朝鲜黑客武器化VS Code，借微软合法设施渗透韩国政企网络

与朝鲜有关的网络间谍组织正在将全球开发者广泛使用的工具——Visual Studio Code——武器化，用于悄无声息地渗透受害者网络。Darktrace最新调查揭露，该组织针对韩国用户发起复杂攻击，通过伪装成政府文件并利用微软合法基础设施，成功绕过传统安全防御。

利用合法软件掩盖恶意活动

Darktrace分析师将此次攻击归因于朝鲜民主主义人民共和国（DPRK），攻击者利用人们对合法软件的信任，堂而皇之地隐藏恶意流量。攻击并非始于漏洞利用，而是通过鱼叉式钓鱼邮件展开。邮件中包含伪装成无害Hangul文字处理器（HWPX）文档的Javascript编码（JSE）脚本。

精心设计的诱饵文档

为降低受害者警惕性，恶意软件会打开一份标题为《2026年上半年国内研究生院硕士夜间课程学生选拔相关文件》的诱饵文档。报告指出："这些Hangul文档假冒了韩国负责公务员管理的人事管理部门"。分析师发现，攻击者似乎从政府网站窃取了真实文档，并"对其进行了编辑以显得合法"。

VS Code隧道变身隐蔽通道

脚本执行后并非安装标准后门，而是部署Visual Studio Code（VS Code）隧道功能。这项原本用于开发者远程协作的功能，在此被改造成隐蔽的命令与控制（C2）通道。

VSCode隧道设置 | 图片来源：Darktrace

报告解释称："通过使用VS Code隧道，攻击者能够通过受信任的微软基础设施进行通信，而非专用C2服务器。"这种策略尤其危险，因为它与正常的开发者活动混为一体。"使用广受信任的应用程序使得检测更加困难，特别是在普遍安装开发者工具的环境中"。

攻击技术细节

攻击行动依赖一个被入侵的合法网站yespp[.]co[.]kr来协调连接。恶意软件会发送连接代码和特定隧道令牌"bizeugene"到该网站，建立桥梁使攻击者能远程控制受害者机器，所有流量都流经信誉良好的微软域名。

Darktrace总结称："虽然工具新颖，但攻击特征却很熟悉。使用Hancom文档格式、冒充朝鲜政府、维持长期远程访问以及本次攻击中的受害者目标选择，都与之前归因于朝鲜相关威胁组织的操作模式一致。"