InvisibleFerret kampány
A Trend Micro elemzése szerint az észak-koreai kötődésű Void Dokkaebi – Famous Chollima – jelentősen továbbfejlesztette InvisibleFerret malware-kampányát, amely mára klasszikus pszichológai megtévesztési műveletből önterjedő ellátási lánc támadássá alakult. A csoport fejlesztőket és kriptoszektorban dolgozó szakembereket céloz hamis állásinterjúkkal, majd kompromittált GitHub-, GitLab- és Bitbucket repositorykon keresztül fertőzi meg a teljes fejlesztői ökoszisztémát.
A támadási lánc technikailag rendkívül kifinomult. Az áldozatot egy coding challenge repository klónozására veszik rá, amelyben rejtett .vscode/tasks.json konfiguráció található. Ez a Visual Studio Code runOn, folderOpen funkcióját használja, így amikor a fejlesztő megnyitja a projektet és elfogadja a Workspace Trust promptot, a rosszindulatú task automatikusan lefut. A task PowerShellt, Bash-t vagy Node.js folyamatokat indít, amelyek letöltik és aktiválják az InvisibleFerret vagy DEV#POPPER payloadot.
A kampány különösen veszélyes eleme az önterjedő működés. A kompromittált fejlesztő gépén a támadók obfuszkált JavaScriptet injektálnak legitim projektfájlokba – például tailwind.config.js, next.config.mjs vagy postcss.config.mjs állományokba. Ezeket a módosításokat automatikusan commitolják és force-pusholják a repositorykba. A temp_auto_push.bat script manipulálja a git historyt, visszaállítja az eredeti timestampet, megtartja az author metadata-t és –no-verify opcióval megkerüli a CI/CD hookokat. Így a kompromittált commit legitim fejlesztői módosításnak tűnik.
A malware infrastruktúrája is szokatlanul fejlett. A payload staging részben blockchain-alapú rendszereken keresztül történik, Tron, Aptos és Binance Smart Chain endpointokat használnak konfigurációk és titkosított payloadok tárolására. Ez azért jelentős, mert a decentralizált infrastruktúra jóval nehezebben kapcsolható le hagyományos domain- vagy hosting-takedown módszerekkel.
Az InvisibleFerret és kapcsolódó komponensei cross-platform Node.js-alapú RAT funkciókat biztosítanak. A malware WebSocket-alapú C2 kommunikációt használ, HTTP csatornával kombinálva adatlopásra és file exfiltrationre. Elsődleges célpontok a GitHub tokenek, cloud credentialök, kriptotárca-adatok, CI/CD secret-ek és signing key-ek. A támadók különösen olyan fejlesztőket keresnek, akik hozzáférnek production pipeline-okhoz vagy open source projektekhez.
A Trend Micro 2026 márciusáig több mint 750 fertőzött repositoryt, 500 rosszindulatú VS Code task konfigurációt és legalább 101 commit-manipulációs esetet azonosított. Fertőzési nyomokat találtak több ismert open source projekt környezetében is, köztük a DataStax és Neutralinojs infrastruktúrájában.
A támadók már nem egyszerűen maintainer accountokat kompromittálnak, hanem magát a fejlesztői workflow-t alakítják önterjedő malware-terjesztő mechanizmussá. A védekezés kulcsa a .vscode/ könyvtárak kizárása repositorykból, a signed commit enforcement, a CI tokenek minimális jogosultságra korlátozása, valamint a Workspace Trust promptok szigorú kezelése lehet.
