הצעת הנחה מרובה רישיונות
מסד נתונים של איומים תוכנה זדונית תוכנה זדונית של StoatWaffle

תוכנה זדונית של StoatWaffle

עד Mezo ב-תוכנה זדונית, איום מתמשך מתקדם (APT)
לתרגם ל:

אשכול איומים צפון קוריאני, המכונה Contagious Interview וידוע גם בשם WaterPlum, נקשר למשפחת תוכנות זדוניות מתוחכמות בשם StoatWaffle. קמפיין זה מכוון ספציפית למפתחים על ידי שימוש בפרויקטים זדוניים של Microsoft Visual Studio Code (VS Code), מה שמאותת על התפתחות מסוכנת בהתקפות שרשרת אספקה בתוך מערכת האקולוגית של פיתוח תוכנה.

נשק קוד VS: ניצול לרעה של tasks.json

חידוש בולט בקמפיין זה הוא ניצול קובץ התצורה tasks.json של VS Code. מאז דצמבר 2025, תוקפים ניצלו את ההגדרה 'runOn: folderOpen' כדי לבצע באופן אוטומטי משימות זדוניות בכל פעם שתיקיית פרויקט נפתחת.

טכניקה זו מבטיחה ביצוע עקבי ללא צורך באינטראקציה מפורשת של המשתמש. המשימה הזדונית מאחזרת מטענים מיישום אינטרנט מרוחק המתארח ב-Vercel, ופועל באופן עצמאי ממערכת ההפעלה הבסיסית. למרות שסביבות ניתוח מתמקדות לעתים קרובות ב-Windows, לוגיקת ההתקפה נשארת עקבית בין פלטפורמות.

אספקת מטען רב-שלבית דרך Node.js

לאחר הפעלתה, הנוזקה מתחילה תהליך הדבקה מובנה ורב-שלבי:

  • המטען מאמת האם Node.js מותקן במערכת המארח.
  • אם חסר, Node.js יורד מהמקור הרשמי שלו ומותקן בשקט.
  • רכיב מוריד מופעל, ויוצר קשר מעת לעת עם שרת מרוחק.
  • מוריד זה מאחזר מטענים נוספים, אשר מבוצעים כקוד Node.js וממשיכים את שרשרת ההדבקה דרך שלבים עוקבים.

גישה שכבתית זו משפרת את העמידות ומסבכת את הגילוי על ידי כלי אבטחה.

בתוך StoatWaffle: יכולות מודולריות של תוכנות זדוניות

StoatWaffle תוכנן כמסגרת מודולרית הבנויה על Node.js, המאפשרת פריסה גמישה של רכיבים זדוניים מרובים. המודולים העיקריים שלו כוללים:

גונב אישורים : מחלץ נתונים רגישים מדפדפנים מבוססי Chromium ומ-Mozilla Firefox, כולל אישורים שנשמרו ונתוני הרחבות. במערכות macOS, הוא מכוון גם למסד הנתונים של iCloud Keychain. כל הנתונים שנאספו מסוננים לשרת Command-and-Control (C2).
סוס טרויאני לגישה מרחוק (RAT) : יוצר תקשורת מתמשכת עם שרת C2, ומאפשר לתוקפים לבצע פקודות מרחוק. היכולות כוללות ניווט במערכת הקבצים, ביצוע פקודות, העלאת קבצים, חיפוש קבצים מבוסס מילות מפתח וסיום עצמי.
הרחבת משטח ההתקפה : ניצול מערכת אקולוגית בקוד פתוח

הקמפיין משתלב עם דפוס רחב יותר של מתקפות המכוונות לפלטפורמות קוד פתוח ותהליכי עבודה של מפתחים. בין הפעולות הבולטות:

  • הפצת PylangGhost, דלת אחורית מבוססת פייתון, דרך חבילות npm זדוניות, מסמנת את התפשטותה הראשונה שנצפתה דרך ערוץ זה.
  • קמפיין PolinRider, שהזריק JavaScript מעורפל למאות מאגרי GitHub, מה שהוביל לפריסה של גרסה מעודכנת של תוכנת הזדונית BeaverTail.
  • פריצה למאגרים בתוך ארגון GitHub של Neutralinojs על ידי חטיפת חשבון תורם עם הרשאות מוגברות. קוד זדוני נדחף בכפייה כדי לאחזר מטענים מוצפנים המוטמעים בעסקאות בלוקצ'יין ברשתות Tron, Aptos ו-Binance Smart Chain.

קורבנות בתרחישים אלה נדבקו לעיתים קרובות באמצעות הרחבות VS Code שנפגעו או חבילות npm זדוניות.

טקטיקות הנדסה חברתית: ראיונות מזויפים ומיקוד למפתחים

גישה ראשונית מושגת לעתים קרובות באמצעות הונאות גיוס משכנעות ביותר. תוקפים מדמים תהליכי ראיון טכניים לגיטימיים, ומשכנעים מטרות להפעיל קוד זדוני המאוחסן בפלטפורמות כמו GitHub, GitLab או Bitbucket.

אסטרטגיית הכוונת מתמקדת באנשים בעלי ערך גבוה, כולל מייסדים, מנהלי טכנולוגיות ראשיות ומהנדסים בכירים בתחומי המטבעות הקריפטוגרפיים וה-Web3. תפקידים אלה מספקים לעתים קרובות גישה לתשתיות קריטיות ולנכסים דיגיטליים. במקרה מתועד אחד, ניסיון התקפה כיוון את מייסד AllSecure.io באמצעות תרחיש ראיון עבודה מפוברק.

כדי לשפר את האמינות, תוקפים יוצרים פרופילי חברה מזויפים בלינקדאין ומתחזקים חשבונות GitHub שנראים לגיטימיים. טכניקות נוספות כוללות שימוש ב-ClickFix, שיטת הנדסה חברתית המסווה את אספקת התוכנות הזדוניות כמשימות הערכת מיומנויות.

יעדים אסטרטגיים: מעבר לגניבת מטבעות קריפטוגרפיים

למרות שגניבת מטבעות קריפטוגרפיים נראית כמניע עיקרי, הכוונה הרחבה יותר משתרעת על פגיעה בשרשרת האספקה וריגול תאגידי. על ידי חדירה לסביבות מפתחים, תוקפים מקבלים הזדמנויות להפיץ קוד זדוני לפרויקטים של תוכנה במורד הזרם או לגשת לנתונים ארגוניים רגישים.

חיזוק אבטחת קוד VS

בתגובה לשימוש לרעה במשימות VS Code, מיקרוסופט הציגה שיפורי אבטחה קריטיים:

  • עדכון ינואר 2026 (גרסה 1.109) הציג את ההגדרה task.allowAutomaticTasks, אשר מושבתת כברירת מחדל כדי למנוע ביצוע אוטומטי של משימות המוגדרות ב-tasks.json.
  • לא ניתן לעקוף הגדרה זו ברמת סביבת העבודה, ובכך למנוע ממאגרים זדוניים לעקוף העדפות אבטחה שהוגדרו על ידי המשתמש.
  • עדכונים מאוחרים יותר, כולל גרסה 1.110 שפורסמה בפברואר 2026, הוסיפו הודעת אזהרה משנית כאשר משימות אוטומטיות מזוהות בסביבות עבודה שנפתחו לאחרונה, מה שחיזק את מודעות המשתמש גם לאחר מתן אמון בסביבת עבודה.

סיכום: איום גובר על אבטחת המפתחים

קמפיין StoatWaffle מדגיש שינוי משמעותי באסטרטגיית התוקפים, תוך התמקדות בסביבות פיתוח וזרימות עבודה מהימנות. על ידי שילוב של ניצול טכני עם הנדסה חברתית מתקדמת, גורמי איום ממשיכים לטשטש את הגבול בין פעילות לגיטימית לפעילות זדונית, ומדגישים את הצורך בערנות מוגברת לאורך מחזור חיי פיתוח התוכנה.

מגמות

קמפיין UNC4899 לפריצת ענן

איום מתמשך מתקדם (APT)
פריצה קיברנטית מתוחכמת בשנת 2025 נקשרה לשחקן האיום הצפון קוריאני UNC4899, קבוצה החשודה בתכנון פריצה בקנה מידה גדול לארגון מטבעות קריפטוגרפיים שהובילה לגניבת נכסים דיגיטליים בשווי מיליוני דולרים. הקמפיין יוחס בביטחון בינוני ליריב זה בחסות המדינה, שעוקב אחריו גם תחת מספר שמות אחרים, כולל Jade Sleet, PUKKCHONG, Slow Pisces ו-TraderTraitor. התקרית בולטת בזכות המתודולוגיה הרב-שכבתית שלה. התוקפים...

הונאת דוא"ל של חשבונית חיוב חוזר

פישינג, ספאם
יש להתייחס תמיד בזהירות להודעות דוא"ל בלתי צפויות, במיוחד כאלה הקוראות לנמענים לעיין בחשבוניות, לאשר תשלומים או לפתוח קבצים מצורפים. פושעי סייבר מנצלים לעתים קרובות סקרנות ודחיפות כדי לתמרן משתמשים ולגרום להם לחשוף מידע רגיש. דוגמה אחת היא הונאת הדוא"ל של חשבונית Chargeback, קמפיין פישינג מטעה שנועד להערים על נמענים לפתוח קובץ מצורף זדוני ולהזין אישורים סודיים. חשוב לציין, הודעות דוא"ל אלה אינן...

הכי נצפה

טוען...