文章总结： 与朝鲜关联的黑客滥用VisualStudioCode配置文件tasks.json，通过伪装成招聘任务的恶意代码库攻击开发者。一旦受害者信任并打开仓库，恶意命令将自动执行，下载混淆的JS载荷建立C2连接，实现持久化与数据窃取。建议开发者在信任前审查代码库及tasks.json文件内容。 综合评分： 88 文章分类： 威胁情报,恶意软件,供应链安全

黑客广泛滥用 Visual Studio Code，在受害者系统上执行恶意载荷

原创

网络安全9527 网络安全9527

安全圈的那点事儿

2026年1月22日 09:01 北京

与朝鲜有关联的威胁行为者不断扩大其攻击能力，他们将微软 Visual Studio Code（世界上最流行的代码编辑器之一）武器化。

“传染性面试”活动已经发生了显著变化，从传统的社会工程策略转向通过可信的开发环境来攻击开发人员。

这种新方法标志着攻击者利用合法软件工具将复杂的恶意软件直接投放到受害者系统上的方式出现了令人担忧的升级。

攻击链始于开发者在不知情的情况下克隆恶意代码库，这些代码库通常伪装成招聘任务或技术工作面试。

此次攻击标志着攻击者策略的转变，不再局限于之前记录的基于 ClickFix 的传播方式。攻击者不再依赖可疑的电子邮件链接，而是将恶意命令嵌入到 Visual Studio Code 的配置文件中。

当受害者在Visual Studio Code中打开一个被入侵的存储库并授予存储库信任（这是标准工作流程操作）时，应用程序会自动处理存储库的 tasks.json 配置文件。

该文件可能包含嵌入式命令，可在系统上执行任意代码，从而有效地绕过用户感知。

Jamf 分析师和研究人员在 12 月份发现了Visual Studio Code 任务配置文件的更多滥用行为，发现了包含高度混淆的 JavaScript 代码的字典文件。

当受害者打开恶意代码库时，这段 JavaScript 代码会在后台静默执行。安全研究人员还记录了攻击者如何引入日益复杂的混淆技术来逃避检测和分析。

感染机制和执行流程

当开发者克隆并打开托管在 GitHub 或 GitLab 上的恶意 Git 仓库时，感染就开始了。

在 macOS 系统上，该恶意软件使用后台 shell 命令，将 nohup bash 与 curl 结合，从 Vercel 托管的基础架构远程检索 JavaScript 有效载荷。

有效载荷直接在 Node.js 运行时执行，即使 Visual Studio Code 关闭，攻击也能继续进行。

这种持久化机制特别有效，因为它独立于编辑器进程运行。

一旦执行，JavaScript有效载荷就会与位于 87.236.177.93 的命令与控制服务器建立持久连接，每五秒钟发送一次信标。

该恶意软件会收集系统信息，包括主机名、MAC 地址和操作系统详细信息，然后将这些数据发送给攻击者以执行进一步的任务。

该有效载荷维持一个持久的执行循环，能够从C2 服务器接收额外的 JavaScript 指令，使攻击者能够执行任意命令并保持长期访问权限。

开发人员在将存储库标记为受信任之前，应仔细审查其内容，并仔细检查 tasks.json 文件是否存在可能表明恶意意图的可疑配置。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈的那点事儿 网络安全9527 网络安全9527《黑客广泛滥用 Visual Studio Code，在受害者系统上执行恶意载荷》