بدافزار StoatWaffle

یک خوشه تهدید کره شمالی، که با نام Contagious Interview ردیابی می‌شود و با نام WaterPlum نیز شناخته می‌شود، به یک خانواده بدافزار پیشرفته به نام StoatWaffle مرتبط شده است. این کمپین به طور خاص توسعه‌دهندگان را با استفاده از پروژه‌های مخرب Microsoft Visual Studio Code (VS Code) هدف قرار می‌دهد و نشان‌دهنده تکامل خطرناکی در حملات زنجیره تأمین در اکوسیستم توسعه نرم‌افزار است.

سوءاستفاده از کد VS به عنوان سلاح: سوءاستفاده از tasks.json

یک نوآوری قابل توجه در این کمپین، سوءاستفاده از فایل پیکربندی tasks.json در VS Code است. از دسامبر ۲۰۲۵، مهاجمان از تنظیم 'runOn: folderOpen' برای اجرای خودکار وظایف مخرب در هر زمان که یک پوشه پروژه باز می‌شود، استفاده کرده‌اند.

این تکنیک، اجرای مداوم را بدون نیاز به تعامل صریح کاربر تضمین می‌کند. وظیفه مخرب، بارهای داده را از یک برنامه وب از راه دور که در Vercel میزبانی می‌شود و مستقل از سیستم عامل اصلی عمل می‌کند، بازیابی می‌کند. اگرچه محیط‌های تجزیه و تحلیل اغلب بر روی ویندوز تمرکز دارند، منطق حمله در بین پلتفرم‌ها ثابت می‌ماند.

تحویل چند مرحله‌ای بار داده از طریق Node.js

پس از اجرا، بدافزار یک فرآیند آلودگی چند مرحله‌ای و ساختاریافته را آغاز می‌کند:

• این payload تأیید می‌کند که آیا Node.js روی سیستم میزبان نصب شده است یا خیر.
• در صورت عدم وجود، Node.js از منبع رسمی آن دانلود شده و به صورت بی‌صدا نصب می‌شود.
• یک کامپوننت دانلودر راه‌اندازی می‌شود و به صورت دوره‌ای با یک سرور راه دور تماس می‌گیرد.
• این دانلودکننده، پیلودهای اضافی را بازیابی می‌کند که به صورت کد Node.js اجرا می‌شوند و زنجیره آلودگی را از طریق مراحل متوالی ادامه می‌دهند.

این رویکرد لایه‌ای، پایداری را افزایش داده و تشخیص توسط ابزارهای امنیتی را پیچیده می‌کند.

درون StoatWaffle: قابلیت‌های بدافزار ماژولار

StoatWaffle به عنوان یک چارچوب ماژولار مبتنی بر Node.js طراحی شده است که امکان استقرار انعطاف‌پذیر اجزای مخرب متعدد را فراهم می‌کند. ماژول‌های اصلی آن عبارتند از:

دزد اطلاعات کاربری : داده‌های حساس را از مرورگرهای مبتنی بر کرومیوم و موزیلا فایرفاکس، از جمله اطلاعات ذخیره‌شده در مورد اطلاعات احراز هویت و افزونه‌ها، استخراج می‌کند. در سیستم‌های macOS، این بدافزار پایگاه داده iCloud Keychain را نیز هدف قرار می‌دهد. تمام داده‌های جمع‌آوری‌شده به یک سرور فرماندهی و کنترل (C2) منتقل می‌شوند.
تروجان دسترسی از راه دور (RAT) : ارتباط مداوم با سرور C2 برقرار می‌کند و به مهاجمان اجازه می‌دهد دستورات را از راه دور اجرا کنند. قابلیت‌های آن شامل پیمایش سیستم فایل، اجرای دستور، آپلود فایل، جستجوی فایل مبتنی بر کلمات کلیدی و خود-خاتمه‌دهی است.
گسترش سطح حمله : بهره‌برداری از اکوسیستم متن‌باز

این کمپین با الگوی گسترده‌تری از حملات که پلتفرم‌های متن‌باز و گردش‌های کاری توسعه‌دهندگان را هدف قرار می‌دهند، همسو است. عملیات‌های قابل توجه عبارتند از:

• توزیع PylangGhost، یک درب پشتی مبتنی بر پایتون، از طریق بسته‌های مخرب npm، اولین انتشار مشاهده‌شده‌ی آن از طریق این کانال را نشان می‌دهد.
• کمپین PolinRider که جاوا اسکریپت مبهم را به صدها مخزن GitHub تزریق کرد و منجر به استقرار یک نوع بدافزار BeaverTail به‌روزرسانی‌شده شد.
• به خطر افتادن مخازن درون سازمان گیت‌هاب Neutralinojs با ربودن یک حساب کاربری مشارکت‌کننده با امتیازات بالا. کد مخرب به زور وارد سیستم شد تا بارهای داده رمزگذاری شده جاسازی شده در تراکنش‌های بلاکچین در شبکه‌های زنجیره هوشمند ترون، آپتوس و بایننس را بازیابی کند.

قربانیان در این سناریوها اغلب از طریق افزونه‌های آسیب‌پذیر VS Code یا بسته‌های مخرب npm آلوده می‌شدند.

تاکتیک‌های مهندسی اجتماعی: مصاحبه‌های جعلی و هدف قرار دادن توسعه‌دهندگان

دسترسی اولیه اغلب از طریق کلاهبرداری‌های استخدامی بسیار متقاعدکننده حاصل می‌شود. مهاجمان فرآیندهای مصاحبه فنی قانونی را شبیه‌سازی می‌کنند و اهداف را متقاعد می‌کنند تا کد مخربی را که در پلتفرم‌هایی مانند GitHub، GitLab یا Bitbucket میزبانی می‌شود، اجرا کنند.

این استراتژی هدف‌گیری بر افراد با ارزش بالا، از جمله بنیانگذاران، مدیران ارشد فناوری و مهندسان ارشد در بخش‌های ارزهای دیجیتال و وب ۳ تمرکز دارد. این نقش‌ها اغلب دسترسی به زیرساخت‌های حیاتی و دارایی‌های دیجیتال را فراهم می‌کنند. در یک مورد مستند، یک حمله ناموفق با استفاده از یک سناریوی مصاحبه شغلی ساختگی، بنیانگذار AllSecure.io را هدف قرار داد.

برای افزایش اعتبار، مهاجمان پروفایل‌های جعلی شرکت در لینکدین ایجاد می‌کنند و حساب‌های کاربری به ظاهر مشروع در گیت‌هاب دارند. از دیگر تکنیک‌های آن‌ها می‌توان به استفاده از ClickFix، یک روش مهندسی اجتماعی که ارسال بدافزار را در قالب وظایف ارزیابی مهارت پنهان می‌کند، اشاره کرد.

اهداف استراتژیک: فراتر از سرقت ارزهای دیجیتال

اگرچه به نظر می‌رسد سرقت ارزهای دیجیتال انگیزه اصلی باشد، اما هدف گسترده‌تر به نفوذ به زنجیره تأمین و جاسوسی شرکتی گسترش می‌یابد. مهاجمان با نفوذ به محیط‌های توسعه‌دهندگان، فرصت‌هایی را برای انتشار کد مخرب در پروژه‌های نرم‌افزاری پایین‌دستی یا دسترسی به داده‌های حساس سازمانی به دست می‌آورند.

تقویت امنیت کد VS

در پاسخ به سوءاستفاده از وظایف VS Code، مایکروسافت بهبودهای امنیتی مهمی را معرفی کرد:

• به‌روزرسانی ژانویه ۲۰۲۶ (نسخه ۱.۱۰۹) تنظیم task.allowAutomaticTasks را معرفی کرد که به طور پیش‌فرض غیرفعال است تا از اجرای خودکار وظایف تعریف‌شده در tasks.json جلوگیری کند.
• این تنظیم در سطح فضای کاری قابل لغو نیست و از دور زدن تنظیمات امنیتی تعریف شده توسط کاربر توسط مخازن مخرب جلوگیری می‌کند.
• به‌روزرسانی‌های بعدی، از جمله نسخه ۱.۱۱۰ که در فوریه ۲۰۲۶ منتشر شد، یک هشدار ثانویه هنگام شناسایی وظایف خودکار در فضاهای کاری تازه باز شده اضافه کردند و آگاهی کاربر را حتی پس از اعطای اعتماد به فضای کاری تقویت کردند.

نتیجه‌گیری: تهدیدی رو به رشد برای امنیت توسعه‌دهندگان

کمپین StoatWaffle تغییر قابل توجهی در استراتژی مهاجمان را برجسته می‌کند و بر محیط‌های توسعه و گردش‌های کاری قابل اعتماد تمرکز دارد. با ترکیب بهره‌برداری فنی با مهندسی اجتماعی پیشرفته، مهاجمان همچنان مرز بین فعالیت‌های مشروع و مخرب را محو می‌کنند و بر نیاز به هوشیاری بیشتر در طول چرخه عمر توسعه نرم‌افزار تأکید دارند.