Interview Contagieuse : Suivi du Vecteur d’Infection des Tâches de VS Code

Résumé

Le rapport détaille une campagne attribuée à la Corée du Nord qui utilise les définitions de tâche de Visual Studio Code (tasks.json) pour obtenir une exécution initiale de code sur les points d’extrémité des développeurs. Les entrées de tâches malveillantes exécutent des commandes qui récupèrent des charges utiles supplémentaires depuis des plateformes d’hébergement telles que Vercel, Render et des services similaires, ou elles intègrent des dépendances NPM malveillantes. Cette chaîne d’exécution permet finalement le déploiement de portes dérobées comprenant BeaverTail et InvisibleFerret.

Investigation

Les chercheurs ont utilisé la recherche de code GitHub pour identifier des dépôts contenant des fichiers tasks.json avec des exécutions intégrées de curl ou wget. Ils ont analysé les domaines d’hébergement des charges utiles, documenté des méthodes d’obfuscation qui cachent des scripts à l’intérieur de fichiers image et police, et découvert un package NPM malveillant nommé jsonwebauth. L’étude a également mis en corrélation les adresses e-mail des auteurs de commits et a élargi la cartographie de l’infrastructure au-delà de la livraison basée sur Vercel.

Atténuation

Désactivez l’exécution automatique des tâches dans VS Code et examinez le contenu des tasks.json avant de faire confiance ou d’ouvrir un espace de travail. Utilisez l’environnement github.dev dans votre navigateur pour inspecter les dépôts sans exécuter de tâches locales. Surveillez les processus enfants suspects de VS Code, les requêtes réseau inattendues vers des domaines connus de charges utiles et les chemins d’exécution Node.js qui tentent d’exécuter des fichiers non-JavaScript.

Réponse

Si identifié, isolez le point d’extrémité, terminez les processus suspects générés par VS Code et bloquez le trafic sortant vers les domaines malveillants associés. Collectez et analysez les charges utiles téléchargées, et effectuez une validation judiciaire pour l’activité de persistance et de backdoor liée à BeaverTail et InvisibleFerret.

Exécution de la Simulation

Condition Préalable : Le Test Préliminaire de Télémétrie et Baseline doit avoir été réussi.

Justification : Cette section détaille l’exécution précise de la technique de l’adversaire (TTP) conçue pour déclencher la règle de détection. Les commandes et le récit DOIVENT refléter directement les TTPs identifiés et viser à générer exactement la télémétrie attendue par la logique de détection. Des exemples abstraits ou non liés conduiront à des erreurs de diagnostic.

• Narration et Commandes de l’Attaque :
  Un attaquant qui a déjà compromis le poste de travail de l’utilisateur exploite VS Code’s tasks.json fonctionnalité pour exécuter un exécutable Windows malveillant (payload.exe) via Node.js. L’attaquant crée une tâche qui invoque cmd.exe /c node payload.exe, satisfaisant ainsi l’exigence de trois mots-clés de la règle (VS Code’s tasks.json, node, cmd). Après avoir enregistré la définition de la tâche malveillante sous le dossier .vscode de l'utilisateur , l’attaquant exécute la tâche via la palette de commandes de VS Code, provoquant l’apparition des processus cmd.exe and node.exe dans le journal de sécurité Windows avec une ligne de commande contenant les trois chaînes requises.

• Script de Test de Régression : (PowerShell – autonome)

   # ---------------------------------------------------------
    # Simulation de Tâche Malveillante VS Code – Déclenche la Règle Sigma
    # ---------------------------------------------------------
  
    # 1. Préparer une charge utile malveillante factice (exécutable non-JS)
    $payloadPath = "$env:USERPROFILEDesktoppayload.exe"
    # Créer un petit exécutable en utilisant Add-Type de PowerShell (pour la démo)
    Add-Type -TypeDefinition @"
    using System;
    public class Dummy {
        public static void Main() {
            System.Console.WriteLine("Charge utile exécutée");
        }
    }
    "@ -Language CSharp
    [Dummy]::Main() | Out-File -FilePath $payloadPath -Encoding ascii
  
    # 2. Construire le tasks.json de VS Code avec la commande malveillante
    $vscodeDir = "$env:USERPROFILE.vscode"
    if (-not (Test-Path $vscodeDir)) { New-Item -ItemType Directory -Path $vscodeDir | Out-Null }
  
    $tasksJson = @{
        version = "2.0.0"
        tasks   = @(
            @{
                label   = "Exécuter la Charge Utile Malveillante"
                type    = "shell"
                command = "cmd.exe"
                args    = @("/c", "node", "`"$payloadPath`"")
            }
        )
    } | ConvertTo-Json -Depth 5
  
    $tasksFile = Join-Path $vscodeDir "tasks.json"
    $tasksJson | Set-Content -Path $tasksFile -Encoding UTF8
  
    # 3. Déclencher la tâche via l'interface en ligne de commande de VS Code
    # (Suppose que `code` est dans PATH)
    Write-Host "Exécution de la tâche malveillante VS Code..."
    code --folder-uri "$env:USERPROFILE" --command "workbench.action.tasks.runTask" --args "Exécuter la Charge Utile Malveillante"
  
    # 4. Attendre quelques secondes pour que les processus apparaissent dans le journal
    Start-Sleep -Seconds 5
  
    # 5. OPTIONNEL : Interroger le journal d'événements local pour vérifier (pour la démonstration)
    Get-WinEvent -FilterHashtable @{
        LogName='Security';
        Id=4688;
        Data='node.exe';
    } | Where-Object {$_.Message -match 'tasks.json'} | ft TimeCreated, Message -AutoSize

• Commandes de Nettoyage : (PowerShell)

   # Supprimez la charge utile malveillante et la définition de tâche VS Code
    Remove-Item -Path "$env:USERPROFILEDesktoppayload.exe" -Force -ErrorAction SilentlyContinue
    Remove-Item -Path "$env:USERPROFILE.vscodetasks.json" -Force -ErrorAction SilentlyContinue
    # Optionnel : redémarrez VS Code pour effacer les tâches mises en cache
    Get-Process -Name "Code" -ErrorAction SilentlyContinue | Stop-Process -Force