Хойд Солонгосын хакерууд программ хөгжүүлэгчид рүү чиглэсэн "Contagious Interview" (Халдварт ярилцлага) хэмээх ажиллагаагаа шинэ шатанд гаргажээ. Тэд хөгжүүлэгчдийн хамгийн түгээмэл ашигладаг Visual Studio Code (VS Code) программ дахь автоматаар ажиллах тохиргоог урвуулан ашиглаж байна.
1. Халдлагын тактик: "tasks.json" ба "runOn: folderOpen"
Энэхүү халдлагын хамгийн аюултай хэсэг нь 2025 оны 12-р сараас эхлэн ажиглагдсан шинэ арга барил юм. Хакерууд хортой кодоо VS Code-ийн төслийн тохиргооны файл болох .vscode/tasks.json дотор нуудаг.
Механизм: Уг файлд runOn: folderOpen гэсэн параметрийг ашигласан байдаг. Энэ нь хэрэглэгч тухайн төслийн хавтас доторх ямар нэгэн файлыг нээх төдийд (жишээ нь README файлыг уншихаар нээхэд) цаана нь хорт код ямар ч зөвшөөрөл асуулгүй автоматаар ажиллаж эхэлнэ гэсэн үг юм.
Олон систем дамжих чадвар: Энэхүү код нь тухайн компьютер Windows, macOS эсвэл Linux-ийн аль нь байхаас үл хамааран ажиллахаар зохион бүтээгдсэн бөгөөд Vercel дээр байршуулсан серверээс өгөгдөл татаж авдаг.
2. StoatWaffle хорт программын ажиллах дараалал
Хорт код идэвхжсэний дараа дараах үе шаттайгаар системийг халдварлуулдаг:
Node.js-ийг шалгах: Системд Node.js суусан эсэхийг шалгаад, байхгүй бол албан ёсны сайтаас нь өөрсдөө татаж суулгадаг.
Downloader-ийг эхлүүлэх: Суулгасан Node.js-ийг ашиглан "Downloader" ажиллуулж, хакеруудын хяналтын сервертэй (C2) холбогдоно.
Мэдээлэл цуглуулах: Системийн мэдээлэл, суулгасан программууд болон хөгжүүлэгчийн хувийн мэдээллийг хулгайлж сервер рүү илгээнэ.
Дараагийн шатны код: Серверээс ирсэн шинэ тушаал, кодуудыг Node.js орчинд шууд ажиллуулснаар хакерууд тухайн компьютерыг бүрэн хянах боломжтой болно.
3. Хэрхэн халдлагад өртдөг вэ? (Social Engineering)
Хакерууд голдуу LinkedIn эсвэл Telegram-аар дамжуулан "Ажилд авах ярилцлага" хийж байна гэж хууран хөгжүүлэгчидтэй холбогддог. Тэд:
"Манай төслийн кодыг шалгаад алдааг нь засаад өгөөч" гэж GitHub-ийн холбоос явуулдаг.
Хөгжүүлэгч кодыг нь татаж аваад VS Code дээр нээх үед дээрх "Auto-Run" процесс идэвхждэг.
Аюулгүй байдлын зөвлөмж: Хэрхэн хамгаалагдах вэ?
Workspace Trust: VS Code-ийн "Workspace Trust" функцийг хэзээ ч бүү идэвхгүй болго. Танихгүй хүний явуулсан төслийг нээхдээ "No, I don't trust the authors" гэж сонговол хортой "tasks.json" файлууд ажиллахгүй.
Сэжигтэй хавтас: .vscode хавтас доторх tasks.json файлыг үргэлж шалгаж байх. Хэрэв тэнд таны тохируулаагүй, сэжигтэй "shell" командууд эсвэл "runOn" тохиргоо байвал шууд устгах хэрэгтэй.
Холбоо барих: Танихгүй ажилд зуучлагчийн явуулсан ZIP файл эсвэл репозиторыг (repository) өөрийн үндсэн систем дээр шууд нээхээс зайлсхийж, шаардлагатай бол Virtual Machine (VM) эсвэл тусгаарлагдсан орчинд шалгаж байгаарай.
