北韓「Contagious Interview」攻擊進化 利用VS Code植入後門竊密
回到上一頁

北韓「Contagious Interview」攻擊進化 利用VS Code植入後門竊密

2026-01-22
北韓駭客集團持續針對全球軟體開發者發動的「Contagious Interview」詐騙招聘攻擊,再度升級手法。這次,他們巧妙利用開發者最常用的工具——微軟Visual Studio Code(VS Code),透過惡意Git儲存庫植入全新後門程式,實現遠端程式碼執行(RCE)與資料竊取。資安公司Jamf Threat Labs於本週初揭露此最新變種,警告開發者社群需高度警惕,尤其專注於區塊鏈、加密貨幣與新興科技領域的台灣工程師,更可能成為首要目標。
 
Contagious Interview攻擊自2023年底起活躍,已被多數資安機構高度歸因於北韓國家級威脅行為者(DPRK-linked threat actors)。與傳統釣魚郵件不同,這波攻擊偽裝成正當的招聘流程或技術面試,透過LinkedIn、GitHub、GitLab等平台接觸受害者。駭客常以匿名或模糊身份自稱招聘人員或求職者,誘導目標下載並審核「技術作業」相關的程式碼專案。一旦受害者克隆(clone)並在VS Code中開啟這些惡意儲存庫,攻擊鏈即啟動。
 
關鍵轉折點在於VS Code的「信任作者」機制。當開發者首次開啟來自未知作者的專案時,VS Code會彈出提示,要求確認是否信任該儲存庫作者。若受害者點擊「Yes, I trust the authors」,系統便自動處理專案內嵌的惡意設定檔——特別是tasks.json檔案。此檔案原本用於自動化建置、測試或腳本執行,但在此攻擊中被植入隱藏命令,導致任意程式碼在受害者系統上無聲執行,無需額外互動。
 
Jamf Threat Labs研究員Thijs Xhaflaire在報告中詳細描述:在macOS系統上,惡意命令會在背景隱形運行,接著透過Node.js下載並立即執行一個JavaScript檔案。該腳本具備持久性,即使關閉VS Code仍持續運作,且不產生任何可見輸出,讓受害者極難察覺。研究顯示,此儲存庫在GitHub或GitLab上至少存活兩週才被移除,符合北韓駭客慣用「短期曝光、長效感染」的模式。
 
這是Jamf首次觀察到此特定酬載(payload),其特點為完全以JavaScript撰寫,針對熟悉Node.js開發的工程師量身打造。駭客運用多種社交工程技巧,包括假冒烏克蘭敖德薩(Odesa)開發者或招聘者,結合深偽(deepfake)技術進行視訊面試,進一步提升可信度。攻擊目標鎖定高價值領域,如加密貨幣、區塊鏈、AI與金融科技,動機混合間諜活動、初始存取經紀(initial access brokerage)與直接財務獲利。
 
一旦感染,後門程式會快速竊取憑證、瀏覽器資料、加密錢包金鑰等敏感資訊,讓攻擊者能冒充受害者身分,存取相關系統或加密資產。過去版本已部署多款惡意家族,如Ferret、BeaverTail、FlexibleFerret(又稱GolangGhost)、InvisibleFerret等,此次JavaScript後門則為全新變種,顯示北韓集團不斷迭代工具與基礎設施。
 
Jamf Threat Labs主任Jaron Bradley向媒體表示:「北韓威脅行為者專門鎖定加密貨幣與區塊鏈專案的開發者系統。他們部署的資訊竊取器能迅速提取憑證,讓攻擊者冒充開發者或未經授權存取相關平台。」Bradley強調,這波VS Code濫用已成為Contagious Interview的主要交付途徑之一,凸顯開發者工作流程被武器化的嚴重性。
 
對台灣而言,此威脅格外值得關注。台灣擁有全球領先的半導體與科技生態,許多企業與新創積極投入區塊鏈、Web3與AI應用,開發者社群龐大且國際化。北韓駭客過去已針對亞洲科技從業人員發動類似攻擊,結合供應鏈風險,可能導致企業機密外洩、智慧財產被竊,甚至影響國家關鍵基礎設施。近期相關報導顯示,類似PurpleBravo(與Contagious Interview高度重疊)活動已鎖定歐洲、南亞、中東與中美洲逾3,136個IP位址,涵蓋AI、金融與軟體開發領域,台灣企業亦可能名列其中。
 
資安專家呼籲,開發者應採取以下防護措施:
  1. 對第三方儲存庫保持極度謹慎,尤其來自陌生作者或招聘相關的專案。
  2. 在VS Code中開啟專案前,先徹底審查內容,包括tasks.json、package.json、.vscode資料夾與安裝腳本。
  3. 避免輕易點擊「信任作者」,可考慮使用VS Code的「Restricted Mode」或手動檢查設定檔。
  4. 僅在充分驗證後執行npm install,特別注意pre-install/post-install腳本與任務配置。
  5. 企業端應部署端點偵測與回應(EDR)工具,監控Node.js異常行為、背景下載與持久化機制。
  6. 定期更新VS Code與Node.js,並啟用多因素驗證(MFA)保護GitHub/GitLab帳號。
Jamf報告指出,北韓集團持續演進,從傳統NPM惡意套件、ClickFix技巧,到如今濫用VS Code信任機制,顯示其高度適應性與對開發者生態的深入了解。專家警告,隨著AI與區塊鏈產業蓬勃,類似「信任即執行」的攻擊向量將更頻繁出現,開發者需將資安意識融入日常工作流程。
 
此事件也呼應2026年全球資安趨勢:供應鏈攻擊與社交工程結合,已成為國家級威脅的主要途徑。台灣政府與企業應加強與國際資安社群合作,共享威脅情資,防範北韓等境外勢力滲透。
 
 
出處: 基於Dark Reading文章《'Contagious Interview' Attack Now Delivers Backdoor Via VS Code》,作者Jai Vijayan,發布日期2026年1月22日;並參考Jamf Threat Labs官方報告《Threat Actors Expand Abuse of Microsoft Visual Studio Code》,發布日期2026年1月20日,以及相關資安媒體如The Hacker News、CSO Online報導。