StoatWaffle मैलवेयर

उत्तर कोरिया के एक खतरे के समूह, जिसे कॉन्टेजियस इंटरव्यू और वॉटरप्लम के नाम से जाना जाता है, का संबंध स्टोएटवैफल नामक एक परिष्कृत मैलवेयर परिवार से है। यह अभियान विशेष रूप से डेवलपर्स को निशाना बनाता है और माइक्रोसॉफ्ट विजुअल स्टूडियो कोड (वीएस कोड) के दुर्भावनापूर्ण प्रोजेक्ट्स का उपयोग करके सॉफ्टवेयर विकास पारिस्थितिकी तंत्र में आपूर्ति श्रृंखला हमलों के खतरनाक विकास का संकेत देता है।

VS कोड का दुरुपयोग: tasks.json का दुरुपयोग

इस अभियान में एक उल्लेखनीय नवाचार VS Code की tasks.json कॉन्फ़िगरेशन फ़ाइल का दुरुपयोग है। दिसंबर 2025 से, हमलावरों ने 'runOn: folderOpen' सेटिंग का लाभ उठाकर किसी भी प्रोजेक्ट फ़ोल्डर के खुलने पर दुर्भावनापूर्ण कार्यों को स्वचालित रूप से निष्पादित किया है।

यह तकनीक उपयोगकर्ता के स्पष्ट हस्तक्षेप के बिना लगातार निष्पादन सुनिश्चित करती है। दुर्भावनापूर्ण कार्य वर्सेल पर होस्ट किए गए एक रिमोट वेब एप्लिकेशन से पेलोड प्राप्त करता है, जो अंतर्निहित ऑपरेटिंग सिस्टम से स्वतंत्र रूप से कार्य करता है। हालांकि विश्लेषण वातावरण अक्सर विंडोज पर केंद्रित होते हैं, लेकिन हमले का तर्क सभी प्लेटफार्मों पर एक जैसा रहता है।

Node.js के माध्यम से मल्टी-स्टेज पेलोड डिलीवरी

एक बार निष्पादित होने के बाद, मैलवेयर एक संरचित, बहु-चरणीय संक्रमण प्रक्रिया शुरू करता है:

• यह पेलोड सत्यापित करता है कि होस्ट सिस्टम पर Node.js स्थापित है या नहीं।
• यदि Node.js मौजूद नहीं है, तो इसे इसके आधिकारिक स्रोत से डाउनलोड करके चुपचाप इंस्टॉल कर लिया जाता है।
• एक डाउनलोडर घटक लॉन्च किया जाता है, जो समय-समय पर एक रिमोट सर्वर से संपर्क करता है।
• यह डाउनलोडर अतिरिक्त पेलोड प्राप्त करता है, जो नोड.जेएस कोड के रूप में निष्पादित होते हैं और क्रमिक चरणों के माध्यम से संक्रमण श्रृंखला को जारी रखते हैं।

यह स्तरित दृष्टिकोण निरंतरता को बढ़ाता है और सुरक्षा उपकरणों द्वारा पता लगाने को जटिल बनाता है।

StoatWaffle के भीतर: मॉड्यूलर मैलवेयर क्षमताएं

StoatWaffle को Node.js पर आधारित एक मॉड्यूलर फ्रेमवर्क के रूप में डिज़ाइन किया गया है, जो कई दुर्भावनापूर्ण घटकों की लचीली तैनाती को सक्षम बनाता है। इसके प्राथमिक मॉड्यूल में शामिल हैं:

क्रेडेंशियल स्टीलर : यह क्रोमियम-आधारित ब्राउज़रों और मोज़िला फ़ायरफ़ॉक्स से संवेदनशील डेटा निकालता है, जिसमें सहेजे गए क्रेडेंशियल और एक्सटेंशन डेटा शामिल हैं। macOS सिस्टम पर, यह iCloud कीचेन डेटाबेस को भी निशाना बनाता है। एकत्रित किया गया सारा डेटा कमांड-एंड-कंट्रोल (C2) सर्वर पर भेज दिया जाता है।
रिमोट एक्सेस ट्रोजन (RAT) : यह C2 सर्वर के साथ लगातार संचार स्थापित करता है, जिससे हमलावर दूर से ही कमांड निष्पादित कर सकते हैं। इसकी क्षमताओं में फाइल सिस्टम नेविगेशन, कमांड निष्पादन, फाइल अपलोड, कीवर्ड-आधारित फाइल खोज और स्वतः समाप्ति शामिल हैं।
हमले की सतह का विस्तार : ओपन-सोर्स इकोसिस्टम का शोषण

यह अभियान ओपन-सोर्स प्लेटफॉर्म और डेवलपर वर्कफ़्लो को निशाना बनाने वाले हमलों के व्यापक पैटर्न के अनुरूप है। उल्लेखनीय अभियानों में शामिल हैं:

• पाइथन-आधारित बैकडोर, PylangGhost का वितरण दुर्भावनापूर्ण npm पैकेजों के माध्यम से किया गया, जो इस चैनल के माध्यम से इसके पहले देखे गए प्रसार को दर्शाता है।
• पोलिनराइडर अभियान, जिसने सैकड़ों गिटहब रिपॉजिटरी में अस्पष्ट जावास्क्रिप्ट को इंजेक्ट किया, जिसके कारण बीवरटेल मैलवेयर के एक अपडेटेड वेरिएंट को तैनात किया गया।
• उच्च विशेषाधिकारों वाले एक योगदानकर्ता खाते का दुरुपयोग करके न्यूट्रलिनोज गिटहब संगठन के भीतर रिपॉजिटरी को हैक कर लिया गया। ट्रॉन, एप्टोस और बाइनेंस स्मार्ट चेन नेटवर्क पर ब्लॉकचेन लेनदेन में एम्बेडेड एन्क्रिप्टेड पेलोड को प्राप्त करने के लिए दुर्भावनापूर्ण कोड को जबरन पुश किया गया।

इन परिस्थितियों में पीड़ित अक्सर दूषित VS Code एक्सटेंशन या दुर्भावनापूर्ण npm पैकेज के माध्यम से संक्रमित होते थे।

सोशल इंजीनियरिंग रणनीति: फर्जी साक्षात्कार और डेवलपर को लक्षित करना

प्रारंभिक पहुँच अक्सर बेहद विश्वसनीय भर्ती घोटालों के माध्यम से प्राप्त की जाती है। हमलावर वैध तकनीकी साक्षात्कार प्रक्रियाओं का अनुकरण करते हैं, और पीड़ितों को GitHub, GitLab, या Bitbucket जैसे प्लेटफार्मों पर होस्ट किए गए दुर्भावनापूर्ण कोड को निष्पादित करने के लिए राजी करते हैं।

इस रणनीति में क्रिप्टोकरेंसी और वेब3 क्षेत्रों के संस्थापकों, सीटीओ और वरिष्ठ इंजीनियरों सहित उच्च-मूल्य वाले व्यक्तियों को निशाना बनाया जाता है। इन पदों पर अक्सर महत्वपूर्ण बुनियादी ढांचे और डिजिटल संपत्तियों तक पहुंच होती है। एक दर्ज मामले में, एक फर्जी नौकरी साक्षात्कार परिदृश्य का उपयोग करके AllSecure.io के संस्थापक को निशाना बनाकर हमले का प्रयास किया गया था।

विश्वसनीयता बढ़ाने के लिए, हमलावर लिंक्डइन पर नकली कंपनी प्रोफाइल बनाते हैं और देखने में वैध लगने वाले गिटहब खाते बनाए रखते हैं। अन्य तकनीकों में क्लिकफिक्स का उपयोग शामिल है, जो एक सोशल इंजीनियरिंग विधि है जिसमें मैलवेयर को कौशल मूल्यांकन कार्यों के रूप में छिपाया जाता है।

रणनीतिक उद्देश्य: क्रिप्टोकरेंसी की चोरी से परे

हालांकि क्रिप्टोकरेंसी की चोरी मुख्य मकसद प्रतीत होती है, लेकिन व्यापक मंशा आपूर्ति श्रृंखला में सेंधमारी और कॉर्पोरेट जासूसी तक फैली हुई है। डेवलपर परिवेशों में घुसपैठ करके, हमलावर बाद के सॉफ़्टवेयर प्रोजेक्ट्स में दुर्भावनापूर्ण कोड फैलाने या संवेदनशील संगठनात्मक डेटा तक पहुँचने के अवसर प्राप्त करते हैं।

VS कोड सुरक्षा को सुदृढ़ बनाना

VS Code टास्क के दुरुपयोग के जवाब में, माइक्रोसॉफ्ट ने महत्वपूर्ण सुरक्षा सुधार पेश किए:

• जनवरी 2026 के अपडेट (संस्करण 1.109) में task.allowAutomaticTasks सेटिंग पेश की गई, जो tasks.json में परिभाषित कार्यों के स्वचालित निष्पादन को रोकने के लिए डिफ़ॉल्ट रूप से अक्षम है।
• इस सेटिंग को वर्कस्पेस स्तर पर ओवरराइड नहीं किया जा सकता है, जिससे दुर्भावनापूर्ण रिपॉजिटरी को उपयोगकर्ता द्वारा परिभाषित सुरक्षा प्राथमिकताओं को दरकिनार करने से रोका जा सके।
• इसके बाद के अपडेट, जिनमें फरवरी 2026 में जारी किया गया संस्करण 1.110 भी शामिल है, ने नए खुले वर्कस्पेस में ऑटो-रन कार्यों का पता चलने पर एक द्वितीयक चेतावनी प्रॉम्प्ट जोड़ा, जिससे वर्कस्पेस ट्रस्ट दिए जाने के बाद भी उपयोगकर्ता की जागरूकता को मजबूत किया जा सके।

निष्कर्ष: डेवलपर सुरक्षा के लिए बढ़ता खतरा

स्टोएटवैफल अभियान हमलावरों की रणनीति में एक महत्वपूर्ण बदलाव को उजागर करता है, जो विकास परिवेशों और विश्वसनीय कार्यप्रवाहों पर केंद्रित है। तकनीकी शोषण को उन्नत सामाजिक इंजीनियरिंग के साथ मिलाकर, खतरा पैदा करने वाले तत्व वैध और दुर्भावनापूर्ण गतिविधि के बीच की रेखा को धुंधला करते जा रहे हैं, जो सॉफ्टवेयर विकास जीवनचक्र में उच्च सतर्कता की आवश्यकता पर बल देता है।