StoatWaffle'i pahavara
Põhja-Korea ohuklaster, mida jälgitakse nime all Contagious Interview ja tuntud ka kui WaterPlum, on seostatud keeruka pahavaraperekonnaga nimega StoatWaffle. See kampaania on suunatud spetsiaalselt arendajatele, muutes pahatahtlikud Microsoft Visual Studio Code'i (VS Code) projektid relvaks, mis annab märku ohtlikust arengust tarneahela rünnakutes tarkvaraarenduse ökosüsteemis.
Sisukord
VS-koodi relvastamine: tasks.json-i kuritarvitamine
Selle kampaania tähelepanuväärne uuendus on VS Code'i konfiguratsioonifaili tasks.json ärakasutamine. Alates 2025. aasta detsembrist on ründajad kasutanud sätet „runOn: folderOpen”, et automaatselt käivitada pahatahtlikke ülesandeid iga kord, kui projektikaust avatakse.
See tehnika tagab järjepideva täitmise ilma kasutajapoolset sekkumist nõudmata. Pahatahtlik ülesanne hangib andmeid Vercelil hostitud kaugveebirakendusest, mis töötab alusoperatsioonisüsteemist sõltumatult. Kuigi analüüsikeskkonnad keskenduvad sageli Windowsile, jääb rünnakuloogika platvormide lõikes järjepidevaks.
Mitmeastmeline kasuliku koormuse kohaletoimetamine Node.js kaudu
Pärast käivitamist käivitab pahavara struktureeritud mitmeastmelise nakatumisprotsessi:
- Kasulik koormus kontrollib, kas Node.js on hostsüsteemi installitud.
- Kui Node.js puudub, laaditakse see ametlikust allikast alla ja installitakse vaikselt.
- Allalaadimiskomponent käivitatakse ja võtab perioodiliselt ühendust kaugserveriga.
- See allalaadija hangib täiendavaid kasulikke koormusi, mis käivitatakse Node.js koodina ja jätkavad nakkusahelat järjestikuste etappide kaudu.
See kihiline lähenemine suurendab püsivust ja raskendab turvatööriistade abil tuvastamist.
StoatWaffle’i sisemus: modulaarsed pahavara võimalused
StoatWaffle on loodud Node.js-il põhineva modulaarse raamistikuna, mis võimaldab mitme pahatahtliku komponendi paindlikku juurutamist. Selle peamised moodulid hõlmavad järgmist:
Volitusandmete varastaja : ekstraheerib Chromiumi-põhistest brauseritest ja Mozilla Firefoxist tundlikke andmeid, sh salvestatud volitusi ja laienduste andmeid. macOS-süsteemides sihib see ka iCloudi võtmehoidja andmebaasi. Kõik kogutud andmed filtreeritakse Command-and-Control (C2) serverisse.
Kaugjuurdepääsuga troojalane (RAT) : loob püsiva side C2-serveriga, võimaldades ründajatel käske kaugelt käivitada. Võimaluste hulka kuuluvad failisüsteemi navigeerimine, käskude täitmine, failide üleslaadimine, märksõnapõhine failiotsing ja isesulgemine.
Rünnakupinna laiendamine : avatud lähtekoodiga ökosüsteemi ärakasutamine
Kampaania on kooskõlas laiema rünnakumustriga, mis on suunatud avatud lähtekoodiga platvormidele ja arendajate töövoogudele. Märkimisväärsete operatsioonide hulka kuuluvad:
- Pythoni-põhise tagaukse PylangGhost levitamine pahatahtlike npm-pakettide kaudu, mis tähistab selle esimest täheldatud levikut selle kanali kaudu.
- PolinRideri kampaania, mille käigus süstiti sadadesse GitHubi repositooriumidesse hägustatud JavaScripti, mis viis uuendatud BeaverTaili pahavara variandi juurutamiseni.
- Neutralinojs GitHubi organisatsiooni repositooriumide ohtu seadmine kõrgendatud õigustega kaastöölise konto kaaperdamise teel. Pahatahtlik kood suruti peale, et hankida Troni, Aptose ja Binance Smart Chaini võrkudes plokiahela tehingutesse manustatud krüptitud kasulikke andmeid.
Nendes stsenaariumides nakatusid ohvrid sageli ohustatud VS Code'i laienduste või pahatahtlike npm-pakettide kaudu.
Sotsiaalse manipuleerimise taktika: võltsintervjuud ja arendajate sihtimine
Esmane juurdepääs saavutatakse sageli väga veenvate värbamispettuste kaudu. Ründajad simuleerivad seaduslikke tehnilisi intervjuuprotsesse, veendes sihtmärke käivitama pahatahtlikku koodi, mis on majutatud sellistel platvormidel nagu GitHub, GitLab või Bitbucket.
Sihtstrateegia keskendub kõrge väärtusega isikutele, sealhulgas asutajatele, tehnoloogiajuhtidele ja krüptovaluuta- ja Web3-sektorite vaneminseneridele. Need rollid pakuvad sageli juurdepääsu kriitilisele infrastruktuurile ja digitaalsetele varadele. Ühel dokumenteeritud juhul üritati rünnakut suunata AllSecure.io asutaja vastu, kasutades väljamõeldud tööintervjuu stsenaariumi.
Usaldusväärsuse suurendamiseks loovad ründajad LinkedInis võltsitud ettevõtteprofiile ja haldavad pealtnäha legitiimseid GitHubi kontosid. Lisatehnikate hulka kuulub ClickFixi kasutamine – sotsiaalse manipuleerimise meetod, mis maskeerib pahavara edastamise oskuste hindamise ülesanneteks.
Strateegilised eesmärgid: krüptovaluutade vargusest kaugemale
Kuigi krüptovaluuta vargus näib olevat peamine motiiv, laieneb laiem kavatsus tarneahela ohtu seadmisele ja ettevõtete spionaažile. Arenduskeskkondadesse tungides saavad ründajad võimalusi pahatahtliku koodi levitamiseks allavoolu tarkvaraprojektidesse või tundlikele organisatsioonilistele andmetele juurdepääsuks.
VS Code’i turvalisuse tugevdamine
Vastuseks VS Code'i ülesannete kuritarvitamisele tutvustas Microsoft kriitilisi turvatäiustusi:
- Jaanuari 2026 värskenduses (versioon 1.109) lisati säte task.allowAutomaticTasks, mis on vaikimisi keelatud, et takistada failis tasks.json määratletud ülesannete automaatset täitmist.
- Seda sätet ei saa tööruumi tasandil muuta, mis takistab pahatahtlikel repositooriumidel kasutaja määratletud turbe-eelistustest mööda hiilimist.
- Hilisemad värskendused, sh 2026. aasta veebruaris avaldatud versioon 1.110, lisasid automaatselt käivituvate ülesannete tuvastamisel äsjaavatud tööruumides teise hoiatuse, suurendades kasutajate teadlikkust isegi pärast tööruumi usalduse andmist.
Kokkuvõte: kasvav oht arendajate turvalisusele
StoatWaffle'i kampaania toob esile olulise nihke ründajate strateegias, mis keskendub arenduskeskkondadele ja usaldusväärsetele töövoogudele. Tehnilise ärakasutamise ja täiustatud sotsiaalse manipuleerimise kombineerimise abil hägustavad ohutegelased jätkuvalt piiri õiguspärase ja pahatahtliku tegevuse vahel, rõhutades vajadust suurenenud valvsuse järele kogu tarkvaraarenduse elutsükli vältel.
