Security

Contagious Interview-malware rammer udviklere

3 min læsning

Resumé

Microsoft advarer om, at angribere i den vedvarende "Contagious Interview"-kampagne bruger falske rekrutteringsforløb, kodetests og ondsindede repositories til at inficere softwareudvikleres enheder. Det er særligt alvorligt, fordi udviklere ofte har adgang til kildekode, CI/CD, cloud-miljøer og secrets, hvilket kan give angribere en direkte vej ind i virksomheders mest følsomme systemer.

Brug for hjælp med Security?Tal med en ekspert

Introduktion

Microsofts seneste threat research fremhæver en voksende risiko for organisationer, der beskæftiger softwareudviklere: Angribere misbruger nu selve ansættelsesprocessen som en initial access-vektor. Contagious Interview-kampagnen viser, hvordan tekniske interviews, coding challenges og henvendelser fra rekrutteringsfolk kan bruges som våben til at kompromittere udvikleres endpoints, som ofte har adgang til source code, CI/CD-pipelines, cloud-miljøer og privilegerede secrets.

Hvad er nyt

Microsoft oplyser, at kampagnen har været aktiv siden mindst december 2022 og stadig bliver opdaget i kundemiljøer. Operationen målretter primært udviklere hos enterprise solution providers samt virksomheder inden for media og communications.

Observerede nøglemetoder omfatter:

  • Falsk kontakt fra rekrutteringsfolk, der udgiver sig for at være cryptocurrency- eller AI-firmaer
  • Ondsindede code repositories hostet på GitHub, GitLab eller Bitbucket
  • Trojanized NPM packages brugt som en del af take-home assessments eller kodetest
  • Misbrug af tasks i Visual Studio Code, hvor tillid til en repository-forfatter kan udløse ondsindede task configuration files
  • Paste-and-run-kommandoer præsenteret som løsninger på opstillede tekniske problemer på falske interviewsider

Microsoft observerede også flere payloads og backdoors forbundet med kampagnen:

  • Invisible Ferret: en Python-baseret backdoor brugt til fjernkommandoeksekvering, reconnaissance og persistence
  • FlexibleFerret: en modulær backdoor, der findes i Go- og Python-varianter og understøtter krypteret C2, plugin loading, exfiltration, persistence og lateral movement

Hvorfor det er vigtigt for IT-administratorer

Denne kampagne er bemærkelsesværdig, fordi den målretter brugere under en forretningsproces med høj tillid og højt pres. Udviklere er mere tilbøjelige til at eksekvere kode, installere dependencies eller stole på repositories, når de tror, at de deltager i et legitimt interview.

For forsvarere er risikoen betydelig:

  • Udviklermaskiner gemmer ofte API-nøgler, cloud credentials, signing certificates og data fra password managers
  • Kompromitterede endpoints kan føre til tyveri af source code, kompromittering af pipelines eller bredere cloud-adgang
  • Angribere benytter sig af legitime værktøjer og workflows, hvilket gør det sværere at opdage end traditionelle malware-leveringsmetoder

Anbefalede næste skridt

Organisationer bør betragte rekrutteringsworkflows som en del af deres attack surface.

Øjeblikkelige handlinger

  • Kræv, at kodetest og take-home assignments gennemføres i isolerede, ikke-persistente miljøer såsom engangs-VM’er
  • Forbyd kørsel af kode leveret af rekrutteringsfolk på primære virksomhedsarbejdsstationer
  • Gennemgå ethvert eksternt repository, før scripts, tasks eller installation af dependencies eksekveres
  • Træn udviklere i at identificere advarselsflag såsom short links, nye repo-konti, usædvanlige opsætningstrin eller anmodninger om at stole på ukendte forfattere

Sikkerhedskontroller, der bør gennemgås

  • Sørg for, at tamper protection, realtids-AV og endpoint-opdateringer er aktiveret
  • Begræns scripting og runtimes såsom Node.js, Python og PowerShell, hvor det er muligt
  • Overvej application control for at blokere eksekvering fra Downloads- og temp-mapper
  • Overvåg for download-and-execute-mønstre, mistænkelig repository-adfærd og udgående trafik til hosts med lav troværdighed
  • Reducer eksponeringen af secrets gennem kortlivede credentials, vault-baseret lagring og MFA

Contagious Interview er en påmindelse om, at moderne angreb i stigende grad udnytter forretningsworkflows, ikke kun software vulnerabilities. For sikkerhedsteams betyder beskyttelse af udviklere nu også at sikre selve interviewprocessen.

Brug for hjælp med Security?

Vores eksperter kan hjælpe dig med at implementere og optimere dine Microsoft-løsninger.

Tal med en ekspert

Hold dig opdateret om Microsoft-teknologier

Læs den originale artikel af Microsoft Defender Experts and Microsoft Defender Security Research Team
SecurityMicrosoft Defendermalwaredeveloperssocial engineering

Relaterede indlæg

Security

Trivy supply chain compromise: Defender-guide

Microsoft har udgivet vejledning til detektion, undersøgelse og afhjælpning af Trivy supply chain compromise i marts 2026, som påvirkede Trivy-binæren og relaterede GitHub Actions. Hændelsen er vigtig, fordi den gjorde betroet CI/CD-sikkerhedsværktøj til et våben for at stjæle legitimationsoplysninger fra build-pipelines, cloud-miljøer og udviklersystemer, mens det så ud til at køre normalt.

Security

AI-agentstyring: Afstemning af intention for sikkerhed

Microsoft skitserer en styringsmodel for AI-agenter, der afstemmer bruger-, udvikler-, rollebaseret og organisatorisk intention. Rammeværket hjælper virksomheder med at holde agenter nyttige, sikre og compliant ved at definere adfærdsgrænser og en klar rækkefølge, når konflikter opstår.

Security

Microsoft Defender predictive shielding stopper GPO-ransomware

Microsoft beskrev en reel ransomware-sag, hvor Defenders predictive shielding opdagede ondsindet misbrug af Group Policy Object (GPO), før krypteringen begyndte. Ved at hærdne GPO-udrulning og afbryde kompromitterede konti blokerede Defender cirka 97 % af de forsøgte krypteringsaktiviteter og forhindrede, at nogen enheder blev krypteret via GPO-leveringsvejen.

Security

Microsoft sikkerhed til agentic AI på RSAC 2026

Microsoft præsenterede på RSAC 2026 en samlet sikkerhedsstrategi for agentic AI og annoncerede, at Agent 365 bliver generelt tilgængelig 1. maj som et kontrolplan til at overvåge, beskytte og styre AI-agenter i stor skala. Samtidig udvider virksomheden synligheden i AI-risici med nye og kommende værktøjer som Security Dashboard for AI, Shadow AI Detection i Entra og forbedret Intune-appinventar, hvilket er vigtigt for virksomheder, der vil bruge AI sikkert uden at miste kontrol over data, identiteter og skygge-IT.

Security

Microsoft CTI-REALM benchmark til AI detection engineering

Microsoft har lanceret CTI-REALM, en open-source benchmark, der måler om AI-agenter faktisk kan udføre detection engineering fra ende til anden ud fra threat intelligence-rapporter frem for blot at svare på sikkerhedsspørgsmål. Det er vigtigt for SOC- og sikkerhedsteams, fordi benchmarken tester realistiske workflows, værktøjer og mellemtrin på tværs af Linux, AKS og Azure, hvilket kan give et mere retvisende billede af, hvor moden AI er til operationelt sikkerhedsarbejde.

Security

Zero Trust for AI: Microsofts nye sikkerhedsmodel

Microsoft har lanceret Zero Trust for AI, som overfører de velkendte principper om eksplicit verifikation, mindst mulige privilegier og antagelse om brud til AI-miljøer med modeller, agenter og datakilder. Samtidig udvider virksomheden sin Zero Trust Workshop med en ny AI-søjle og opdaterede vurderingsværktøjer, så organisationer mere systematisk kan identificere og håndtere AI-specifikke trusler som prompt injection og data poisoning. Det er vigtigt, fordi virksomheder får en konkret ramme til at gøre AI-udrulning mere sikker og moden på tværs af IT, sikkerhed og forretning.