Zlonamjerni softver StoatWaffle
Sjevernokorejski klaster prijetnji, praćen kao Contagious Interview, a poznat i kao WaterPlum, povezan je sa sofisticiranom obitelji zlonamjernog softvera pod nazivom StoatWaffle. Ova kampanja posebno cilja programere pretvarajući zlonamjerne projekte Microsoft Visual Studio Code (VS Code) u oružje, signalizirajući opasnu evoluciju napada na lanac opskrbe unutar ekosustava razvoja softvera.
Sadržaj
Zloupotreba koda kao oružje VS kod: Zloupotreba tasks.json datoteke
Značajna inovacija u ovoj kampanji je iskorištavanje konfiguracijske datoteke tasks.json u VS Codeu. Od prosinca 2025. napadači koriste postavku 'runOn: folderOpen' za automatsko izvršavanje zlonamjernih zadataka svaki put kada se otvori mapa projekta.
Ova tehnika osigurava dosljedno izvršavanje bez potrebe za eksplicitnom interakcijom korisnika. Zlonamjerni zadatak dohvaća korisne podatke s udaljene web aplikacije smještene na Vercelu, radeći neovisno o temeljnom operativnom sustavu. Iako se analitička okruženja često fokusiraju na Windows, logika napada ostaje dosljedna na svim platformama.
Višefazna isporuka korisnog tereta putem Node.js-a
Nakon što se pokrene, zlonamjerni softver pokreće strukturirani, višefazni proces zaraze:
- Korisni teret provjerava je li Node.js instaliran na host sustavu.
- Ako ga nema, Node.js se preuzima sa službenog izvora i tiho instalira.
- Pokreće se komponenta za preuzimanje koja periodički kontaktira udaljeni poslužitelj.
- Ovaj program za preuzimanje dohvaća dodatne korisne podatke, koji se izvršavaju kao Node.js kod i nastavljaju lanac infekcije kroz uzastopne faze.
Ovaj slojeviti pristup poboljšava postojanost i komplicira otkrivanje sigurnosnim alatima.
Unutar StoatWafflea: Modularne mogućnosti zlonamjernog softvera
StoatWaffle je dizajniran kao modularni okvir izgrađen na Node.js-u, omogućujući fleksibilno postavljanje više zlonamjernih komponenti. Njegovi primarni moduli uključuju:
Krađa vjerodajnica : Izdvaja osjetljive podatke iz preglednika temeljenih na Chromiumu i Mozilla Firefoxu, uključujući spremljene vjerodajnice i podatke o proširenjima. Na macOS sustavima također cilja i bazu podataka iCloud Keychain. Svi prikupljeni podaci se eksfiltriraju na Command-and-Control (C2) poslužitelj.
Trojanac za udaljeni pristup (RAT) : Uspostavlja trajnu komunikaciju s C2 poslužiteljem, omogućujući napadačima daljinsko izvršavanje naredbi. Mogućnosti uključuju navigaciju datotečnim sustavom, izvršavanje naredbi, prijenos datoteka, pretraživanje datoteka na temelju ključnih riječi i samoukidanje.
Proširivanje površine napada : Iskorištavanje ekosustava otvorenog koda
Kampanja je usklađena sa širim obrascem napada usmjerenih na platforme otvorenog koda i tijekove rada programera. Značajne operacije uključuju:
- Distribucija PylangGhosta, backdoora temeljenog na Pythonu, putem zlonamjernih npm paketa, što označava njegovo prvo opaženo širenje kroz ovaj kanal.
- Kampanja PolinRider, koja je u stotine GitHub repozitorija ubrizgala obfusirani JavaScript, što je dovelo do postavljanja ažurirane varijante zlonamjernog softvera BeaverTail.
- Kompromitiranje repozitorija unutar Neutralinojs GitHub organizacije otmicom računa suradnika s povećanim privilegijama. Zlonamjerni kod je prisilno gurnut kako bi se preuzeli šifrirani korisni sadržaji ugrađeni u blockchain transakcije na Tron, Aptos i Binance Smart Chain mrežama.
Žrtve u tim scenarijima često su bile zaražene putem kompromitiranih VS Code ekstenzija ili zlonamjernih npm paketa.
Taktike društvenog inženjeringa: Lažni intervjui i ciljanje programera
Početni pristup često se postiže vrlo uvjerljivim prijevarama u regrutiranju. Napadači simuliraju legitimne procese tehničkih intervjua, nagovarajući mete da izvrše zlonamjerni kod smješten na platformama kao što su GitHub, GitLab ili Bitbucket.
Strategija ciljanja usmjerena je na pojedince visoke vrijednosti, uključujući osnivače, tehničke direktore i više inženjere u sektorima kriptovaluta i Web3. Ove uloge često pružaju pristup kritičnoj infrastrukturi i digitalnoj imovini. U jednom dokumentiranom slučaju, pokušaj napada usmjeren je na osnivača AllSecure.io korištenjem izmišljenog scenarija razgovora za posao.
Kako bi povećali kredibilitet, napadači stvaraju lažne profile tvrtki na LinkedInu i održavaju naizgled legitimne GitHub račune. Dodatne tehnike uključuju korištenje ClickFixa, metode socijalnog inženjeringa koja prikriva isporuku zlonamjernog softvera kao zadatke procjene vještina.
Strateški ciljevi: Više od krađe kriptovaluta
Iako se čini da je krađa kriptovalute primarni motiv, šira namjera proteže se na kompromitiranje lanca opskrbe i korporativnu špijunažu. Infiltracijom u razvojna okruženja, napadači dobivaju prilike za širenje zlonamjernog koda u softverske projekte ili pristup osjetljivim organizacijskim podacima.
Jačanje sigurnosti VS koda
Kao odgovor na zlouporabu VS Code zadataka, Microsoft je uveo ključna sigurnosna poboljšanja:
- Ažuriranje iz siječnja 2026. (verzija 1.109) uvelo je postavku task.allowAutomaticTasks, koja je prema zadanim postavkama onemogućena kako bi se spriječilo automatsko izvršavanje zadataka definiranih u datoteci tasks.json.
- Ovu postavku nije moguće poništiti na razini radnog prostora, što sprječava zlonamjerne repozitorije da zaobiđu korisnički definirane sigurnosne postavke.
- Naknadna ažuriranja, uključujući verziju 1.110 objavljenu u veljači 2026., dodala su sekundarno upozorenje kada se u novootvorenim radnim prostorima otkriju automatski pokrenuti zadaci, čime se pojačava svijest korisnika čak i nakon što je dodijeljeno povjerenje radnog prostora.
Zaključak: Rastuća prijetnja sigurnosti programera
Kampanja StoatWaffle ističe značajnu promjenu u strategiji napadača, fokusirajući se na razvojna okruženja i pouzdane tijekove rada. Kombiniranjem tehničkog iskorištavanja s naprednim društvenim inženjeringom, akteri prijetnji nastavljaju brisati granicu između legitimnih i zlonamjernih aktivnosti, naglašavajući potrebu za pojačanom budnošću tijekom cijelog životnog ciklusa razvoja softvera.
