Contagious Interview-malware treft ontwikkelaars

Inleiding

Microsofts nieuwste threat research benadrukt een groeiend risico voor organisaties die softwareontwikkelaars in dienst hebben: aanvallers misbruiken nu het wervingsproces zelf als een vector voor initiële toegang. De campagne Contagious Interview laat zien hoe technische interviews, coding challenges en outreach door recruiters kunnen worden ingezet om endpoints van ontwikkelaars te compromitteren, die vaak toegang hebben tot broncode, CI/CD-pipelines, cloudomgevingen en geprivilegieerde secrets.

Wat is nieuw

Microsoft zegt dat de campagne sinds ten minste december 2022 actief is en nog steeds wordt gedetecteerd in klantomgevingen. De operatie richt zich voornamelijk op ontwikkelaars bij enterprise solution providers en media- en communicatiebedrijven.

Belangrijke waargenomen tactieken zijn onder meer:

• Nepbenadering door recruiters die zich voordoen als cryptocurrency- of AI-bedrijven
• Kwaadaardige code-repositories gehost op GitHub, GitLab of Bitbucket
• Getrojaniseerde NPM-packages die worden gebruikt als onderdeel van take-home assessments of coding tests
• Misbruik van Visual Studio Code-taken, waarbij het vertrouwen van een repository-auteur kwaadaardige taakconfiguratiebestanden kan activeren
• Plakken-en-uitvoeren-opdrachten die worden gepresenteerd als oplossingen voor geënsceneerde technische problemen op nepinterviewsites

Microsoft nam ook verschillende payloads en backdoors waar die met de campagne verband houden:

• Invisible Ferret: een op Python gebaseerde backdoor die wordt gebruikt voor remote command execution, verkenning en persistentie
• FlexibleFerret: een modulaire backdoor die beschikbaar is in Go- en Python-varianten, met ondersteuning voor versleutelde C2, het laden van plugins, exfiltratie, persistentie en laterale verplaatsing

Waarom dit belangrijk is voor IT-beheerders

Deze campagne is opvallend omdat gebruikers worden geviseerd tijdens een bedrijfsproces met veel vertrouwen en hoge druk. Ontwikkelaars zijn eerder geneigd code uit te voeren, afhankelijkheden te installeren of repositories te vertrouwen wanneer ze denken dat ze deelnemen aan een legitiem interview.

Voor verdedigers is het risico aanzienlijk:

• Machines van ontwikkelaars slaan vaak API-sleutels, cloudreferenties, ondertekeningscertificaten en gegevens van password managers op
• Gecompromitteerde endpoints kunnen leiden tot diefstal van broncode, compromittering van pipelines of bredere cloudtoegang
• Aanvallers vertrouwen op legitieme tooling en workflows, waardoor detectie moeilijker is dan bij traditionele methoden voor malwarelevering

Aanbevolen volgende stappen

Organisaties moeten wervingsworkflows behandelen als onderdeel van hun aanvalsoppervlak.

Onmiddellijke acties

• Vereis dat coding tests en take-home assignments worden uitgevoerd in geïsoleerde, niet-persistente omgevingen zoals wegwerp-VM's
• Verbied het uitvoeren van door recruiters aangeleverde code op primaire zakelijke werkstations
• Controleer elke externe repository voordat scripts, taken of dependency-installaties worden uitgevoerd
• Train ontwikkelaars om rode vlaggen te herkennen, zoals short links, nieuwe repo-accounts, ongebruikelijke installatiestappen of verzoeken om onbekende auteurs te vertrouwen

Te beoordelen beveiligingsmaatregelen

• Zorg ervoor dat tamper protection, real-time AV en endpoint-updates zijn ingeschakeld
• Beperk scripting en runtimes zoals Node.js, Python en PowerShell waar mogelijk
• Overweeg application control om uitvoering vanuit Downloads- en temp-mappen te blokkeren
• Monitor op download-and-execute-patronen, verdacht repositorygedrag en uitgaand verkeer naar hosts met een lage reputatie
• Verminder blootstelling van secrets via kortlevende referenties, vault-based storage en MFA

Contagious Interview herinnert eraan dat moderne aanvallen steeds vaker bedrijfsworkflows misbruiken, en niet alleen softwarekwetsbaarheden. Voor securityteams betekent het beschermen van ontwikkelaars nu ook het beveiligen van het interviewproces.