Команда по обеспечению безопасности GitLab, включая отделы Threat Intelligence и SIRT, тесно сотрудничает для борьбы с развивающимися угрозами. Недавно они опубликовали статью, подробно описывающую методы северокорейских хакеров, в частности, злонамеренное использование задач VS Code. Кампания Contagious Interview использует поддельные процессы собеседований, чтобы обманом заставить людей запускать вредоносный код через задачи. Злоумышленники используют файл tasks.json в скомпрометированном репозитории для выполнения команд при открытии репозитория в VS Code. Это позволяет злоумышленникам устанавливать вредоносное ПО, красть учетные данные и обеспечивать постоянный доступ к скомпрометированным системам. GitLab разработал превентивные меры, проанализировав библиотеку node-pty.spawn(), используемую VS Code и другими IDE. Они создали обнаружения на основе spawn-helper, который вызывается для фоновых задач, чтобы выявлять подозрительную активность. Этот подход минимизирует ложные срабатывания, фокусируясь на неинтерактивных процессах, таких как часто используемое выполнение команды curl | bash. GitLab также рекомендует отключить запуск задач глобально или обучать пользователей рискам. Этот комплексный подход помогает защитить GitLab и его клиентов от атак на основе IDE. GitLab стремится вдохновить других на борьбу с продвинутыми устойчивыми угрозами.