Microsoft adviseert programmeurs: wees voorzichtig met repositories van recruiters

In dit artikel:

Microsoft waarschuwt dat softwareontwikkelaars doelwit blijven van een langdurige campagne waarin malafide ‘recruiters’ valse vacatures en sollicitatieopdrachten gebruiken om schadelijke code te laten uitvoeren. Sinds 2022 benaderen aanvallers programmeurs, vaak met voorstellen van crypto‑ of AI‑bedrijven, en vragen ze om een assessment waarbij een npm‑package van GitHub, GitLab of Bitbucket gekloond en gedraaid moet worden. Het draaien van die package activeert scripts die een backdoor installeren; recente varianten misbruiken Visual Studio Code‑workflows om uitvoering te triggeren.

Als ontwikkelaars een repository in VS Code openen en het vertrouwen in de eigenaar bevestigen, kan het systeem automatisch een bestand uitvoeren dat de aanvallers blijvende toegang geeft. Daarmee kunnen zij extra malware laden en gevoelige gegevens stelen, zoals API‑tokens, cloud‑inloggegevens, signing keys, cryptowallets en informatie uit wachtwoordmanagers. Microsoft raadt aan assessments alleen in een geïsoleerde, niet‑persistente omgeving te doen (bijv. een VM), geen primair zakelijk workstation te gebruiken dat toegang heeft tot productiegegevens, repositories zorgvuldig te controleren vóór uitvoering en ‘paste‑and‑run’ of snelle‑fix instructies als verdacht te behandelen. Extra maatregelen zoals least‑privilege, secrets‑rotatie en MFA verkleinen het risico verder.