GitLabのセキュリティオペレーションチームは、脅威インテリジェンスとSIRTを含め、進化する脅威と戦うために緊密に連携しています。彼らは最近、特にVS Codeタスクの悪用を標的とした、北朝鮮のトレードクラフトを詳述した記事を公開しました。Contagious Interviewキャンペーンは、偽の面接プロセスを活用して、個人をタスク経由で悪意のあるコードを実行するように欺きます。攻撃者は、侵害されたリポジトリ内のtasks.jsonファイルを使用して、リポジトリがVS Codeで開かれたときにコマンドを実行します。これにより、攻撃者はマルウェアをインストールしたり、認証情報を盗んだり、侵害されたシステムに永続性を確立したりできます。GitLabは、VS Codeやその他のIDEで使用されているnode-pty.spawn()ライブラリを分析することにより、予防策を開発しました。彼らは、バックグラウンドタスクのために呼び出されるspawn-helperに基づいた検出を作成し、不審なアクティビティを特定しました。このアプローチは、よく使用されるcurl | bashコマンド実行のような非対話型プロセスに焦点を当てることで、誤検知を最小限に抑えます。GitLabはまた、タスク実行をグローバルに無効にするか、ユーザーにリスクについて教育することを推奨しています。この包括的なアプローチは、GitLabとその顧客をIDEベースの攻撃から保護するのに役立ちます。GitLabは、他の人々が高度な持続的脅威と戦うように鼓舞することを目指しています。