文章总结： 曹县黑客借虚假招聘诱骗开发者克隆含恶意VSCode任务配置的GitHub/GitLab仓库，一旦在VSCode内信任项目即执行混淆JavaScript，利用Node.js植入持久后门，回传系统指纹并接收C&C动态代码，实现RCE与AI辅助载荷更新，危害macOS开发者与供应链。 综合评分： 82 文章分类： 恶意软件,威胁情报,供应链安全,应用安全,安全培训

曹县黑客通过恶意 VS Code 项目攻击 macOS 开发者

会杀毒的单反狗 会杀毒的单反狗

军哥网络安全读报

2026年1月22日 09:00 湖北

导读

Jamf威胁实验室警告称，曹县威胁组织正在利用 Visual Studio Code 任务配置文件进行恶意软件传播，这是针对 macOS 软件开发人员发起的一项新活动。

该安全公司表示，这些攻击代表了曹县黑客发起的虚假招聘活动的最新版本，其中包括“梦想工作行动”、“传染性面试”、“点击虚假面试”和“欺骗性开发”。

新的攻击方式不再使用基于 ClickFix 的恶意软件传播技术，而是诱骗受害者以工作任务为借口访问或克隆托管在 GitHub 或 GitLab 上的存储库。

Jamf 解释说，这些恶意项目包含 VS Code 任务配置文件，其中包含高度混淆的恶意 JavaScript 代码。

一旦在 VS Code 中打开存储库，受害者就会被提示信任项目作者，从而导致恶意命令在 macOS 系统上执行。

执行的 shell 命令会检索 JavaScript 有效负载并将其通过管道传递给 Node.js 运行时，从而确保在 VS Code 关闭后继续执行。

Jamf 表示，JavaScript 有效载荷会建立持久性，收集基本系统信息，并与命令和控制 (C&C) 服务器建立通信。

它还包含几个实现核心后门功能的例程，包括远程代码执行和系统指纹识别。

该后门的主要功能是动态执行提供给它的 JavaScript 代码。该代码可以导入额外的 Node.js 模块来扩展其功能。

该后门程序会收集机器信息，例如操作系统详细信息、主机名和 MAC 地址，并尝试识别面向公众的 IP 地址。

它还实现了信标功能，定期向 C&C 服务器发送主机详细信息并处理响应。

Jamf 还观察到该后门程序获取了一个与自身类似的 JavaScript 有效载荷，该有效载荷可以从 C&C 服务器检索额外的代码（显然是在 AI 的帮助下生成的），并在子进程中执行该代码。

Jamf指出：“开发者在与第三方代码库交互时应保持谨慎，尤其是那些直接共享或来自不熟悉来源的代码库。在Visual Studio Code中将某个代码库标记为受信任之前，务必先查看其内容。”

技术报告：

https://www.jamf.com/blog/threat-actors-expand-abuse-of-visual-studio-code/

新闻链接：

https://www.securityweek.com/north-korean-hackers-target-macos-developers-via-malicious-vs-code-projects/

扫码关注

军哥网络安全读报

讲述普通人能听懂的安全故事

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：军哥网络安全读报 会杀毒的单反狗 会杀毒的单反狗《曹县黑客通过恶意 VS Code 项目攻击 macOS 开发者》