Pesquisadores identificaram uma operação da Lazarus Group que usa repositórios GitHub falsos, avaliações de emprego simuladas e tarefas automáticas do VS Code para distribuir um backdoor Python chamado InvisibleFerret.
Descoberta e escopo
Analistas do OpenSourceMalware documentaram que a campanha, chamada “Fake Font”, começou há mais de 100 dias e intensificou‑se recentemente com 19 repositórios maliciosos identificados. A operação mira desenvolvedores, sobretudo aqueles com perfis vinculados a projetos de criptomoedas e fintechs, oferecendo entrevistas e testes de código como isca.
Vetor e mecanismo de infecção
O ataque combina engenharia social no LinkedIn e abuse de funcionalidades legítimas do ambiente de desenvolvimento: cada repositório contém uma pasta .vscode/tasks.json configurada para executar tarefas automaticamente quando o projeto é aberto no Visual Studio Code. O arquivo de tarefa aciona um loader em Node.js que processa arquivos de fonte web disfarçados (.woff2), mas que na prática contêm payloads JavaScript que disparam a execução em múltiplas etapas.
Evidências e capacidades do malware
- O payload final identificado foi o backdoor InvisibleFerret em Python, projetado para roubar carteiras de criptomoedas, credenciais de navegadores e garantir persistência.
- Os repositórios foram estruturados para parecer legítimos (React, Node.js, documentação, CI/CD), dificultando a detecção manual imediata.
Limitações da divulgação
As análises públicas descrevem o mecanismo e indicadores de controle (ex.: nomes de repositórios e configurações .vscode), mas não apontam vítimas corporativas identificadas nominalmente. Falta evidência pública de impacto em larga escala — embora o alvo (desenvolvedores com acesso a cadeias e infra de cripto) represente alto valor para atacantes.
Impacto e recomendações
Trata‑se de uma cadeia de suprimento dirigida a desenvolvedores: a confiança em repositórios e automações de IDEs é o ponto fraco explorado. Recomendações imediatas:
- Revisar políticas de onboarding de código e bloquear execução automática de tarefas desconhecidas no VS Code (desativar autoRun ou confirmar execuções).
- Auditar repositórios usados em avaliações técnicas e exigir verificação adicional (assinatura, proveniência) antes de executar tarefas locais.
- Monitorar endpoints de desenvolvedores para comportamentos anômalos (execuções Node.js inesperadas, conexões a domínios desconhecidos, ferramentas de exfiltração).
Fonte: OpenSourceMalware (relatório técnico) e Cyber Security News.
Equipes de segurança e leads técnicos devem tratar avaliações remotas e repositórios de terceiros com cautela. A campanha mostra como ferramentas de produtividade podem ser transformadas em vetores de entrega quando a confiança implícita não é validada.