Több licencre vonatkozó kedvezményes árajánlat
Veszély-adatbázis Malware StoatWaffle kártevő

StoatWaffle kártevő

Mezo -ra Malware, Advanced Persistent Threat (APT)-ben
Fordítás ide:

Egy észak-koreai fenyegetési klasztert, amelyet Contagious Interview néven, más néven WaterPlumként azonosítottak, egy kifinomult StoatWaffle nevű kártevőcsaládhoz kötöttek. Ez a kampány kifejezetten a fejlesztőket veszi célba rosszindulatú Microsoft Visual Studio Code (VS Code) projektek fegyverként való felhasználásával, ami a szoftverfejlesztési ökoszisztémán belüli ellátási lánc támadások veszélyes fejlődését jelzi.

VS Code fegyverként való használata: A tasks.json visszaélése

A kampány egyik figyelemre méltó újítása a VS Code tasks.json konfigurációs fájljának kihasználása. 2025 decembere óta a támadók a „runOn: folderOpen” beállítást használják ki a rosszindulatú feladatok automatikus végrehajtására, valahányszor egy projektmappát megnyitnak.

Ez a technika konzisztens végrehajtást biztosít anélkül, hogy explicit felhasználói beavatkozást igényelne. A rosszindulatú feladat egy távoli, Vercelen futtatott webes alkalmazásból kér le hasznos adatokat, amely az alapul szolgáló operációs rendszertől függetlenül működik. Bár az elemzési környezetek gyakran a Windowsra összpontosítanak, a támadási logika platformonként konzisztens marad.

Többlépcsős hasznos teher kézbesítése Node.js-en keresztül

A végrehajtás után a rosszindulatú program egy strukturált, többlépcsős fertőzési folyamatot indít el:

  • A hasznos adat ellenőrzi, hogy a Node.js telepítve van-e a gazdagépen.
  • Ha hiányzik, a Node.js a hivatalos forrásból töltődik le és csendes módon települ.
  • Egy letöltő komponens elindul, és rendszeresen kapcsolatba lép egy távoli szerverrel.
  • Ez a letöltő további hasznos adatokat kér le, amelyek Node.js kódként futnak, és folytatják a fertőzési láncot egymást követő szakaszokon keresztül.

Ez a rétegzett megközelítés fokozza a támadások tartósságát, és bonyolítja a biztonsági eszközök általi észlelést.

A StoatWaffle belsejében: Moduláris kártevő-képességek

A StoatWaffle egy Node.js-re épülő moduláris keretrendszerként lett tervezve, amely lehetővé teszi több rosszindulatú komponens rugalmas telepítését. Fő moduljai a következők:

Hitelesítőadat-lopó : Érzékeny adatokat nyer ki a Chromium-alapú böngészőkből és a Mozilla Firefoxból, beleértve a mentett hitelesítő adatokat és a bővítményadatokat. macOS rendszereken az iCloud kulcstartó adatbázisát is célba veszi. Az összes begyűjtött adatot egy Command-and-Control (C2) szerverre szivárogtatja ki.
Távoli hozzáférésű trójai (RAT) : Állandó kommunikációt létesít a C2 szerverrel, lehetővé téve a támadók számára, hogy távolról hajtsanak végre parancsokat. A képességek közé tartozik a fájlrendszer-navigáció, a parancsok végrehajtása, a fájlok feltöltése, a kulcsszóalapú fájlkeresés és az önkilépés.
A támadási felület kiterjesztése : nyílt forráskódú ökoszisztéma-kiaknázás

A kampány a nyílt forráskódú platformokat és a fejlesztői munkafolyamatokat célzó támadások szélesebb körű mintázatához igazodik. A figyelemre méltó műveletek a következők:

  • A PylangGhost, egy Python-alapú hátsó ajtó terjesztése rosszindulatú npm csomagokon keresztül, ez az első megfigyelt terjedése ezen a csatornán.
  • A PolinRider kampány, amely obfuszkált JavaScript kódot injektált több száz GitHub adattárba, ami egy frissített BeaverTail rosszindulatú program variáns telepítéséhez vezetett.
  • A Neutralinojs GitHub szervezetén belüli adattárak feltörése egy megemelt jogosultságokkal rendelkező közreműködői fiók eltérítésével. Rosszindulatú kódot kényszerítettek ki a Tron, Aptos és Binance Smart Chain hálózatokon keresztüli blokklánc-tranzakciókba ágyazott titkosított hasznos adatok lekérésére.

Ezekben a forgatókönyvekben az áldozatok gyakran feltört VS Code-bővítményeken vagy rosszindulatú npm-csomagokon keresztül fertőződtek meg.

Szociális manipuláció taktikáin keresztül: hamis interjúk és fejlesztők célba vétele

A kezdeti hozzáférést gyakran rendkívül meggyőző toborzási csalások révén érik el. A támadók legitim technikai interjúfolyamatokat szimulálnak, és ráveszik a célpontokat, hogy rosszindulatú kódot futtassanak olyan platformokon, mint a GitHub, a GitLab vagy a Bitbucket.

A célzási stratégia a magas értékű egyénekre összpontosít, beleértve az alapítókat, a technológiai igazgatókat és a kriptovaluta és a Web3 szektorok vezető mérnökeit. Ezek a szerepkörök gyakran hozzáférést biztosítanak a kritikus infrastruktúrához és a digitális eszközökhöz. Egy dokumentált esetben egy támadási kísérlet az AllSecure.io alapítóját vette célba egy kitalált állásinterjú-forgatókönyv felhasználásával.

A hitelesség növelése érdekében a támadók hamis céges profilokat hoznak létre a LinkedIn-en, és látszólag legitim GitHub-fiókokat tartanak fenn. További technikák közé tartozik a ClickFix használata, egy olyan pszichológiai manipulációs módszer, amely a rosszindulatú programok kézbesítését készségfelmérési feladatokként álcázza.

Stratégiai célok: A kriptovaluta-lopáson túl

Bár a kriptovaluta-lopás tűnik az elsődleges motivációnak, a tágabb szándék kiterjed az ellátási lánc feltörésére és a vállalati kémkedésre is. A fejlesztői környezetekbe való beszivárgással a támadók lehetőséget kapnak arra, hogy rosszindulatú kódot terjesszenek a downstream szoftverprojektekbe, vagy hozzáférjenek az érzékeny szervezeti adatokhoz.

A VS Code biztonságának megerősítése

A VS Code feladatok visszaéléseire válaszul a Microsoft kritikus biztonsági fejlesztéseket vezetett be:

  • A 2026. januári frissítés (1.109-es verzió) bevezette a task.allowAutomaticTasks beállítást, amely alapértelmezés szerint le van tiltva a tasks.json fájlban definiált feladatok automatikus végrehajtásának megakadályozása érdekében.
  • Ez a beállítás nem írható felül a munkaterület szintjén, így megakadályozható, hogy a rosszindulatú adattárak megkerüljék a felhasználó által meghatározott biztonsági beállításokat.
  • A későbbi frissítések, beleértve a 2026 februárjában kiadott 1.110-es verziót is, egy másodlagos figyelmeztető ablakot adtak hozzá, amikor automatikusan futó feladatokat észlelnek az újonnan megnyitott munkaterületeken, fokozva a felhasználók tudatosságát még a Munkaterület Megbízhatóságának megadása után is.

Következtetés: Egyre növekvő fenyegetés a fejlesztők biztonságára

A StoatWaffle kampány jelentős változást mutat a támadói stratégiában, amely a fejlesztői környezetekre és a megbízható munkafolyamatokra összpontosít. A technikai kizsákmányolás és a fejlett társadalmi manipuláció kombinálásával a fenyegető szereplők továbbra is elmossák a határvonalat a legitim és a rosszindulatú tevékenységek között, hangsúlyozva a fokozott éberség szükségességét a szoftverfejlesztési életciklus során.

Felkapott

UNC4899 Felhőalapú kompromittálódási kampány

Advanced Persistent Threat (APT)
Egy 2025-ös kifinomult kibertámadást az észak-koreai UNC4899 nevű fenyegetéssorozathoz kötnek, amely csoportot azzal gyanúsítanak, hogy nagyszabású kriptovaluta-szervezet elleni behatolást szervezett, ami több millió dollár értékű digitális eszköz ellopásához vezetett. A kampányt mérsékelt bizalommal tulajdonítják ennek az államilag támogatott ellenfélnek, amelyet több más néven is nyomon...

Visszaterhelési számlával kapcsolatos e-mailes csalás

Adathalászat, Spam
A váratlan e-maileket, különösen azokat, amelyekben a címzetteket számlák áttekintésére, fizetések megerősítésére vagy mellékletek megnyitására szólítják fel, mindig óvatosan kell kezelni. A kiberbűnözők gyakran kihasználják a kíváncsiságot és a sürgősséget, hogy manipulálják a felhasználókat, és így bizalmas információkat osszanak meg róluk. Erre példa a visszaterheléses számla e-mailes...

Legnézettebb

Betöltés...