Beveiligingsonderzoekers hebben twee gehijackte npm-pakketten en een cluster van Go-pakketten ontdekt die ontworpen zijn om een Python-gebaseerde infostealer te installeren op geïnfecteerde Windows-, Linux- en macOS-systemen. In plaats van de gebruikelijke npm-uitvoeringspaden via lifecycle scripts te gebruiken, verbergt de aanval de uitvoering binnen een Visual Studio Code (VS Code) taak die automatisch wordt gestart wanneer de projectmap in VS Code wordt geopend, aldus een technische analyse van JFrog.

De kwaadaardige taak, genaamd "eslint-check", is geconfigureerd met de optie "runOn: 'folderOpen'" en activeert de uitvoering van willekeurige code zodra de map als workspace in een IDE zoals VS Code of Cursor wordt geopend en als vertrouwd wordt gemarkeerd. De payload is vermomd als een lettertypebestand (public/fonts/fa-solid-400.woff2), maar bevat JavaScript-code die versleutelde data ophaalt uit blockchaintransacties. Vervolgens maakt de malware verbinding met een door de aanvaller gecontroleerde infrastructuur, opent een socket.io backdoor en zet uiteindelijk de Python infostealer uit.

Deze aanvalsmethode sluit aan bij een bekende campagne, genaamd Contagious Interview, die zich richt op softwareontwikkelaars en technisch personeel via frauduleuze sollicitatieprocedures. Volgens beveiligingsonderzoeker Paul McCarty, die de campagne onder de naam Fake Font volgt, levert deze aanval een multi-stage loader die de InvisibleFerret Python backdoor installeert. Deze backdoor is ontworpen om cryptocurrency wallets, browsercredentials en andere gevoelige gegevens te stelen en persistente toegang te creëren, zoals beschreven in een analyse van OpenSourceMalware.

De kwaadaardige lettertypebestanden gebruiken blockchaininfrastructuur, waaronder TronGrid en Aptos, als een zogenoemde dead drop resolver om de volgende JavaScript-laag op te halen. Deze techniek maakt het moeilijk om de aanval te onderbreken. De JavaScript-laag configureert een command-and-control server die functies zoals bestandsuploads en de levering van Python-malware mogelijk maakt. De socket.io backdoor geeft de aanvaller uitgebreide controle over het geïnfecteerde systeem, waaronder shell-uitvoering, klembordafhandeling, bestandsbeheer en het uitvoeren van willekeurige JavaScript-code.

De infectieketen start ook een Python-loader die verantwoordelijk is voor het ophalen van de infostealer en het installeren van benodigde afhankelijkheden. De malware steelt een breed scala aan gegevens, waaronder inloggegevens uit Chromium- en Firefox-browsers, wachtwoordmanagers, authenticators, cryptocurrency wallets en ontwikkelaarsspecifieke informatie zoals Git-credentials, GitHub CLI configuraties, VS Code opslag en logs. Daarnaast worden ook gegevens uit Windows Credential Manager, Linux Secret Service, KDE Wallet, macOS Keychain en cloudopslagmetadata buitgemaakt.