GitLab의 보안 운영팀은 위협 인텔리전스 및 SIRT를 포함하여 진화하는 위협에 맞서기 위해 긴밀하게 협력합니다. 최근 그들은 북한의 무역 기법을 상세히 설명하는 기사를 발표했으며, 특히 VS Code 작업의 악의적인 사용을 표적으로 삼았습니다. Contagious Interview 캠페인은 가짜 인터뷰 프로세스를 활용하여 개인을 속여 작업을 통해 악성 코드를 실행하도록 합니다. 공격자는 손상된 리포지토리 내의 tasks.json 파일을 사용하여 리포지토리가 VS Code에서 열릴 때 명령을 실행합니다. 이를 통해 공격자는 악성 코드를 설치하고, 자격 증명을 훔치고, 손상된 시스템에 지속성을 확보할 수 있습니다. GitLab은 VS Code 및 기타 IDE에서 사용되는 node-pty.spawn() 라이브러리를 분석하여 예방 조치를 개발했습니다. 그들은 백그라운드 작업에 사용되는 spawn-helper를 기반으로 탐지를 생성하여 의심스러운 활동을 식별했습니다. 이 접근 방식은 종종 사용되는 curl | bash 명령 실행과 같은 비대화형 프로세스에 초점을 맞춰 오탐을 최소화합니다. GitLab은 또한 전역적으로 작업 실행을 비활성화하거나 사용자에게 위험에 대해 교육할 것을 권장합니다. 이러한 포괄적인 접근 방식은 IDE 기반 공격으로부터 GitLab과 고객을 보호하는 데 도움이 됩니다. GitLab은 다른 사람들이 고급 지속 위협에 맞서 싸우도록 영감을 주는 것을 목표로 합니다.
tasks.json파일을 사용하여 리포지토리가 VS Code에서 열릴 때 명령을 실행합니다. 이를 통해 공격자는 악성 코드를 설치하고, 자격 증명을 훔치고, 손상된 시스템에 지속성을 확보할 수 있습니다. GitLab은 VS Code 및 기타 IDE에서 사용되는 node-pty.spawn() 라이브러리를 분석하여 예방 조치를 개발했습니다. 그들은 백그라운드 작업에 사용되는 spawn-helper를 기반으로 탐지를 생성하여 의심스러운 활동을 식별했습니다. 이 접근 방식은 종종 사용되는 curl | bash 명령 실행과 같은 비대화형 프로세스에 초점을 맞춰 오탐을 최소화합니다. GitLab은 또한 전역적으로 작업 실행을 비활성화하거나 사용자에게 위험에 대해 교육할 것을 권장합니다. 이러한 포괄적인 접근 방식은 IDE 기반 공격으로부터 GitLab과 고객을 보호하는 데 도움이 됩니다. GitLab은 다른 사람들이 고급 지속 위협에 맞서 싸우도록 영감을 주는 것을 목표로 합니다.