StoatWaffle Malware

تم ربط مجموعة تهديدات كورية شمالية، تُعرف باسم "المقابلة المعدية" أو "واتربلوم"، بعائلة برمجيات خبيثة متطورة تُسمى "ستوت وافل". تستهدف هذه الحملة تحديدًا المطورين من خلال استغلال مشاريع مايكروسوفت فيجوال ستوديو كود (VS Code) الخبيثة، مما يُشير إلى تطور خطير في هجمات سلسلة التوريد ضمن بيئة تطوير البرمجيات.

استغلال VS Code كسلاح: إساءة استخدام ملف tasks.json

من أبرز الابتكارات في هذه الحملة استغلال ملف إعدادات tasks.json الخاص ببرنامج VS Code. فمنذ ديسمبر 2025، استغل المهاجمون إعداد "runOn: folderOpen" لتنفيذ مهام خبيثة تلقائيًا عند فتح مجلد المشروع.

تضمن هذه التقنية تنفيذًا متسقًا دون الحاجة إلى تفاعل صريح من المستخدم. تسترجع المهمة الخبيثة حمولات من تطبيق ويب بعيد مُستضاف على منصة Vercel، ويعمل بشكل مستقل عن نظام التشغيل الأساسي. على الرغم من أن بيئات التحليل غالبًا ما تركز على نظام Windows، إلا أن منطق الهجوم يظل متسقًا عبر جميع المنصات.

توصيل الحمولة على مراحل متعددة عبر Node.js

بمجرد تنفيذه، يبدأ البرنامج الخبيث عملية إصابة منظمة ومتعددة المراحل:

• تتحقق الحمولة من تثبيت Node.js على النظام المضيف.
• في حالة عدم وجود Node.js، يتم تنزيله من مصدره الرسمي وتثبيته بصمت.
• يتم تشغيل مكون التنزيل، والذي يتصل بشكل دوري بخادم بعيد.
• يقوم هذا البرنامج بتنزيل حمولات إضافية، والتي يتم تنفيذها كشفرة Node.js وتستمر في سلسلة العدوى من خلال مراحل متتالية.

يعزز هذا النهج متعدد الطبقات استمرارية الاختراق ويعقد عملية الكشف بواسطة أدوات الأمان.

داخل ستوات وافل: قدرات البرمجيات الخبيثة المعيارية

تم تصميم StoatWaffle كإطار عمل معياري مبني على Node.js، مما يتيح نشرًا مرنًا لمكونات خبيثة متعددة. تشمل وحداته الأساسية ما يلي:

برنامج سرقة بيانات الاعتماد : يستخرج بيانات حساسة من متصفحات الويب المبنية على Chromium ومتصفح Mozilla Firefox، بما في ذلك بيانات الاعتماد المحفوظة وبيانات الإضافات. على أنظمة macOS، يستهدف أيضًا قاعدة بيانات iCloud Keychain. تُرسل جميع البيانات المستخرجة إلى خادم التحكم والسيطرة (C2).
حصان طروادة للوصول عن بُعد (RAT) : يُنشئ اتصالاً مستمراً مع خادم التحكم والسيطرة، مما يسمح للمهاجمين بتنفيذ الأوامر عن بُعد. تشمل قدراته تصفح نظام الملفات، وتنفيذ الأوامر، وتحميل الملفات، والبحث عن الملفات باستخدام الكلمات المفتاحية، والإنهاء الذاتي.
توسيع نطاق الهجوم : استغلال النظام البيئي مفتوح المصدر

تنسجم هذه الحملة مع نمط أوسع من الهجمات التي تستهدف منصات المصادر المفتوحة وسير عمل المطورين. ومن أبرز العمليات ما يلي:

• توزيع PylangGhost، وهو باب خلفي قائم على لغة بايثون، عبر حزم npm الخبيثة، مما يمثل أول انتشار تم رصده من خلال هذه القناة.
• حملة PolinRider، التي قامت بحقن جافا سكريبت مشوشة في مئات من مستودعات GitHub، مما أدى إلى نشر نسخة محدثة من برنامج BeaverTail الخبيث.
• تم اختراق مستودعات مؤسسة Neutralinojs على منصة GitHub عن طريق الاستيلاء على حساب أحد المساهمين بصلاحيات موسعة. وتم دفع شيفرة خبيثة قسرًا لاسترجاع حمولات مشفرة مضمنة في معاملات سلسلة الكتل عبر شبكات Tron وAptos وBinance Smart Chain.

غالباً ما كان الضحايا في هذه السيناريوهات يُصابون بالعدوى من خلال ملحقات VS Code المخترقة أو حزم npm الخبيثة.

أساليب الهندسة الاجتماعية: المقابلات الوهمية واستهداف المطورين

غالباً ما يتم الوصول الأولي من خلال عمليات احتيال توظيف مقنعة للغاية. يقوم المهاجمون بمحاكاة عمليات المقابلات التقنية المشروعة، لإقناع الضحايا بتنفيذ برمجيات خبيثة مستضافة على منصات مثل GitHub أو GitLab أو Bitbucket.

تركز استراتيجية الاستهداف على الأفراد ذوي القيمة العالية، بمن فيهم المؤسسون، والمدراء التقنيون، وكبار المهندسين في قطاعي العملات المشفرة وتقنيات الويب 3. وتتيح هذه المناصب عادةً الوصول إلى البنية التحتية الحيوية والأصول الرقمية. وفي إحدى الحالات الموثقة، استهدفت محاولة هجوم مؤسس موقع AllSecure.io باستخدام سيناريو مقابلة عمل مُختلق.

لتعزيز المصداقية، يقوم المهاجمون بإنشاء ملفات تعريف وهمية للشركات على لينكدإن، ويحتفظون بحسابات تبدو شرعية على غيت هاب. وتشمل التقنيات الإضافية استخدام كليك فيكس، وهي طريقة هندسة اجتماعية تُخفي عملية نشر البرامج الضارة تحت ستار مهام تقييم المهارات.

الأهداف الاستراتيجية: ما وراء سرقة العملات المشفرة

على الرغم من أن سرقة العملات المشفرة تبدو الدافع الرئيسي، إلا أن النية الأوسع تمتد لتشمل اختراق سلاسل التوريد والتجسس الصناعي. فمن خلال التسلل إلى بيئات المطورين، يحصل المهاجمون على فرص لنشر برمجيات خبيثة في مشاريع البرمجيات اللاحقة أو الوصول إلى بيانات حساسة خاصة بالمنظمة.

تعزيز أمان VS Code

استجابةً لإساءة استخدام مهام VS Code، قدمت مايكروسوفت تحسينات أمنية بالغة الأهمية:

• قدم تحديث يناير 2026 (الإصدار 1.109) إعداد task.allowAutomaticTasks، والذي يتم تعطيله افتراضيًا لمنع التنفيذ التلقائي للمهام المحددة في tasks.json.
• لا يمكن تجاوز هذا الإعداد على مستوى مساحة العمل، مما يمنع المستودعات الضارة من تجاوز تفضيلات الأمان المحددة من قبل المستخدم.
• أضافت التحديثات اللاحقة، بما في ذلك الإصدار 1.110 الذي تم إصداره في فبراير 2026، مطالبة تحذير ثانوية عند اكتشاف مهام التشغيل التلقائي في مساحات العمل المفتوحة حديثًا، مما يعزز وعي المستخدم حتى بعد منح ثقة مساحة العمل.

الخلاصة: تهديد متزايد لأمن المطورين

تُسلّط حملة StoatWaffle الضوء على تحوّلٍ هام في استراتيجية المهاجمين، حيث تركز على بيئات التطوير وسير العمل الموثوق. ومن خلال الجمع بين الاستغلال التقني والهندسة الاجتماعية المتقدمة، يواصل المهاجمون طمس الخط الفاصل بين النشاط المشروع والنشاط الخبيث، مما يؤكد على ضرورة توخي الحذر الشديد طوال دورة حياة تطوير البرمجيات.