Оферта за отстъпка за множество лицензи
База данни за заплахи Зловреден софтуер Зловреден софтуер StoatWaffle

Зловреден софтуер StoatWaffle

До Mezo през Зловреден софтуер, Усъвършенствана постоянна заплаха (APT)г
Превод на:

Севернокорейски клъстер от заплахи, проследяван като Contagious Interview и известен още като WaterPlum, е свързан със сложно семейство зловреден софтуер, наречено StoatWaffle. Тази кампания е насочена специално към разработчици, като използва като оръжие злонамерени проекти на Microsoft Visual Studio Code (VS Code), сигнализирайки за опасна еволюция в атаките срещу веригата за доставки в екосистемата за разработка на софтуер.

Използване на оръжие срещу код: Злоупотреба с tasks.json

Забележителна иновация в тази кампания е използването на конфигурационния файл tasks.json на VS Code. От декември 2025 г. насам нападателите използват настройката „runOn: folderOpen“, за да изпълняват автоматично злонамерени задачи при отваряне на папка на проект.

Тази техника осигурява последователно изпълнение, без да се изисква изрична намеса от страна на потребителя. Злонамерената задача извлича полезни товари от отдалечено уеб приложение, хоствано на Vercel, работейки независимо от основната операционна система. Въпреки че аналитичните среди често се фокусират върху Windows, логиката на атаката остава последователна на всички платформи.

Многоетапна доставка на полезен товар чрез Node.js

След като бъде изпълнен, зловредният софтуер инициира структуриран, многоетапен процес на заразяване:

  • Полезният товар проверява дали Node.js е инсталиран на хост системата.
  • Ако липсва, Node.js се изтегля от официалния си източник и се инсталира безшумно.
  • Стартира се компонент за изтегляне, който периодично се свързва с отдалечен сървър.
  • Този изтеглятел извлича допълнителни полезни товари, които се изпълняват като Node.js код и продължават веригата на заразяване през последователни етапи.

Този многопластов подход подобрява устойчивостта и усложнява откриването от инструменти за сигурност.

Вътре в StoatWaffle: Модулни възможности за зловреден софтуер

StoatWaffle е проектиран като модулна рамка, изградена върху Node.js, позволяваща гъвкаво внедряване на множество злонамерени компоненти. Основните му модули включват:

Крадец на идентификационни данни : Извлича чувствителни данни от браузъри, базирани на Chromium, и Mozilla Firefox, включително запазени идентификационни данни и данни за разширения. В macOS системите, той е насочен и към базата данни на iCloud Keychain. Всички събрани данни се прехвърлят към Command-and-Control (C2) сървър.
Троянски кон за отдалечен достъп (RAT) : Установява постоянна комуникация със C2 сървъра, позволявайки на атакуващите да изпълняват команди дистанционно. Възможностите включват навигация във файловата система, изпълнение на команди, качване на файлове, търсене на файлове въз основа на ключови думи и самопрекратяване.
Разширяване на повърхността за атака : Експлоатация на екосистема с отворен код

Кампанията е в съответствие с по-широк модел на атаки, насочени към платформи с отворен код и работни процеси на разработчици. Забележителните операции включват:

  • Разпространение на PylangGhost, базирана на Python задна врата, чрез злонамерени npm пакети, което бележи първото наблюдавано разпространение през този канал.
  • Кампанията PolinRider, която инжектира обфуциран JavaScript в стотици хранилища на GitHub, което доведе до внедряването на актуализиран вариант на зловредния софтуер BeaverTail.
  • Компрометиране на хранилища в GitHub организацията на Neutralinojs чрез отвличане на акаунт на сътрудник с повишени привилегии. Злонамерен код е бил принудително внедрен, за да извлече криптирани полезни товари, вградени в блокчейн транзакции в мрежите Tron, Aptos и Binance Smart Chain.

Жертвите в тези сценарии често са били заразени чрез компрометирани разширения на VS Code или злонамерени npm пакети.

Тактики на социалното инженерство: Фалшиви интервюта и насочване към разработчици

Първоначалният достъп често се постига чрез убедителни измами за набиране на персонал. Нападателите симулират легитимни процеси на технически интервюта, убеждавайки целите си да изпълнят зловреден код, хостван на платформи като GitHub, GitLab или Bitbucket.

Стратегията за насочване се фокусира върху лица с висока стойност, включително основатели, технически директори и старши инженери в секторите на криптовалутите и Web3. Тези роли често предоставят достъп до критична инфраструктура и цифрови активи. В един документиран случай опит за атака е бил насочен към основателя на AllSecure.io, използвайки изфабрикуван сценарий за интервю за работа.

За да повишат доверието, нападателите създават фалшиви фирмени профили в LinkedIn и поддържат привидно легитимни акаунти в GitHub. Допълнителни техники включват използването на ClickFix, метод за социално инженерство, който маскира доставката на зловреден софтуер като задачи за оценка на уменията.

Стратегически цели: Отвъд кражбата на криптовалути

Въпреки че кражбата на криптовалута изглежда е основна мотивация, по-широкото намерение се простира до компрометиране на веригата за доставки и корпоративен шпионаж. Чрез проникване в среди за разработчици, нападателите получават възможности за разпространение на зловреден код в софтуерни проекти надолу по веригата или за достъп до чувствителни организационни данни.

Укрепване на сигурността на VS кода

В отговор на злоупотребата със задачи на VS Code, Microsoft въведе критични подобрения в сигурността:

  • Актуализацията от януари 2026 г. (версия 1.109) въведе настройката task.allowAutomaticTasks, която е деактивирана по подразбиране, за да се предотврати автоматичното изпълнение на задачи, дефинирани в tasks.json.
  • Тази настройка не може да бъде отменена на ниво работно пространство, което предотвратява заобикалянето на потребителски дефинирани предпочитания за сигурност от злонамерени хранилища.
  • Последващите актуализации, включително версия 1.110, издадена през февруари 2026 г., добавиха вторично предупреждение, когато в новоотворени работни пространства бъдат открити автоматично изпълнявани задачи, което засили осведомеността на потребителите дори след предоставяне на доверие в работното пространство.

Заключение: Нарастваща заплаха за сигурността на разработчиците

Кампанията StoatWaffle подчертава значителна промяна в стратегията на нападателите, фокусирайки се върху средите за разработка и надеждните работни процеси. Чрез комбиниране на техническа експлоатация с усъвършенствано социално инженерство, хакерите продължават да размиват границата между легитимна и злонамерена дейност, подчертавайки необходимостта от повишена бдителност през целия жизнен цикъл на разработка на софтуер.

Тенденция

Demotrix.org

Измамни уебсайтове, Похитители на браузъри, Потенциално нежелани програми
Защитата на устройствата от натрапчив софтуер е от съществено значение за поддържане на поверителността и сигурността онлайн. Потенциално нежеланите програми (PUP) често работят тихо във фонов...

Кампания за компрометиране в облака UNC4899

Усъвършенствана постоянна заплаха (APT)
Сложно кибернахвърлителство през 2025 г. е свързано със севернокорейския хакер UNC4899, група, заподозряна в организиране на мащабно компрометиране на организация за криптовалути, довело до кражба на милиони долари в цифрови активи. Кампанията се приписва с умерена увереност на този спонсориран от държавата противник, който е проследяван и под няколко други имена, включително Jade Sleet,...

Измама с имейл за фактура за връщане на плащане

Фишинг, Спам
Неочакваните имейли, особено тези, които призовават получателите да прегледат фактури, да потвърдят плащания или да отворят прикачени файлове, винаги трябва да се третират с повишено внимание. Киберпрестъпниците често използват любопитството и неотложността, за да манипулират потребителите и да ги накарат да разкрият чувствителна информация. Един пример е измамата с имейл за фактури за връщане...

Най-гледан

Зареждане...