StoatWaffle ļaunprogrammatūra
Ziemeļkorejas apdraudējumu klasteris, kas izsekots kā Contagious Interview un pazīstams arī kā WaterPlum, ir saistīts ar sarežģītu ļaunprogrammatūru saimi StoatWaffle. Šī kampaņa ir īpaši vērsta pret izstrādātājiem, padarot tos par ieroci ļaunprātīgos Microsoft Visual Studio Code (VS Code) projektos, signalizējot par bīstamu piegādes ķēdes uzbrukumu attīstību programmatūras izstrādes ekosistēmā.
Satura rādītājs
VS koda izmantošana kā ieroča: tasks.json ļaunprātīga izmantošana
Ievērojams jauninājums šajā kampaņā ir VS Code konfigurācijas faila tasks.json izmantošana. Kopš 2025. gada decembra uzbrucēji ir izmantojuši iestatījumu “runOn: folderOpen”, lai automātiski izpildītu ļaunprātīgus uzdevumus ikreiz, kad tiek atvērta projekta mape.
Šī metode nodrošina konsekventu izpildi, neprasot tiešu lietotāja mijiedarbību. Ļaunprātīgais uzdevums izgūst vērtumus no attālinātas tīmekļa lietojumprogrammas, kas atrodas Vercel platformā un darbojas neatkarīgi no pamatā esošās operētājsistēmas. Lai gan analīzes vides bieži koncentrējas uz Windows, uzbrukuma loģika visās platformās saglabājas konsekventa.
Daudzpakāpju lietderīgās slodzes piegāde, izmantojot Node.js
Pēc izpildes ļaunprogrammatūra uzsāk strukturētu, daudzpakāpju inficēšanas procesu:
- Lietderīgā slodze pārbauda, vai Node.js ir instalēts resursdatora sistēmā.
- Ja tāda nav, Node.js tiek lejupielādēts no oficiālā avota un instalēts klusībā.
- Tiek palaists lejupielādētāja komponents, kas periodiski sazinās ar attālo serveri.
- Šis lejupielādētājs izgūst papildu vērtumus, kas tiek izpildīti kā Node.js kods un turpina inficēšanas ķēdi secīgos posmos.
Šī daudzslāņainā pieeja uzlabo noturību un sarežģī atklāšanu ar drošības rīkiem.
StoatWaffle iekšpusē: modulāras ļaunprogrammatūras iespējas
StoatWaffle ir izstrādāts kā modulārs ietvars, kas balstīts uz Node.js, nodrošinot vairāku ļaunprātīgu komponentu elastīgu izvietošanu. Tā galvenie moduļi ietver:
Akreditācijas datu zaglis : Izgūst sensitīvus datus no Chromium bāzes pārlūkprogrammām un Mozilla Firefox, tostarp saglabātos akreditācijas datus un paplašinājumu datus. macOS sistēmās tas ir vērsts arī uz iCloud Keychain datubāzi. Visi ievāktie dati tiek filtrēti uz Command-and-Control (C2) serveri.
Attālās piekļuves Trojas zirgs (RAT) : izveido pastāvīgu saziņu ar C2 serveri, ļaujot uzbrucējiem attālināti izpildīt komandas. Iespējas ietver failu sistēmas navigāciju, komandu izpildi, failu augšupielādi, failu meklēšanu pēc atslēgvārdiem un pašpārtraukšanu.
Uzbrukuma virsmas paplašināšana : atvērtā pirmkoda ekosistēmas izmantošana
Kampaņa atbilst plašākam uzbrukumu modelim, kas vērsts pret atvērtā pirmkoda platformām un izstrādātāju darbplūsmām. Ievērojamākās operācijas ietver:
- PylangGhost, Python bāzes aizmugurējās durvis, izplatīšana, izmantojot ļaunprātīgas npm pakotnes, kas iezīmē tās pirmo novēroto izplatīšanos caur šo kanālu.
- PolinRider kampaņa, kuras laikā simtiem GitHub repozitoriju tika ievadīts apmulsināts JavaScript kods, kā rezultātā tika izvietots atjaunināts BeaverTail ļaunprogrammatūras variants.
- Neutralinojs GitHub organizācijas krātuvju kompromitēšana, nolaupot līdzstrādnieka kontu ar paaugstinātām privilēģijām. Ļaunprātīgs kods tika piespiedu kārtā iespiests, lai izgūtu šifrētus vērtumus, kas iegulti blokķēdes darījumos Tron, Aptos un Binance Smart Chain tīklos.
Šajos scenārijos upuri bieži tika inficēti, izmantojot kompromitētus VS Code paplašinājumus vai ļaunprātīgas npm pakotnes.
Sociālās inženierijas taktika: viltotas intervijas un mērķtiecīga rīcība pret izstrādātājiem
Sākotnējā piekļuve bieži tiek panākta, izmantojot ļoti pārliecinošas vervēšanas krāpniecības. Uzbrucēji simulē likumīgus tehniskos interviju procesus, pārliecinot mērķus izpildīt ļaunprātīgu kodu, kas tiek mitināts tādās platformās kā GitHub, GitLab vai Bitbucket.
Mērķauditorijas atlases stratēģija ir vērsta uz vērtīgām personām, tostarp dibinātājiem, tehnoloģiju direktoriem un vecākajiem inženieriem kriptovalūtu un Web3 sektoros. Šīs lomas bieži vien nodrošina piekļuvi kritiskajai infrastruktūrai un digitālajiem aktīviem. Vienā dokumentētā gadījumā uzbrukuma mēģinājums tika vērsts pret AllSecure.io dibinātāju, izmantojot safabricētu darba intervijas scenāriju.
Lai palielinātu ticamību, uzbrucēji izveido viltotus uzņēmumu profilus vietnē LinkedIn un uztur šķietami likumīgus GitHub kontus. Papildu metodes ietver ClickFix izmantošanu — sociālās inženierijas metodi, kas maskē ļaunprogrammatūras piegādi kā prasmju novērtēšanas uzdevumus.
Stratēģiskie mērķi: vairāk nekā tikai kriptovalūtu zādzības
Lai gan kriptovalūtas zādzība šķiet galvenā motivācija, plašāks nolūks attiecas arī uz piegādes ķēdes kompromitēšanu un korporatīvo spiegošanu. Iefiltrējoties izstrādātāju vidēs, uzbrucēji iegūst iespējas izplatīt ļaunprātīgu kodu lejupējos programmatūras projektos vai piekļūt sensitīviem organizācijas datiem.
VS koda drošības stiprināšana
Reaģējot uz VS Code uzdevumu ļaunprātīgu izmantošanu, Microsoft ieviesa kritiskus drošības uzlabojumus:
- 2026. gada janvāra atjauninājumā (1.109. versija) tika ieviests iestatījums task.allowAutomaticTasks, kas pēc noklusējuma ir atspējots, lai novērstu failā tasks.json definēto uzdevumu automātisku izpildi.
- Šo iestatījumu nevar pārrakstīt darbvietas līmenī, tādējādi novēršot ļaunprātīgu repozitoriju iespēju apiet lietotāja definētās drošības preferences.
- Turpmākajos atjauninājumos, tostarp 2026. gada februārī izlaistajā 1.110 versijā, tika pievienots sekundārs brīdinājuma uzvednes signāls, kad jaunatvērtās darbvietās tiek atklāti automātiski izpildāmi uzdevumi, tādējādi pastiprinot lietotāju informētību pat pēc darbvietas uzticamības piešķiršanas.
Secinājums: pieaugošs drauds izstrādātāju drošībai
StoatWaffle kampaņa izceļ būtiskas uzbrucēju stratēģijas izmaiņas, koncentrējoties uz izstrādes vidēm un uzticamām darbplūsmām. Apvienojot tehnisko izmantošanu ar progresīvu sociālo inženieriju, apdraudējumu izpildītāji turpina sapludināt robežu starp likumīgām un ļaunprātīgām darbībām, uzsverot nepieciešamību pēc pastiprinātas modrības visā programmatūras izstrādes dzīves ciklā.
