Een ‘gecoördineerde campagne voor ontwikkelaarstargeting’ maakt gebruik van kwaadaardige opslagplaatsen, vermomd als legitieme Next.js-projecten en technische beoordelingen, om slachtoffers te misleiden om deze uit te voeren en om blijvende toegang tot aangetaste machines te verkrijgen.
“De activiteit sluit aan bij een bredere cluster van bedreigingen die kunstaas gebruiken om op te gaan in de routinematige workflows van ontwikkelaars en de kans op uitvoering van code te vergroten”, aldus het Microsoft Defender Security Research Team in een rapport dat deze week werd gepubliceerd.
De technologiegigant zei dat de campagne wordt gekenmerkt door het gebruik van meerdere toegangspunten die tot hetzelfde resultaat leiden, waarbij door de aanvaller gecontroleerd JavaScript tijdens runtime wordt opgehaald en uitgevoerd om command-and-control (C2) te vergemakkelijken.
De aanvallen zijn afhankelijk van de bedreigingsactoren die valse opslagplaatsen opzetten op vertrouwde ontwikkelaarsplatforms zoals Bitbucket, waarbij ze namen als “Cryptan-Platform-MVP1” gebruiken om ontwikkelaars die op zoek zijn naar banen te misleiden om te gaan werken als onderdeel van een beoordelingsproces.
Verdere analyse van de geïdentificeerde opslagplaatsen heeft drie verschillende uitvoeringspaden blootgelegd die, hoewel ze op verschillende manieren worden geactiveerd, tot doel hebben een door de aanvaller bestuurd JavaScript rechtstreeks in het geheugen uit te voeren:
- Uitvoering van de Visual Studio Code-werkruimtewaar Microsoft Visual Studio Code (VS Code)-projecten met werkruimte-automatiseringsconfiguratie worden gebruikt om kwaadaardige code uit te voeren die is opgehaald uit een Vercel-domein zodra de ontwikkelaar het project opent en vertrouwt. Dit omvat het gebruik van runOn: “folderOpen” om de taak te configureren.
- Uitvoering in buildtime tijdens de ontwikkeling van applicatieswaarbij het handmatig uitvoeren van de ontwikkelingsserver via “npm run dev” voldoende is om de uitvoering van kwaadaardige code te activeren die is ingebed in aangepaste JavaScript-bibliotheken die zich voordoen als jquery.min.js, waardoor deze een JavaScript-lader ophaalt die wordt gehost op Vercel. De opgehaalde payload wordt vervolgens door Node.js in het geheugen uitgevoerd.
- Uitvoering van het opstarten van de server via omgevingsexfiltratie en dynamische uitvoering van externe codewaarbij het starten van de applicatie-backend ervoor zorgt dat kwaadaardige laderlogica verborgen in een backend-module of routebestand wordt uitgevoerd. De lader verzendt de procesomgeving naar de externe server en voert JavaScript uit dat als reactie in het geheugen is ontvangen binnen het Node.js-serverproces.
Microsoft merkte op dat alle drie de methoden leiden tot dezelfde JavaScript-payload die verantwoordelijk is voor het profileren van de host en het periodiek pollen van een registratie-eindpunt om een unieke ‘instanceId’-identifier te verkrijgen. Deze identificatie wordt vervolgens verstrekt in vervolgpeilingen om de activiteit te correleren.
Het is ook in staat om door de server geleverd JavaScript in het geheugen uit te voeren, wat uiteindelijk de weg vrijmaakt voor een tweede-trapscontroller die het initiële steunpunt verandert in een blijvend toegangspad voor het ontvangen van taken door contact op te nemen met een andere C2-server en deze in het geheugen uit te voeren om het achterlaten van sporen op schijf te minimaliseren.
“De controller handhaaft de stabiliteit en sessiecontinuïteit, verzendt fouttelemetrie naar een rapportage-eindpunt en bevat logica voor opnieuw proberen voor veerkracht”, aldus Microsoft. “Het volgt ook voortgebrachte processen en kan beheerde activiteiten stopzetten en netjes afsluiten wanneer dat wordt gevraagd. Naast het on-demand uitvoeren van code ondersteunt Stage 2 operatorgestuurde ontdekking en exfiltratie.”
Hoewel de Windows-maker de activiteit niet aan een specifieke bedreigingsacteur heeft toegeschreven, is het gebruik van VS Code-taken en Vercel-domeinen om malware te ensceneren een tactiek die is overgenomen door aan Noord-Korea gelieerde hackers die verband houden met een langlopende campagne die bekend staat als Contagious Interview.
Het uiteindelijke doel van deze inspanningen is om de mogelijkheid te krijgen om malware te leveren aan ontwikkelaarssystemen, die vaak gevoelige gegevens bevatten, zoals broncode, geheimen en inloggegevens, die mogelijkheden kunnen bieden om dieper in het doelnetwerk te komen.
In een woensdag gepubliceerd rapport zegt Abstract Security dat het een verschuiving heeft waargenomen in de tactieken van bedreigingsactoren, met name een piek in alternatieve staging-servers die worden gebruikt in de VS Code-takenopdrachten in plaats van Vercel-URL’s. Dit omvat het gebruik van scripts die worden gehost op GitHub gists (“gist.githubusercontent(.)com”) om payloads in de volgende fase te downloaden en uit te voeren. Een alternatieve aanpak maakt gebruik van URL-verkorters zoals short(.)gy om Vercel-URL’s te verbergen.
Het cyberbeveiligingsbedrijf zei dat het ook een kwaadaardig npm-pakket heeft geïdentificeerd dat is gekoppeld aan de campagne met de naam “eslint-validator” en dat een versluierde payload van een Google Drive-URL ophaalt en uitvoert. De betreffende lading is een bekende JavaScript-malware die BeaverTail wordt genoemd.
Bovendien is ontdekt dat een kwaadaardige VS Code-taak, ingebed in een GitHub-repository, een infectieketen voor alleen Windows initieert die een batchscript uitvoert om de Node.js-runtime op de host te downloaden (als deze niet bestaat) en het certutil-programma te gebruiken om een codeblok in het script te parseren. Het gedecodeerde script wordt vervolgens uitgevoerd met de eerder verkregen Node.js-runtime om Python-malware te implementeren die is beveiligd met PyArmor.
Cybersecuritybedrijf Red Asgard, dat de campagne ook uitgebreid heeft gevolgd, zei dat de bedreigingsactoren gebruik hebben gemaakt van vervaardigde VS-codeprojecten die de runOn: “folderOpen” -trigger gebruiken om malware in te zetten die op zijn beurt de Polygon-blockchain ondervraagt om JavaScript op te halen dat is opgeslagen in een NFT-contract voor verbeterde veerkracht. De laatste lading is een informatiedief die inloggegevens en gegevens uit webbrowsers, cryptocurrency-portefeuilles en wachtwoordbeheerders verzamelt.
“Deze campagne voor het targeten van ontwikkelaars laat zien hoe een ‘interviewproject’ met een wervingsthema snel een betrouwbaar pad kan worden voor het uitvoeren van code op afstand door op te gaan in routinematige workflows voor ontwikkelaars, zoals het openen van een repository, het runnen van een ontwikkelserver of het starten van een backend”, besluit Microsoft.
Om de dreiging tegen te gaan, beveelt het bedrijf organisaties aan om de vertrouwensgrenzen van de ontwikkelaarsworkflow te verscherpen, sterke authenticatie en voorwaardelijke toegang af te dwingen, een strikte identificatiehygiëne te handhaven, het principe van de minste privileges toe te passen op ontwikkelaarsaccounts en identiteiten op te bouwen, en waar mogelijk een afzonderlijke bouwinfrastructuur te bouwen.
De ontwikkeling komt op het moment dat GitLab zei dat het 131 unieke accounts heeft verboden die betrokken waren bij het verspreiden van kwaadaardige codeprojecten die verband hielden met de Contagious Interview-campagne en het frauduleuze IT-werknemersprogramma dat bekend staat als Wagemole.
“Bedreigingsactoren waren doorgaans afkomstig van consumenten-VPN’s bij interactie met GitLab.com om malware te verspreiden; ze waren echter ook af en toe afkomstig van speciale VPS-infrastructuur en waarschijnlijk IP-adressen van laptopfarms”, aldus Oliver Smith van GitLab. “In bijna 90% van de gevallen hebben bedreigingsactoren accounts gemaakt met behulp van Gmail-e-mailadressen.”
Volgens het softwareontwikkelingsplatform zouden de bedreigingsactoren in meer dan 80% van de gevallen gebruik hebben gemaakt van ten minste zes legitieme services om malware-payloads te hosten, waaronder JSON Keeper, Mocki, npoint.io, Render, Railway.app en Vercel. Hiervan werd Vercel het meest gebruikt, waarbij de bedreigingsactoren in 2025 maar liefst 49 keer afhankelijk waren van het webontwikkelingsplatform.
“In december hebben we een cluster van projecten waargenomen die malware uitvoerden via VS Code-taken, waarbij externe inhoud naar een native shell werd gesluisd of een aangepast script werd uitgevoerd om malware te decoderen uit binaire gegevens in een nep-lettertypebestand”, voegde Smith eraan toe, waarmee hij de bovengenoemde bevindingen van Microsoft bevestigde.
Ook ontdekt door GitLab was een privéproject dat ‘vrijwel zeker’ werd beheerd door een Noord-Koreaanse staatsburger die een Noord-Koreaanse IT-werknemerscel beheerde en dat gedetailleerde financiële en personeelsgegevens bevatte waaruit blijkt dat er tussen het eerste kwartaal van 2022 en het derde kwartaal van 2025 meer dan $ 1,64 miljoen aan inkomsten waren. Het project omvatte meer dan 120 spreadsheets, presentaties en documenten die de kwartaalinkomensprestaties van individuele teamleden bijhielden.
“Uit gegevens blijkt dat deze operaties functioneren als gestructureerde ondernemingen met gedefinieerde doelstellingen en operationele procedures en nauw hiërarchisch toezicht”, merkte GitLab op. “Het aangetoonde vermogen van deze cel om facilitators wereldwijd te cultiveren, zorgt voor een hoge mate van operationele veerkracht en flexibiliteit bij het witwassen van geld.”
In een rapport dat eerder deze maand werd gepubliceerd, zei Okta dat de “overgrote meerderheid” van de interviews met IT-medewerkers niet doorgaat naar een tweede sollicitatiegesprek of een baanaanbieding, maar merkte op dat ze “van hun fouten leren” en dat een groot aantal van hen tijdelijk contractwerk zoekt omdat softwareontwikkelaars worden ingehuurd aan externe bedrijven om te profiteren van het feit dat het onwaarschijnlijk is dat ze strenge antecedentenonderzoeken zullen afdwingen.
“Sommige acteurs lijken echter competenter te zijn in het creëren van persona’s en het slagen voor screeningsinterviews”, voegde het eraan toe. Er is sprake van een soort natuurlijke selectie van IT-werknemers. De meest succesvolle acteurs zijn zeer productief en hebben elk honderden interviews gepland.”
