:
"It is scary that a text editor can run hidden code just by opening a folder" (dfajgljsldkjag)
"tasks.json is the problem here, who thought that was a good idea?" (bethekidyouwant)
对基于Web技术的桌面应用的不信任
- 观点:认为这类应用资源占用高且攻击面大
- 引用:
"They're resource hogs and the attack surface is huge" (jmyeet)
"I have way more trust in Jetbrains IDEs and the JVM as a sandbox" (jmyeet)
建议替代方案
- 观点:推荐使用更安全的开发环境或工具
- 引用:
"A great reason why you should switch to Zed" (rvz)
"developing inside containers should be default workflow" (blackoil)
对开发环境沙箱化的讨论
- 观点:认为需要更好的沙箱机制,但对现有方案(如容器)有保留
- 引用:
"better application sandboxing is needed" (fizlebit)
"containers themselves are a bit of a poor abstraction" (fizlebit)
对Eclipse与VS Code的比较
- 观点:认为Eclipse可能因Java而失宠,但某些方面优于VS Code
- 引用:
"everything seems worse than eclipse" (TheAdamist)
"Im guessing the answer is probably Java is why eclipse is out of favor" (TheAdamist)
对具体技术细节的疑问
- 观点:对VS Code某些功能(如tasks.json)的具体运行机制提出疑问
- 引用:
"Is tasks.json automatically run?" (sciencejerk)
"I wonder what happens if you open the repo in VSCode Online" (geophph)