Malware StoatWaffle

Severokorejský klastr hrozeb, sledovaný jako Contagious Interview a také známý jako WaterPlum, byl propojen se sofistikovanou rodinou malwaru s názvem StoatWaffle. Tato kampaň se konkrétně zaměřuje na vývojáře tím, že zneužívá škodlivé projekty Microsoft Visual Studio Code (VS Code) jako zbraň, což signalizuje nebezpečný vývoj útoků v dodavatelském řetězci v ekosystému vývoje softwaru.

Zneužívání zbraní VS kód: Zneužívání tasks.json

Významnou inovací v této kampani je zneužití konfiguračního souboru tasks.json z VS Code. Od prosince 2025 útočníci využívají nastavení „runOn: folderOpen“ k automatickému spuštění škodlivých úloh při každém otevření složky projektu.

Tato technika zajišťuje konzistentní provádění bez nutnosti explicitní interakce s uživatelem. Škodlivý úkol načítá datové části ze vzdálené webové aplikace hostované na platformě Vercel a funguje nezávisle na podkladovém operačním systému. Ačkoli se analytická prostředí často zaměřují na Windows, logika útoku zůstává napříč platformami konzistentní.

Vícestupňové doručování datových částí přes Node.js

Po spuštění malware zahájí strukturovaný, vícestupňový proces infekce:

• Datová část ověří, zda je Node.js nainstalován na hostitelském systému.
• Pokud chybí, Node.js se stáhne z oficiálního zdroje a nainstaluje se bezobslužně.
• Spustí se komponenta pro stahování, která pravidelně kontaktuje vzdálený server.
• Tento downloader načítá další datové části, které se spouštějí jako kód Node.js a pokračují v řetězci infekce v následných fázích.

Tento vrstvený přístup zvyšuje perzistenci a komplikuje detekci bezpečnostními nástroji.

Uvnitř StoatWaffle: Modulární možnosti malwaru

StoatWaffle je navržen jako modulární framework postavený na Node.js, který umožňuje flexibilní nasazení více škodlivých komponent. Jeho primární moduly zahrnují:

Credential Stealer : Extrahuje citlivá data z prohlížečů založených na Chromiu a Mozilla Firefoxu, včetně uložených přihlašovacích údajů a dat rozšíření. V systémech macOS cílí také na databázi iCloud Keychain. Veškerá shromážděná data jsou odeslána na server Command-and-Control (C2).
Trojan pro vzdálený přístup (RAT) : Navazuje trvalou komunikaci se serverem C2, což útočníkům umožňuje vzdáleně provádět příkazy. Mezi jeho schopnosti patří navigace v souborovém systému, provádění příkazů, nahrávání souborů, vyhledávání souborů na základě klíčových slov a samoukončení.
Rozšíření útočné plochy : Využití ekosystému s otevřeným zdrojovým kódem

Kampaň je v souladu s širším vzorcem útoků zaměřených na platformy s otevřeným zdrojovým kódem a vývojářské pracovní postupy. Mezi významné operace patří:

• Distribuce PylangGhostu, backdooru založeného na Pythonu, prostřednictvím škodlivých npm balíčků, což je první pozorované šíření tímto kanálem.
• Kampaň PolinRider, která vložila obfuskovaný JavaScript do stovek repozitářů GitHubu, což vedlo k nasazení aktualizované varianty malwaru BeaverTail.
• Narušení repozitářů v rámci organizace Neutralinojs GitHub v důsledku únosu účtu přispěvatele se zvýšenými oprávněními. Škodlivý kód byl násilně odeslán za účelem získání šifrovaných dat vložených do blockchainových transakcí v sítích Tron, Aptos a Binance Smart Chain.

Oběti v těchto scénářích byly často infikovány prostřednictvím kompromitovaných rozšíření VS Code nebo škodlivých balíčků npm.

Taktiky sociálního inženýrství: Falešné pohovory a cílení na vývojáře

Prvního přístupu se často dosahuje prostřednictvím velmi přesvědčivých náborových podvodů. Útočníci simulují legitimní procesy technických pohovorů a přesvědčují cíle ke spuštění škodlivého kódu hostovaného na platformách, jako jsou GitHub, GitLab nebo Bitbucket.

Strategie cílení se zaměřuje na vysoce hodnotné jednotlivce, včetně zakladatelů, technických ředitelů a vedoucích inženýrů v sektoru kryptoměn a Web3. Tyto role často poskytují přístup ke kritické infrastruktuře a digitálním aktivům. V jednom zdokumentovaném případě byl pokus o útok zaměřen na zakladatele AllSecure.io s využitím vykonstruovaného scénáře pracovního pohovoru.

Aby útočníci zvýšili důvěryhodnost, vytvářejí falešné firemní profily na LinkedIn a udržují zdánlivě legitimní účty na GitHubu. Mezi další techniky patří použití ClickFixu, metody sociálního inženýrství, která maskuje doručování malwaru jako úkoly zaměřené na posouzení dovedností.

Strategické cíle: Více než jen krádeže kryptoměn

Ačkoli se krádež kryptoměn jeví jako primární motivace, širší záměr se vztahuje i na kompromitaci dodavatelského řetězce a firemní špionáž. Infiltrací vývojářských prostředí útočníci získávají příležitosti k šíření škodlivého kódu do navazujících softwarových projektů nebo k přístupu k citlivým organizačním datům.

Posílení zabezpečení kódu VS

V reakci na zneužívání úloh VS Code zavedla společnost Microsoft kritická vylepšení zabezpečení:

• Aktualizace z ledna 2026 (verze 1.109) zavedla nastavení task.allowAutomaticTasks, které je ve výchozím nastavení zakázáno, aby se zabránilo automatickému spuštění úloh definovaných v souboru tasks.json.
• Toto nastavení nelze na úrovni pracovního prostoru přepsat, což brání škodlivým repozitářům v obcházení uživatelem definovaných bezpečnostních předvoleb.
• Následné aktualizace, včetně verze 1.110 vydané v únoru 2026, přidaly sekundární varování při detekci automaticky spouštěných úloh v nově otevřených pracovních prostorech, čímž se posílilo povědomí uživatelů i po udělení důvěryhodnosti pracovního prostoru.

Závěr: Rostoucí hrozba pro bezpečnost vývojářů

Kampaň StoatWaffle zdůrazňuje významný posun ve strategii útočníků, kteří se zaměřují na vývojová prostředí a důvěryhodné pracovní postupy. Kombinací technického zneužití s pokročilým sociálním inženýrstvím útočníci nadále stírají hranici mezi legitimní a škodlivou činností a zdůrazňují potřebu zvýšené ostražitosti v celém životním cyklu vývoje softwaru.