StoatWaffle-malware
En nordkoreansk trusselsgruppe, sporet som Contagious Interview og også kendt som WaterPlum, er blevet forbundet med en sofistikeret malware-familie kaldet StoatWaffle. Denne kampagne er specifikt rettet mod udviklere ved at udnytte ondsindede Microsoft Visual Studio Code (VS Code)-projekter som våben, hvilket signalerer en farlig udvikling i forsyningskædeangreb inden for softwareudviklingsøkosystemet.
Indholdsfortegnelse
Våbenbevæbning af VS-kode: Misbrug af tasks.json
En bemærkelsesværdig innovation i denne kampagne er udnyttelsen af VS Codes tasks.json-konfigurationsfil. Siden december 2025 har angribere udnyttet indstillingen 'runOn: folderOpen' til automatisk at udføre ondsindede opgaver, når en projektmappe åbnes.
Denne teknik sikrer ensartet udførelse uden at kræve eksplicit brugerinteraktion. Den ondsindede opgave henter nyttelast fra en fjern webapplikation, der hostes på Vercel, og som fungerer uafhængigt af det underliggende operativsystem. Selvom analysemiljøer ofte fokuserer på Windows, forbliver angrebslogikken ensartet på tværs af platforme.
Flertrinslevering af nyttelast via Node.js
Når malwaren er blevet udført, starter den en struktureret infektionsproces i flere trin:
- Nyttelasten verificerer, om Node.js er installeret på værtssystemet.
- Hvis den ikke er installeret, downloades Node.js fra den officielle kilde og installeres lydløst.
- En downloadkomponent startes og kontakter med jævne mellemrum en fjernserver.
- Denne downloader henter yderligere nyttelast, som udføres som Node.js-kode og fortsætter infektionskæden gennem successive faser.
Denne lagdelte tilgang forbedrer persistens og komplicerer detektion med sikkerhedsværktøjer.
Inde i StoatWaffle: Modulære malwarefunktioner
StoatWaffle er designet som et modulært framework bygget på Node.js, hvilket muliggør fleksibel implementering af flere skadelige komponenter. Dets primære moduler inkluderer:
Credential Stealer : Udtrækker følsomme data fra Chromium-baserede browsere og Mozilla Firefox, herunder gemte legitimationsoplysninger og udvidelsesdata. På macOS-systemer er den også rettet mod iCloud-nøgleringsdatabasen. Alle indsamlede data filtreres til en Command-and-Control (C2)-server.
Fjernadgangstrojaner (RAT) : Etablerer vedvarende kommunikation med C2-serveren, hvilket giver angribere mulighed for at udføre kommandoer eksternt. Funktionerne omfatter filsystemnavigation, kommandoudførelse, filupload, nøgleordsbaserede filsøgninger og selvafslutning.
Udvidelse af angrebsfladen : Udnyttelse af open source-økosystemer
Kampagnen stemmer overens med et bredere mønster af angreb, der er rettet mod open source-platforme og udviklerworkflows. Bemærkelsesværdige operationer omfatter:
- Distribution af PylangGhost, en Python-baseret bagdør, via ondsindede npm-pakker, hvilket markerer dens første observerede spredning gennem denne kanal.
- PolinRider-kampagnen, som injicerede obfuskeret JavaScript i hundredvis af GitHub-lagre, hvilket førte til implementeringen af en opdateret BeaverTail-malwarevariant.
- Kompromittering af arkiver i Neutralinojs GitHub-organisation ved at kapre en bidragyderkonto med forhøjede rettigheder. Ondsindet kode blev tvunget til at hente krypterede nyttelast indlejret i blockchain-transaktioner på tværs af Tron-, Aptos- og Binance Smart Chain-netværk.
Ofre i disse scenarier blev ofte inficeret via kompromitterede VS Code-udvidelser eller ondsindede npm-pakker.
Social Engineering-taktikker: Falske interviews og målretning af udviklere
Indledende adgang opnås ofte gennem meget overbevisende rekrutteringssvindelnumre. Angribere simulerer legitime tekniske interviewprocesser og overtaler mål til at udføre ondsindet kode, der hostes på platforme som GitHub, GitLab eller Bitbucket.
Målretningsstrategien fokuserer på værdifulde individer, herunder grundlæggere, CTO'er og senioringeniører inden for kryptovaluta- og Web3-sektoren. Disse roller giver ofte adgang til kritisk infrastruktur og digitale aktiver. I et dokumenteret tilfælde var et angrebsforsøg rettet mod grundlæggeren af AllSecure.io ved hjælp af et opdigtet jobsamtalescenarie.
For at øge troværdigheden opretter angriberne falske virksomhedsprofiler på LinkedIn og vedligeholder tilsyneladende legitime GitHub-konti. Yderligere teknikker omfatter brugen af ClickFix, en social engineering-metode, der forklæder malwarelevering som færdighedsvurderingsopgaver.
Strategiske mål: Ud over kryptovaluta-tyveri
Selvom kryptovalutatyveri synes at være en primær motivation, strækker den bredere hensigt sig til at kompromittere forsyningskæden og virksomhedsspionage. Ved at infiltrere udviklermiljøer får angribere mulighed for at sprede skadelig kode i downstream-softwareprojekter eller få adgang til følsomme organisationsdata.
Styrkelse af VS-kodesikkerhed
Som reaktion på misbrug af VS Code-opgaver introducerede Microsoft kritiske sikkerhedsforbedringer:
- Opdateringen fra januar 2026 (version 1.109) introducerede indstillingen task.allowAutomaticTasks, som som standard er deaktiveret for at forhindre automatisk udførelse af opgaver defineret i tasks.json.
- Denne indstilling kan ikke tilsidesættes på arbejdsområdeniveau, hvilket forhindrer ondsindede lagre i at omgå brugerdefinerede sikkerhedspræferencer.
- Efterfølgende opdateringer, inklusive version 1.110 udgivet i februar 2026, tilføjede en sekundær advarselsprompt, når der registreres automatisk kørende opgaver i nyåbnede arbejdsområder, hvilket forstærker brugerens opmærksomhed, selv efter at arbejdsområdetillid er givet.
Konklusion: En voksende trussel mod udviklersikkerhed
StoatWaffle-kampagnen fremhæver et betydeligt skift i angriberstrategien med fokus på udviklingsmiljøer og pålidelige arbejdsgange. Ved at kombinere teknisk udnyttelse med avanceret social engineering fortsætter trusselsaktører med at udviske grænsen mellem legitim og ondsindet aktivitet, hvilket understreger behovet for øget årvågenhed i hele softwareudviklingscyklussen.
