Preventivo sconto multi-licenza
Database delle minacce Malware Malware StoatWaffle

Malware StoatWaffle

Entro Mezo nel Malware, Minaccia persistente avanzata (APT)
Traduci in:

Un gruppo di minacce nordcoreane, noto come Contagious Interview e anche come WaterPlum, è stato collegato a una sofisticata famiglia di malware chiamata StoatWaffle. Questa campagna prende di mira specificamente gli sviluppatori, sfruttando progetti Microsoft Visual Studio Code (VS Code) dannosi, segnalando una pericolosa evoluzione negli attacchi alla catena di fornitura all'interno dell'ecosistema di sviluppo software.

L’uso improprio di VS Code: l’abuso di tasks.json

Una novità degna di nota in questa campagna è lo sfruttamento del file di configurazione tasks.json di VS Code. Da dicembre 2025, gli aggressori hanno sfruttato l'impostazione 'runOn: folderOpen' per eseguire automaticamente attività dannose ogni volta che viene aperta una cartella di progetto.

Questa tecnica garantisce un'esecuzione coerente senza richiedere un'interazione esplicita da parte dell'utente. L'attività dannosa recupera i payload da un'applicazione web remota ospitata su Vercel, operando indipendentemente dal sistema operativo sottostante. Sebbene gli ambienti di analisi si concentrino spesso su Windows, la logica dell'attacco rimane coerente su tutte le piattaforme.

Consegna del payload in più fasi tramite Node.js

Una volta eseguito, il malware avvia un processo di infezione strutturato e a più fasi:

  • Il payload verifica se Node.js è installato sul sistema host.
  • Se non presente, Node.js viene scaricato dalla sua fonte ufficiale e installato in modalità silenziosa.
  • Viene avviato un componente di download che si connette periodicamente a un server remoto.
  • Questo programma di download scarica payload aggiuntivi, che vengono eseguiti come codice Node.js e continuano la catena di infezione attraverso le fasi successive.

Questo approccio a più livelli aumenta la persistenza e complica il rilevamento da parte degli strumenti di sicurezza.

All’interno di StoatWaffle: funzionalità modulari per la gestione dei malware.

StoatWaffle è progettato come un framework modulare basato su Node.js, che consente la distribuzione flessibile di più componenti dannosi. I suoi moduli principali includono:

Credential Stealer : estrae dati sensibili dai browser basati su Chromium e da Mozilla Firefox, incluse le credenziali salvate e i dati delle estensioni. Sui sistemi macOS, prende di mira anche il database del Portachiavi iCloud. Tutti i dati raccolti vengono esfiltrati verso un server di comando e controllo (C2).
Trojan di accesso remoto (RAT) : stabilisce una comunicazione persistente con il server C2, consentendo agli aggressori di eseguire comandi da remoto. Le funzionalità includono la navigazione nel file system, l'esecuzione di comandi, il caricamento di file, la ricerca di file basata su parole chiave e l'autoterminazione.
Ampliare la superficie di attacco : lo sfruttamento dell'ecosistema open-source

La campagna si inserisce in un più ampio schema di attacchi che prendono di mira le piattaforme open source e i flussi di lavoro degli sviluppatori. Tra le operazioni più rilevanti si annoverano:

  • Distribuzione di PylangGhost, una backdoor basata su Python, tramite pacchetti npm dannosi, segnando la sua prima propagazione osservata attraverso questo canale.
  • La campagna PolinRider, che ha iniettato codice JavaScript offuscato in centinaia di repository GitHub, ha portato alla diffusione di una variante aggiornata del malware BeaverTail.
  • Compromissione dei repository all'interno dell'organizzazione Neutralinojs su GitHub tramite il dirottamento di un account collaboratore con privilegi elevati. Codice dannoso è stato forzatamente inserito per recuperare payload crittografati incorporati in transazioni blockchain sulle reti Tron, Aptos e Binance Smart Chain.

In questi casi, le vittime venivano spesso infettate tramite estensioni di VS Code compromesse o pacchetti npm dannosi.

Tattiche di ingegneria sociale: finte interviste e targeting degli sviluppatori

L'accesso iniziale viene spesso ottenuto tramite truffe di reclutamento estremamente convincenti. Gli aggressori simulano legittimi processi di colloquio tecnico, persuadendo le vittime a eseguire codice dannoso ospitato su piattaforme come GitHub, GitLab o Bitbucket.

La strategia di targeting si concentra su individui di alto profilo, tra cui fondatori, CTO e ingegneri senior nei settori delle criptovalute e del Web3. Questi ruoli spesso garantiscono l'accesso a infrastrutture critiche e risorse digitali. In un caso documentato, un tentativo di attacco ha preso di mira il fondatore di AllSecure.io utilizzando una simulazione di colloquio di lavoro.

Per accrescere la propria credibilità, gli aggressori creano profili aziendali falsi su LinkedIn e mantengono account GitHub apparentemente legittimi. Ulteriori tecniche includono l'utilizzo di ClickFix, un metodo di ingegneria sociale che maschera la diffusione di malware come test di valutazione delle competenze.

Obiettivi strategici: oltre il furto di criptovalute

Sebbene il furto di criptovalute sembri essere la motivazione principale, l'intento più ampio si estende alla compromissione della catena di approvvigionamento e allo spionaggio industriale. Infiltrandosi negli ambienti di sviluppo, gli aggressori ottengono l'opportunità di diffondere codice dannoso in progetti software successivi o di accedere a dati aziendali sensibili.

Rafforzamento della sicurezza del codice VS

In risposta all'abuso delle attività di VS Code, Microsoft ha introdotto importanti miglioramenti alla sicurezza:

  • L'aggiornamento di gennaio 2026 (versione 1.109) ha introdotto l'impostazione task.allowAutomaticTasks, che è disabilitata per impostazione predefinita per impedire l'esecuzione automatica delle attività definite in tasks.json.
  • Questa impostazione non può essere sovrascritta a livello di area di lavoro, impedendo così ai repository dannosi di aggirare le preferenze di sicurezza definite dall'utente.
  • Gli aggiornamenti successivi, inclusa la versione 1.110 rilasciata nel febbraio 2026, hanno aggiunto un secondo avviso quando vengono rilevate attività ad esecuzione automatica in aree di lavoro appena aperte, rafforzando la consapevolezza dell'utente anche dopo che è stata concessa l'autorizzazione di accesso all'area di lavoro.

Conclusione: una minaccia crescente per la sicurezza degli sviluppatori

La campagna StoatWaffle mette in luce un cambiamento significativo nella strategia degli aggressori, che si concentrano sugli ambienti di sviluppo e sui flussi di lavoro affidabili. Combinando lo sfruttamento tecnico con tecniche avanzate di ingegneria sociale, gli autori delle minacce continuano a confondere il confine tra attività legittime e attività dannose, sottolineando la necessità di una maggiore vigilanza lungo tutto il ciclo di vita dello sviluppo del software.

Tendenza

I più visti

Caricamento in corso...