មេរោគ StoatWaffle

ចង្កោមគំរាមកំហែងរបស់កូរ៉េខាងជើង ដែលត្រូវបានតាមដានថាជា Contagious Interview និងត្រូវបានគេស្គាល់ផងដែរថាជា WaterPlum ត្រូវបានភ្ជាប់ទៅនឹងក្រុមគ្រួសារមេរោគដ៏ទំនើបមួយឈ្មោះថា StoatWaffle។ យុទ្ធនាការនេះផ្តោតជាពិសេសលើអ្នកអភិវឌ្ឍន៍ដោយប្រើប្រាស់គម្រោង Microsoft Visual Studio Code (VS Code) ដែលមានគំនិតអាក្រក់ ដែលជាសញ្ញានៃការវិវត្តដ៏គ្រោះថ្នាក់នៃការវាយប្រហារខ្សែសង្វាក់ផ្គត់ផ្គង់នៅក្នុងប្រព័ន្ធអេកូឡូស៊ីអភិវឌ្ឍន៍កម្មវិធី។

ការប្រើប្រាស់អាវុធ VS កូដ៖ ការរំលោភបំពាន tasks.json

ការច្នៃប្រឌិតគួរឱ្យកត់សម្គាល់មួយនៅក្នុងយុទ្ធនាការនេះគឺការកេងប្រវ័ញ្ចឯកសារកំណត់រចនាសម្ព័ន្ធ tasks.json របស់ VS Code។ ចាប់តាំងពីខែធ្នូ ឆ្នាំ២០២៥ មក អ្នកវាយប្រហារបានទាញយកអត្ថប្រយោជន៍ពីការកំណត់ 'runOn: folderOpen' ដើម្បីប្រតិបត្តិភារកិច្ចដែលមានគំនិតអាក្រក់ដោយស្វ័យប្រវត្តិនៅពេលណាដែលថតឯកសារគម្រោងត្រូវបានបើក។

បច្ចេកទេសនេះធានានូវការប្រតិបត្តិដែលស៊ីសង្វាក់គ្នាដោយមិនតម្រូវឱ្យមានអន្តរកម្មជាក់លាក់ពីអ្នកប្រើប្រាស់។ ភារកិច្ចព្យាបាទទាញយកបន្ទុកទិន្នន័យពីកម្មវិធីគេហទំព័រពីចម្ងាយដែលបង្ហោះនៅលើ Vercel ដែលដំណើរការដោយឯករាជ្យពីប្រព័ន្ធប្រតិបត្តិការមូលដ្ឋាន។ ទោះបីជាបរិយាកាសវិភាគជារឿយៗផ្តោតលើ Windows ក៏ដោយ តក្កវិជ្ជាវាយប្រហារនៅតែស៊ីសង្វាក់គ្នានៅទូទាំងវេទិកា។

ការដឹកជញ្ជូនបន្ទុកច្រើនដំណាក់កាលតាមរយៈ Node.js

នៅពេលដែលមេរោគត្រូវបានប្រតិបត្តិ មេរោគនឹងចាប់ផ្តើមដំណើរការឆ្លងមេរោគដែលមានរចនាសម្ព័ន្ធច្រើនដំណាក់កាល៖

• payload ផ្ទៀងផ្ទាត់ថាតើ Node.js ត្រូវបានដំឡើងនៅលើប្រព័ន្ធម៉ាស៊ីនឬអត់។
• ប្រសិនបើអវត្តមាន Node.js ត្រូវបានទាញយកពីប្រភពផ្លូវការរបស់វា ហើយដំឡើងដោយស្ងាត់ៗ។
• សមាសភាគ​ទាញយក​មួយ​ត្រូវ​បាន​ដាក់​ឲ្យ​ដំណើរការ ដោយ​ទាក់ទង​ម៉ាស៊ីន​បម្រើ​ពីចម្ងាយ​ជា​ប្រចាំ។
• កម្មវិធីទាញយកកម្មវិធីនេះទាញយក payloads បន្ថែម ដែលដំណើរការជាកូដ Node.js ហើយបន្តខ្សែសង្វាក់ឆ្លងតាមរយៈដំណាក់កាលជាបន្តបន្ទាប់។

វិធីសាស្រ្តស្រទាប់ៗនេះជួយបង្កើនភាពស្ថិតស្ថេរ និងធ្វើឱ្យស្មុគស្មាញដល់ការរកឃើញដោយឧបករណ៍សុវត្ថិភាព។

នៅខាងក្នុង StoatWaffle៖ សមត្ថភាពមេរោគម៉ូឌុល

StoatWaffle ត្រូវបានរចនាឡើងជាក្របខ័ណ្ឌម៉ូឌុលដែលបង្កើតឡើងនៅលើ Node.js ដែលអាចឱ្យមានការពង្រាយសមាសធាតុព្យាបាទច្រើនដែលអាចបត់បែនបាន។ ម៉ូឌុលចម្បងរបស់វារួមមាន៖

កម្មវិធីលួចព័ត៌មានសម្ងាត់ ៖ ស្រង់ទិន្នន័យរសើបចេញពីកម្មវិធីរុករកដែលមានមូលដ្ឋានលើ Chromium និង Mozilla Firefox រួមទាំងព័ត៌មានសម្ងាត់ដែលបានរក្សាទុក និងទិន្នន័យផ្នែកបន្ថែម។ នៅលើប្រព័ន្ធ macOS វាក៏កំណត់គោលដៅមូលដ្ឋានទិន្នន័យ iCloud Keychain ផងដែរ។ ទិន្នន័យដែលប្រមូលបានទាំងអស់ត្រូវបានច្រោះទៅកាន់ម៉ាស៊ីនមេ Command-and-Control (C2)។
មេរោគ Remote Access Trojan (RAT) ៖ បង្កើតការទំនាក់ទំនងជាប់លាប់ជាមួយម៉ាស៊ីនមេ C2 ដែលអនុញ្ញាតឱ្យអ្នកវាយប្រហារប្រតិបត្តិពាក្យបញ្ជាពីចម្ងាយ។ សមត្ថភាពរួមមានការរុករកប្រព័ន្ធឯកសារ ការប្រតិបត្តិពាក្យបញ្ជា ការផ្ទុកឡើងឯកសារ ការស្វែងរកឯកសារដោយផ្អែកលើពាក្យគន្លឹះ និងការបញ្ចប់ដោយខ្លួនឯង។
ការពង្រីកផ្ទៃវាយប្រហារ ៖ ការកេងប្រវ័ញ្ចប្រព័ន្ធអេកូឡូស៊ីប្រភពបើកចំហ

យុទ្ធនាការនេះស្របនឹងគំរូនៃការវាយប្រហារកាន់តែទូលំទូលាយ ដែលផ្តោតលើវេទិកាប្រភពបើកចំហ និងលំហូរការងាររបស់អ្នកអភិវឌ្ឍន៍។ ប្រតិបត្តិការគួរឱ្យកត់សម្គាល់រួមមាន៖

• ការចែកចាយ PylangGhost ដែលជា backdoor ដែលមានមូលដ្ឋានលើ Python តាមរយៈកញ្ចប់ npm ព្យាបាទ ដែលសម្គាល់ការរីករាលដាលដំបូងដែលសង្កេតឃើញតាមរយៈឆានែលនេះ។
• យុទ្ធនាការ PolinRider ដែលបានចាក់ JavaScript ដែលបិទបាំងទៅក្នុងឃ្លាំង GitHub រាប់រយ ដែលនាំឱ្យមានការដាក់ពង្រាយមេរោគ BeaverTail ដែលបានធ្វើបច្ចុប្បន្នភាព។
• ការសម្របសម្រួលឃ្លាំងទិន្នន័យនៅក្នុងអង្គការ GitHub របស់ Neutralinojs ដោយលួចយកគណនីអ្នកចូលរួមដែលមានសិទ្ធិខ្ពស់។ កូដព្យាបាទត្រូវបានបង្ខំឱ្យទាញយកបន្ទុកដែលបានអ៊ិនគ្រីបដែលបានបង្កប់នៅក្នុងប្រតិបត្តិការ blockchain នៅទូទាំងបណ្តាញ Tron, Aptos និង Binance Smart Chain។

ជនរងគ្រោះនៅក្នុងសេណារីយ៉ូទាំងនេះច្រើនតែឆ្លងមេរោគតាមរយៈផ្នែកបន្ថែម VS Code ដែលសម្របសម្រួល ឬកញ្ចប់ npm ព្យាបាទ។

យុទ្ធសាស្ត្រវិស្វកម្មសង្គម៖ ការសម្ភាសន៍ក្លែងក្លាយ និងការកំណត់គោលដៅអ្នកអភិវឌ្ឍន៍

ការចូលប្រើប្រាស់ដំបូងត្រូវបានសម្រេចជាញឹកញាប់តាមរយៈការឆបោកជ្រើសរើសបុគ្គលិកដែលគួរឱ្យជឿជាក់ខ្ពស់។ អ្នកវាយប្រហារធ្វើត្រាប់តាមដំណើរការសម្ភាសន៍បច្ចេកទេសស្របច្បាប់ ដោយបញ្ចុះបញ្ចូលគោលដៅឱ្យប្រតិបត្តិកូដព្យាបាទដែលបង្ហោះនៅលើវេទិកាដូចជា GitHub, GitLab ឬ Bitbucket។

យុទ្ធសាស្ត្រកំណត់គោលដៅផ្តោតលើបុគ្គលដែលមានតម្លៃខ្ពស់ រួមទាំងស្ថាបនិក នាយកបច្ចេកវិទ្យាព័ត៌មាន និងវិស្វករជាន់ខ្ពស់ក្នុងវិស័យរូបិយប័ណ្ណឌីជីថល និង Web3។ តួនាទីទាំងនេះច្រើនតែផ្តល់សិទ្ធិចូលប្រើប្រាស់ហេដ្ឋារចនាសម្ព័ន្ធ និងទ្រព្យសកម្មឌីជីថលសំខាន់ៗ។ ក្នុងករណីមួយដែលមានឯកសារ ការប៉ុនប៉ងវាយប្រហារមួយបានកំណត់គោលដៅលើស្ថាបនិក AllSecure.io ដោយប្រើសេណារីយ៉ូសម្ភាសន៍ការងារដែលប្រឌិតឡើង។

ដើម្បីបង្កើនភាពជឿជាក់ អ្នកវាយប្រហារបង្កើតប្រវត្តិរូបក្រុមហ៊ុនក្លែងក្លាយនៅលើ LinkedIn ហើយរក្សាគណនី GitHub ដែលហាក់ដូចជាស្របច្បាប់។ បច្ចេកទេសបន្ថែមរួមមានការប្រើប្រាស់ ClickFix ដែលជាវិធីសាស្ត្រវិស្វកម្មសង្គមដែលក្លែងបន្លំការចែកចាយមេរោគជាកិច្ចការវាយតម្លៃជំនាញ។

គោលបំណងយុទ្ធសាស្ត្រ៖ លើសពីការលួចរូបិយប័ណ្ណឌីជីថល

ទោះបីជាការលួចរូបិយប័ណ្ណគ្រីបតូហាក់ដូចជាការលើកទឹកចិត្តចម្បងក៏ដោយ ចេតនាទូលំទូលាយពង្រីកដល់ការសម្របសម្រួលខ្សែសង្វាក់ផ្គត់ផ្គង់ និងចារកម្មសាជីវកម្ម។ តាមរយៈការជ្រៀតចូលទៅក្នុងបរិយាកាសអ្នកអភិវឌ្ឍន៍ អ្នកវាយប្រហារទទួលបានឱកាសដើម្បីផ្សព្វផ្សាយកូដព្យាបាទទៅក្នុងគម្រោងកម្មវិធីខាងក្រោម ឬចូលប្រើទិន្នន័យអង្គការដ៏រសើប។

ការពង្រឹងសុវត្ថិភាពកូដ VS

ដើម្បីឆ្លើយតបទៅនឹងការរំលោភបំពានលើភារកិច្ច VS Code ក្រុមហ៊ុន Microsoft បានណែនាំការបង្កើនសុវត្ថិភាពសំខាន់ៗ៖

• ការអាប់ដេតខែមករា ឆ្នាំ២០២៦ (កំណែ ១.១០៩) បានណែនាំការកំណត់ task.allowAutomaticTasks ដែលត្រូវបានបិទតាមលំនាំដើម ដើម្បីការពារការប្រតិបត្តិភារកិច្ចដោយស្វ័យប្រវត្តិដែលបានកំណត់នៅក្នុង tasks.json។
• ការកំណត់នេះមិនអាចត្រូវបានបដិសេធនៅកម្រិតកន្លែងធ្វើការបានទេ ដែលការពារឃ្លាំងផ្ទុកមេរោគពីការរំលងចំណូលចិត្តសុវត្ថិភាពដែលកំណត់ដោយអ្នកប្រើប្រាស់។
• ការអាប់ដេតជាបន្តបន្ទាប់ រួមទាំងកំណែ 1.110 ដែលចេញផ្សាយក្នុងខែកុម្ភៈ ឆ្នាំ 2026 បានបន្ថែមការព្រមានបន្ទាប់បន្សំ នៅពេលដែលភារកិច្ចដំណើរការដោយស្វ័យប្រវត្តិត្រូវបានរកឃើញនៅក្នុងកន្លែងធ្វើការដែលទើបបើកថ្មី ដែលពង្រឹងការយល់ដឹងរបស់អ្នកប្រើប្រាស់ សូម្បីតែបន្ទាប់ពី Workspace Trust ត្រូវបានផ្តល់ឱ្យក៏ដោយ។

សេចក្តីសន្និដ្ឋាន៖ ការគំរាមកំហែងកាន់តែខ្លាំងឡើងចំពោះសុវត្ថិភាពអ្នកអភិវឌ្ឍន៍

យុទ្ធនាការ StoatWaffle បានបង្ហាញពីការផ្លាស់ប្តូរដ៏សំខាន់មួយនៅក្នុងយុទ្ធសាស្ត្ររបស់អ្នកវាយប្រហារ ដោយផ្តោតលើបរិយាកាសអភិវឌ្ឍន៍ និងលំហូរការងារដែលអាចទុកចិត្តបាន។ តាមរយៈការរួមបញ្ចូលការកេងប្រវ័ញ្ចបច្ចេកទេសជាមួយនឹងវិស្វកម្មសង្គមកម្រិតខ្ពស់ អ្នកគំរាមកំហែងនៅតែបន្តធ្វើឱ្យព្រិលៗរវាងសកម្មភាពស្របច្បាប់ និងសកម្មភាពព្យាបាទ ដោយសង្កត់ធ្ងន់លើតម្រូវការសម្រាប់ការប្រុងប្រយ័ត្នខ្ពស់នៅទូទាំងវដ្តជីវិតអភិវឌ្ឍន៍កម្មវិធី។