Softwareontwikkelaars zijn nog altijd het doelwit van malafide recruiters die slachtoffers verleiden om malafide code uit te voeren, waarna er allerlei gevoelige informatie wordt gestolen, aldus Microsoft. De aanvalscampagne met zogenaamde recruiters en sollicitatieprocedures is volgens het techbedrijf al sinds 2022 gaande. De aanvallers doen zich voor als recruiter van bijvoorbeeld crypto- of AI-bedrijven en benaderen programmeurs met een zogenaamd interessante baan.

Als onderdeel van de "sollicitatieprocedure" moeten de ontwikkelaars een assessment uitvoeren, waarbij een op GitHub, GitLab of Bitbucket gehost npm-package moet worden gekloond en uitgevoerd. "Het uitvoeren van de malafide package activeert verschillende scripts die uiteindelijk de backdoor in de achtergrond installeren", aldus Microsoft. Bij recente aanvallen maakten de aanvallers daarbij gebruik van Visual Studio Code workflows.

Wanneer slachtoffers de malafide package in Visual Studio Code openen krijgen ze de vraag of ze de eigenaar van de repository vertrouwen. Doet het doelwit dit, dan zal Visual Studio Code automatisch een bestand uitvoeren dat de backdoor installeert. Via de backdoor kunnen de aanvallers toegang tot het systeem behouden, aanvullende malware uitvoeren en allerlei informatie stelen, zoals API tokens, cloud-inloggegevens, signing keys, cryptowallets en wachtwoordmanager gerelateerde data.

Microsoft adviseert softwareontwikkelaars om voor programmeertests en opdrachten die thuis moeten worden gemaakt, een aparte, geïsoleerde omgeving te gebruiken, zoals een non-persistent virtual machine. "Gebruik geen primair zakelijk workstation dat toegang heeft tot productie-inloggegevens, interne repositories of privileged cloudsessies." Verder moeten programmeurs door recruiters aangedragen repositories eerst grondig controleren voordat er scripts worden uitgevoerd of dependencies geïnstalleerd. "Behandel "paste-and-run" commando's en "quick fix" instructies als risicovol."