Security

Contagious Interview malver cilja developere

3 min čitanja

Sažetak

Microsoft upozorava da kampanja „Contagious Interview“ zloupotrebljava proces zapošljavanja developera kroz lažne regrutere, zlonamerne Git repozitorijume, trojanizovane NPM pakete i VS Code taskove kako bi kompromitovala njihove uređaje. Ovo je posebno važno jer developeri često imaju pristup izvornom kodu, CI/CD sistemima, cloud okruženjima i tajnama, pa ovakav napad može brzo prerasti u ozbiljan incident za celu organizaciju.

Trebate pomoć sa Security?Razgovarajte sa stručnjakom

Uvod

Najnovije Microsoft istraživanje pretnji ukazuje na rastući rizik za organizacije koje zapošljavaju software developere: napadači sada zloupotrebljavaju sam proces zapošljavanja kao vektor početnog pristupa. Kampanja Contagious Interview pokazuje kako tehnički intervjui, coding izazovi i obraćanje regrutera mogu biti pretvoreni u oružje za kompromitovanje endpoint-a developera koji često imaju pristup source code-u, CI/CD pipeline-ovima, cloud okruženjima i privilegovanim tajnama.

Šta je novo

Microsoft navodi da je kampanja aktivna najmanje od decembra 2022. i da se i dalje otkriva u korisničkim okruženjima. Operacija prvenstveno cilja developere kod enterprise solution provajdera, kao i u medijskim i komunikacionim kompanijama.

Ključne uočene taktike uključuju:

  • Lažno obraćanje regrutera uz predstavljanje kao kompanije iz oblasti kriptovaluta ili AI
  • Zlonamerne code repozitorijume hostovane na GitHub, GitLab ili Bitbucket platformama
  • Trojanizovane NPM pakete korišćene kao deo zadataka za rad od kuće ili coding testova
  • Zloupotrebu Visual Studio Code task funkcionalnosti, gde poverenje prema autoru repozitorijuma može aktivirati zlonamerne task configuration fajlove
  • Paste-and-run komande predstavljene kao rešenja za inscenirane tehničke probleme na lažnim sajtovima za intervju

Microsoft je takođe uočio više payload-a i backdoor-a povezanih sa kampanjom:

  • Invisible Ferret: backdoor zasnovan na Python-u koji se koristi za daljinsko izvršavanje komandi, izviđanje i perzistenciju
  • FlexibleFerret: modularni backdoor dostupan u Go i Python varijantama, sa podrškom za šifrovani C2, učitavanje plugina, eksfiltraciju, perzistenciju i lateralno kretanje

Zašto je ovo važno za IT administratore

Ova kampanja je značajna zato što cilja korisnike tokom poslovnog procesa sa visokim nivoom poverenja i pritiskom. Developeri će verovatnije izvršiti code, instalirati zavisnosti ili verovati repozitorijumima kada misle da učestvuju u legitimnom intervjuu.

Za timove odbrane, rizik je značajan:

  • Mašine developera često čuvaju API ključeve, cloud kredencijale, sertifikate za potpisivanje i podatke iz password manager-a
  • Kompromitovani endpoint-i mogu dovesti do krađe source code-a, kompromitovanja pipeline-a ili šireg pristupa cloud resursima
  • Napadači se oslanjaju na legitimne alate i tokove rada, što detekciju čini težom nego kod tradicionalnih metoda isporuke malvera

Preporučeni sledeći koraci

Organizacije bi trebalo da tretiraju tokove rada u regrutaciji kao deo svoje površine napada.

Neposredne akcije

  • Zahtevajte da se coding testovi i zadaci za rad od kuće izvršavaju u izolovanim, neperzistentnim okruženjima kao što su jednokratne VM instance
  • Zabranite pokretanje code-a koji dostavljaju regruteri na primarnim korporativnim radnim stanicama
  • Pregledajte svaki eksterni repozitorijum pre izvršavanja skripti, taskova ili instalacije zavisnosti
  • Obučite developere da prepoznaju upozoravajuće znakove kao što su kratki linkovi, novi repo nalozi, neobični koraci za podešavanje ili zahtevi da veruju nepoznatim autorima

Bezbednosne kontrole koje treba pregledati

  • Obezbedite da su tamper protection, real-time AV i endpoint ažuriranja omogućeni
  • Ograničite scripting i runtime okruženja kao što su Node.js, Python i PowerShell gde god je to moguće
  • Razmotrite application control kako biste blokirali izvršavanje iz foldera Downloads i temp
  • Nadgledajte download-and-execute obrasce, sumnjivo ponašanje repozitorijuma i izlazni saobraćaj ka hostovima sa lošom reputacijom
  • Smanjite izloženost tajni kroz kratkotrajne kredencijale, vault-based skladištenje i MFA

Contagious Interview je podsetnik da moderni napadi sve više iskorišćavaju poslovne tokove rada, a ne samo softverske ranjivosti. Za timove za bezbednost, zaštita developera sada znači i obezbeđivanje samog procesa intervjua.

Trebate pomoć sa Security?

Naši stručnjaci mogu vam pomoći da implementirate i optimizujete vaša Microsoft rešenja.

Razgovarajte sa stručnjakom

Budite u toku sa Microsoft tehnologijama

Pročitajte originalni članak od Microsoft Defender Experts and Microsoft Defender Security Research Team
SecurityMicrosoft Defendermalwaredeveloperssocial engineering

Povezani članci

Security

Trivy kompromitacija lanca snabdevanja: Defender

Microsoft je objavio smernice za detekciju, istragu i ublažavanje kompromitacije Trivy lanca snabdevanja iz marta 2026, koja je pogodila Trivy binarni fajl i povezane GitHub Actions. Incident je važan jer je zloupotrebio pouzdane CI/CD bezbednosne alate za krađu akreditiva iz build pipeline-ova, cloud okruženja i developerskih sistema, dok je izgledalo kao da radi normalno.

Security

Upravljanje AI agentima: usklađivanje namere

Microsoft predstavlja model upravljanja za AI agente koji usklađuje korisničku, razvojnu, ulogama zasnovanu i organizacionu nameru. Ovaj okvir pomaže preduzećima da agente održe korisnim, bezbednim i usklađenim tako što definiše granice ponašanja i jasan redosled prioriteta kada dođe do konflikta.

Security

Defender predictive shielding zaustavlja GPO ransomware

Microsoft je opisao stvarni slučaj ransomware napada u kome je Defender predictive shielding otkrio zloupotrebu Group Policy Object (GPO) mehanizama pre početka enkripcije. Ojačavanjem propagacije GPO-a i prekidanjem kompromitovanih naloga, Defender je blokirao oko 97% pokušaja enkripcije i sprečio da bilo koji uređaj bude šifrovan putem GPO kanala isporuke.

Security

Microsoft agentic AI bezbednost na RSAC 2026

Microsoft je na RSAC 2026 predstavio sveobuhvatnu strategiju za bezbednost agentic AI sistema, uključujući skoru opštu dostupnost platforme Agent 365 od 1. maja, uz integraciju sa Defender, Entra i Purview alatima za upravljanje, zaštitu pristupa i sprečavanje prekomernog deljenja podataka. Ovo je važno jer kompanijama donosi bolju vidljivost AI rizika, otkrivanje neovlašćene upotrebe AI aplikacija i jaču zaštitu identiteta i podataka kako se AI agenti sve brže uvode u poslovna okruženja.

Security

Microsoft CTI-REALM open-source benchmark za AI detekciju

Microsoft je predstavio CTI-REALM, open-source benchmark koji proverava da li AI agenti mogu da obavljaju stvaran detection engineering posao, od analize threat intelligence izveštaja do pravljenja i validacije detekcionih pravila. To je važno za SOC i bezbednosne timove jer pomera procenu AI alata sa teorijskog cyber znanja na merljive operativne rezultate u realnim okruženjima poput Linux endpointa, AKS-a i Azure infrastrukture.

Security

Microsoft Zero Trust za AI: radionica i arhitektura

Microsoft je predstavio smernice „Zero Trust for AI“ i proširio svoj Zero Trust Workshop namenskim AI stubom, kako bi organizacije lakše procenile i uvele bezbednosne kontrole za modele, agente, podatke i automatizovane odluke. Ovo je važno jer kompanijama daje strukturisan okvir za zaštitu od rizika kao što su prompt injection, data poisoning i preširoka ovlašćenja, uz bolju usklađenost bezbednosnih, IT i poslovnih timova.