Security

Microsoft: кампания Contagious Interview против разработчиков

3 мин. чтения

Кратко

Microsoft предупредила о кампании Contagious Interview, в которой злоумышленники используют процесс найма разработчиков — фальшивые предложения от рекрутеров, вредоносные репозитории и троянизированные NPM-пакеты — для первоначального доступа в корпоративные среды. Это особенно опасно, потому что разработчики часто имеют доступ к исходному коду, CI/CD, облаку и секретам, а значит компрометация их рабочих станций может быстро привести к более масштабному взлому компании.

Нужна помощь с Security?Поговорить с экспертом

Введение

Последнее исследование угроз Microsoft подчеркивает растущий риск для организаций, в которых работают разработчики ПО: злоумышленники начали использовать сам процесс найма как вектор первоначального доступа. Кампания Contagious Interview показывает, как технические интервью, задания по программированию и обращения от рекрутеров могут быть превращены в инструмент компрометации конечных точек разработчиков, которые часто имеют доступ к исходному коду, CI/CD-конвейерам, облачным средам и привилегированным секретам.

Что нового

По данным Microsoft, кампания активна как минимум с декабря 2022 года и по-прежнему фиксируется в средах клиентов. В первую очередь операция нацелена на разработчиков в компаниях — поставщиках корпоративных решений, а также в медиа- и телекоммуникационных фирмах.

Среди наблюдаемых тактик:

  • Поддельные обращения от рекрутеров, выдающих себя за представителей криптовалютных или AI-компаний
  • Вредоносные репозитории с кодом, размещенные на GitHub, GitLab или Bitbucket
  • Троянизированные NPM-пакеты, используемые в составе домашних заданий или тестов по программированию
  • Злоупотребление задачами Visual Studio Code, когда доверие к автору репозитория может запускать вредоносные файлы конфигурации задач
  • Команды в формате copy-paste с последующим выполнением, представляемые как исправления инсценированных технических проблем на поддельных сайтах для интервью

Microsoft также зафиксировала несколько полезных нагрузок и бэкдоров, связанных с этой кампанией:

  • Invisible Ferret: бэкдор на основе Python, используемый для удаленного выполнения команд, разведки и закрепления
  • FlexibleFerret: модульный бэкдор в вариантах на Go и Python, поддерживающий зашифрованный C2, загрузку плагинов, эксфильтрацию данных, закрепление и латеральное перемещение

Почему это важно для IT-администраторов

Эта кампания примечательна тем, что нацелена на пользователей во время бизнес-процесса с высоким уровнем доверия и давления. Разработчики с большей вероятностью будут запускать код, устанавливать зависимости или доверять репозиториям, если считают, что участвуют в легитимном интервью.

Для защитников риск значителен:

  • На машинах разработчиков часто хранятся API-ключи, облачные учетные данные, сертификаты подписи и данные менеджеров паролей
  • Скомпрометированные конечные точки могут привести к краже исходного кода, компрометации конвейеров или более широкому доступу к облачной инфраструктуре
  • Злоумышленники опираются на легитимные инструменты и рабочие процессы, из-за чего обнаружение становится сложнее, чем при традиционных методах доставки вредоносного ПО

Рекомендуемые следующие шаги

Организациям следует рассматривать процессы найма как часть своей поверхности атаки.

Немедленные действия

  • Требовать, чтобы тесты по программированию и домашние задания выполнялись в изолированных, непостоянных средах, например в одноразовых VM
  • Запретить запуск кода, предоставленного рекрутерами, на основных корпоративных рабочих станциях
  • Проверять любой внешний репозиторий перед выполнением скриптов, задач или установкой зависимостей
  • Обучать разработчиков распознавать тревожные признаки, такие как короткие ссылки, новые учетные записи репозиториев, необычные шаги настройки или просьбы доверять неизвестным авторам

Средства безопасности, которые стоит пересмотреть

  • Убедиться, что включены tamper protection, AV в реальном времени и обновления конечных точек
  • По возможности ограничить использование скриптов и сред выполнения, таких как Node.js, Python и PowerShell
  • Рассмотреть application control для блокировки выполнения из папок Downloads и временных каталогов
  • Отслеживать паттерны download-and-execute, подозрительное поведение репозиториев и исходящий трафик к хостам с низкой репутацией
  • Сократить доступность секретов за счет краткоживущих учетных данных, хранения в vault и MFA

Contagious Interview напоминает, что современные атаки все чаще эксплуатируют бизнес-процессы, а не только уязвимости ПО. Для команд безопасности защита разработчиков теперь означает и защиту самого процесса собеседования.

Нужна помощь с Security?

Наши эксперты помогут вам внедрить и оптимизировать решения Microsoft.

Поговорить с экспертом

Будьте в курсе технологий Microsoft

Читать оригинальную статью от Microsoft Defender Experts and Microsoft Defender Security Research Team
SecurityMicrosoft Defendermalwaredeveloperssocial engineering

Похожие статьи

Security

Компрометация цепочки поставок Trivy: рекомендации Defender

Microsoft опубликовала рекомендации по обнаружению, расследованию и смягчению последствий компрометации цепочки поставок Trivy в марте 2026 года, затронувшей бинарный файл Trivy и связанные GitHub Actions. Инцидент важен тем, что доверенный инструмент безопасности CI/CD был использован для кражи учетных данных из пайплайнов сборки, облачных сред и систем разработчиков, при этом внешне работая как обычно.

Security

Управление AI Agent: выравнивание намерений для безопасности

Microsoft описывает модель управления для AI agents, которая выравнивает намерения пользователя, разработчика, роли и организации. Эта структура помогает компаниям сохранять полезность, безопасность и соответствие требованиям, задавая поведенческие границы и понятный порядок приоритета при возникновении конфликтов.

Security

Predictive shielding в Microsoft Defender против GPO-шифровальщика

Microsoft описала реальный случай ransomware, в котором predictive shielding в Defender обнаружил вредоносное злоупотребление Group Policy Objects (GPO) до начала шифрования. За счёт усиления защиты распространения GPO и блокировки скомпрометированных учётных записей Defender остановил около 97% попыток шифрования и не позволил зашифровать ни одно устройство через путь доставки GPO.

Security

Защита agentic AI: новые решения Microsoft на RSAC

На RSAC 2026 Microsoft представила комплексный набор решений для защиты agentic AI, включая Agent 365, который станет общедоступным 1 мая и позволит централизованно управлять, защищать и контролировать AI-агентов в связке с Defender, Entra и Purview. Это важно, потому что по мере массового внедрения AI-агентов компаниям нужны новые инструменты для выявления теневого использования AI, снижения риска утечек данных и управления доступом в масштабе всей организации.

Security

Microsoft open source CTI-REALM для AI detection engineering

Microsoft открыла CTI-REALM — бенчмарк, который проверяет, могут ли AI-агенты реально выполнять задачи detection engineering: анализировать CTI-отчёты, сопоставлять техники MITRE ATT&CK и создавать/валидировать правила обнаружения. Это важно для SOC и security-команд, потому что инструмент смещает оценку ИИ от теоретических ответов к практическим операционным результатам в Linux, AKS и Azure-средах.

Security

Zero Trust for AI от Microsoft: воркшоп и архитектура

Microsoft представила подход Zero Trust for AI и обновила Zero Trust Workshop, добавив отдельный AI-столп для оценки и проектирования защиты моделей, агентов, данных и автоматизированных решений. Это важно для компаний, внедряющих AI: новые рекомендации помогают системно учитывать риски вроде prompt injection и data poisoning, а также согласовать меры безопасности между IT, ИБ и бизнесом.