„StoatWaffle“ kenkėjiška programa
Šiaurės Korėjos grėsmių grupė, vadinama „Contagious Interview“ ir dar žinoma kaip „WaterPlum“, buvo susieta su sudėtinga kenkėjiškų programų šeima, vadinama „StoatWaffle“. Ši kampanija konkrečiai nukreipta prieš kūrėjus, paverčiant kenkėjiškus „Microsoft Visual Studio Code“ (VS Code) projektus ginklu, ir tai rodo pavojingą tiekimo grandinės atakų evoliuciją programinės įrangos kūrimo ekosistemoje.
Turinys
VS kodo pavertimas ginklu: tasks.json piktnaudžiavimas
Pastebima šios kampanijos naujovė – „VS Code“ konfigūracijos failo „tasks.json“ išnaudojimas. Nuo 2025 m. gruodžio mėn. užpuolikai naudoja nustatymą „runOn: folderOpen“, kad automatiškai vykdytų kenkėjiškas užduotis kiekvieną kartą atidarant projekto aplanką.
Ši technika užtikrina nuoseklų vykdymą nereikalaujant aiškaus vartotojo įsikišimo. Kenkėjiška užduotis nuskaito naudingąją apkrovą iš nuotolinės žiniatinklio programos, talpinamos „Vercel“ sistemoje, veikiančios nepriklausomai nuo pagrindinės operacinės sistemos. Nors analizės aplinkos dažnai sutelktos į „Windows“, atakos logika išlieka nuosekli visose platformose.
Daugiapakopis naudingosios apkrovos pristatymas per Node.js
Kai kenkėjiška programa yra paleista, ji pradeda struktūrizuotą, daugiapakopį užkrėtimo procesą:
- Naudingoji apkrova patikrina, ar „Node.js“ įdiegta pagrindinėje sistemoje.
- Jei nėra, „Node.js“ atsisiunčiamas iš oficialaus šaltinio ir įdiegiamas tyliai.
- Paleidžiamas atsisiuntimo komponentas, kuris periodiškai susisiekia su nuotoliniu serveriu.
- Šis atsisiuntėjas nuskaito papildomus naudinguosius duomenis, kurie vykdomi kaip „Node.js“ kodas ir tęsia užkrėtimo grandinę per nuoseklius etapus.
Šis daugiasluoksnis metodas padidina duomenų tvarumą ir apsunkina aptikimą naudojant saugos priemones.
„StoatWaffle“ viduje: modulinės kenkėjiškų programų galimybės
„StoatWaffle“ yra sukurtas kaip modulinė sistema, paremta „Node.js“, leidžianti lanksčiai diegti kelis kenkėjiškus komponentus. Pagrindiniai jos moduliai apima:
Kredencialų vagystė : iš „Chromium“ pagrindu sukurtų naršyklių ir „Mozilla Firefox“ išgauna neskelbtinus duomenis, įskaitant išsaugotus kredencialus ir plėtinių duomenis. „macOS“ sistemose ji taip pat taikosi į „iCloud Keychain“ duomenų bazę. Visi surinkti duomenys yra filtruojami į „Command-and-Control“ (C2) serverį.
Nuotolinės prieigos Trojos arklys (RAT) : užmezga nuolatinį ryšį su C2 serveriu, leisdamas užpuolikams nuotoliniu būdu vykdyti komandas. Galimybės apima failų sistemos naršymą, komandų vykdymą, failų įkėlimą, failų paiešką pagal raktinius žodžius ir savaiminį sistemos užbaigimą.
Atakos paviršiaus išplėtimas : atvirojo kodo ekosistemos išnaudojimas
Ši kampanija atitinka platesnį atakų, nukreiptų prieš atvirojo kodo platformas ir kūrėjų darbo eigą, modelį. Svarbiausios operacijos apima:
- „PylangGhost“, „Python“ pagrindu sukurtos galinės durys, platinimas per kenkėjiškus npm paketus, žymintis pirmąjį pastebėtą jos plitimą šiuo kanalu.
- „PolinRider“ kampanija, kurios metu į šimtus „GitHub“ saugyklų buvo įterptas užmaskuotas „JavaScript“ kodas, dėl kurio buvo įdiegtas atnaujintas „BeaverTail“ kenkėjiškos programos variantas.
- „Neutralinojs GitHub“ organizacijos saugyklų pažeidimas užgrobus bendraautorio paskyrą su padidintomis teisėmis. Kenkėjiškas kodas buvo priverstinai įkeltas, siekiant gauti užšifruotus naudinguosius duomenis, įterptus į blokų grandinės operacijas „Tron“, „Aptos“ ir „Binance Smart Chain“ tinkluose.
Šių scenarijų aukos dažnai buvo užkrėstos per pažeistus VS Code plėtinius arba kenkėjiškus npm paketus.
Socialinės inžinerijos taktika: netikri interviu ir kūrėjų taikinys
Pradinė prieiga dažnai gaunama per labai įtikinamas įdarbinimo aferas. Užpuolikai imituoja teisėtus techninius pokalbių procesus, įtikindami taikinius vykdyti kenkėjišką kodą, esantį tokiose platformose kaip „GitHub“, „GitLab“ ar „Bitbucket“.
Taikymosi strategija orientuota į vertingus asmenis, įskaitant įkūrėjus, technologijų vadovus ir vyresniuosius inžinierius kriptovaliutų ir Web3 sektoriuose. Šios pareigos dažnai suteikia prieigą prie kritinės infrastruktūros ir skaitmeninio turto. Vienu dokumentuotu atveju bandymas įvykdyti ataką buvo nukreiptas prieš „AllSecure.io“ įkūrėją, naudojant sufabrikuotą darbo pokalbio scenarijų.
Siekdami padidinti patikimumą, užpuolikai kuria netikrus įmonių profilius „LinkedIn“ tinkle ir palaiko iš pažiūros teisėtas „GitHub“ paskyras. Papildomi metodai apima „ClickFix“ – socialinės inžinerijos metodo, kuris užmaskuoja kenkėjiškų programų pristatymą kaip įgūdžių vertinimo užduotis, naudojimą.
Strateginiai tikslai: daugiau nei kriptovaliutų vagystės
Nors kriptovaliutų vagystė atrodo esanti pagrindinė motyvacija, platesnis ketinimas apima tiekimo grandinės pažeidimus ir įmonių šnipinėjimą. Įsiskverbdami į kūrėjų aplinkas, užpuolikai gauna galimybių platinti kenkėjišką kodą į programinės įrangos projektus arba pasiekti jautrius organizacijos duomenis.
VS kodo saugumo stiprinimas
Reaguodama į piktnaudžiavimą VS Code užduotimis, „Microsoft“ pristatė svarbius saugumo patobulinimus:
- 2026 m. sausio mėn. atnaujinime (1.109 versija) buvo pristatytas nustatymas „task.allowAutomaticTasks“, kuris pagal numatytuosius nustatymus yra išjungtas, kad būtų išvengta automatinio užduočių, apibrėžtų faile „tasks.json“, vykdymo.
- Šio nustatymo negalima pakeisti darbo srities lygmeniu, taip išvengiant kenkėjiškų saugyklų apėjimo naudojant vartotojo apibrėžtas saugos nuostatas.
- Vėlesniuose atnaujinimuose, įskaitant 2026 m. vasario mėn. išleistą 1.110 versiją, buvo pridėtas antrinis įspėjimo raginimas, kai naujai atidarytose darbo srityse aptinkamos automatiškai vykdomos užduotys, taip sustiprinant naudotojų informuotumą net ir suteikus darbo srities pasitikėjimą.
Išvada: didėjanti grėsmė kūrėjų saugumui
„StoatWaffle“ kampanija pabrėžia reikšmingą užpuolikų strategijos pokytį, daugiausia dėmesio skiriant kūrimo aplinkoms ir patikimiems darbo eigoms. Derindami techninį išnaudojimą su pažangia socialine inžinerija, grėsmių kūrėjai ir toliau naikina ribą tarp teisėtos ir kenkėjiškos veiklos, pabrėždami didesnio budrumo poreikį visame programinės įrangos kūrimo gyvavimo cikle.
