Sebut Harga Diskaun Berbilang Lesen
Pangkalan Data Ancaman perisian hasad Perisian Hasad StoatWaffle

Perisian Hasad StoatWaffle

Menjelang Mezo pada perisian hasad, Ancaman Berterusan Lanjutan (APT)
Terjemahkan ke

Kelompok ancaman Korea Utara, yang dikesan sebagai Contagious Interview dan juga dikenali sebagai WaterPlum, telah dikaitkan dengan keluarga perisian hasad canggih yang dipanggil StoatWaffle. Kempen ini secara khusus menyasarkan pembangun dengan menjadikan projek Microsoft Visual Studio Code (VS Code) yang berniat jahat sebagai senjata, menandakan evolusi berbahaya dalam serangan rantaian bekalan dalam ekosistem pembangunan perisian.

Mempersenjatai Kod VS: Penyalahgunaan task.json

Satu inovasi penting dalam kempen ini ialah eksploitasi fail konfigurasi task.json VS Code. Sejak Disember 2025, penyerang telah memanfaatkan tetapan 'runOn: folderOpen' untuk melaksanakan tugas berniat jahat secara automatik setiap kali folder projek dibuka.

Teknik ini memastikan pelaksanaan yang konsisten tanpa memerlukan interaksi pengguna yang eksplisit. Tugas berniat jahat ini mengambil muatan daripada aplikasi web jauh yang dihoskan pada Vercel, yang beroperasi secara bebas daripada sistem pengendalian asas. Walaupun persekitaran analisis sering tertumpu pada Windows, logik serangan kekal konsisten merentasi platform.

Penghantaran Muatan Berbilang Peringkat melalui Node.js

Sebaik sahaja dilaksanakan, perisian hasad akan memulakan proses jangkitan berstruktur dan berbilang peringkat:

  • Muatan mengesahkan sama ada Node.js dipasang pada sistem hos.
  • Jika tiada, Node.js dimuat turun daripada sumber rasminya dan dipasang secara senyap.
  • Komponen pemuat turun dilancarkan, menghubungi pelayan jauh secara berkala.
  • Pemuat turun ini mengambil muatan tambahan, yang dilaksanakan sebagai kod Node.js dan meneruskan rantaian jangkitan melalui peringkat berturut-turut.

Pendekatan berlapis ini meningkatkan kegigihan dan merumitkan pengesanan oleh alat keselamatan.

Di Dalam StoatWaffle: Keupayaan Perisian Hasad Modular

StoatWaffle direka bentuk sebagai rangka kerja modular yang dibina di atas Node.js, yang membolehkan penggunaan fleksibel pelbagai komponen berniat jahat. Modul utamanya termasuk:

Pencuri Kredensial : Mengekstrak data sensitif daripada pelayar berasaskan Chromium dan Mozilla Firefox, termasuk kredensial yang disimpan dan data sambungan. Pada sistem macOS, ia juga menyasarkan pangkalan data Rantai Kunci iCloud. Semua data yang dikumpulkan akan diasingkan ke pelayan Perintah dan Kawalan (C2).
Trojan Akses Jauh (RAT) : Mewujudkan komunikasi berterusan dengan pelayan C2, membolehkan penyerang melaksanakan arahan dari jauh. Keupayaan termasuk navigasi sistem fail, pelaksanaan arahan, muat naik fail, carian fail berasaskan kata kunci dan penamatan kendiri.
Memperluas Permukaan Serangan : Eksploitasi Ekosistem Sumber Terbuka

Kempen ini sejajar dengan corak serangan yang lebih luas yang menyasarkan platform sumber terbuka dan aliran kerja pembangun. Operasi penting termasuk:

  • Pengedaran PylangGhost, pintu belakang berasaskan Python, melalui pakej npm berniat jahat, menandakan penyebaran pertamanya yang diperhatikan melalui saluran ini.
  • Kempen PolinRider, yang menyuntik JavaScript yang dikaburkan ke dalam ratusan repositori GitHub, yang membawa kepada penggunaan varian malware BeaverTail yang dikemas kini.
  • Kompromi repositori dalam organisasi Neutralinojs GitHub dengan merampas akaun penyumbang dengan keistimewaan yang tinggi. Kod berniat jahat telah dipaksa untuk mendapatkan muatan yang disulitkan yang terbenam dalam transaksi blockchain merentasi rangkaian Tron, Aptos dan Binance Smart Chain.

Mangsa dalam senario ini sering dijangkiti melalui sambungan Kod VS yang dikompromi atau pakej npm yang berniat jahat.

Taktik Kejuruteraan Sosial: Temu Bual Palsu dan Penyasaran Pembangun

Akses awal sering dicapai melalui penipuan pengambilan pekerja yang sangat meyakinkan. Penyerang mensimulasikan proses temu duga teknikal yang sah, memujuk sasaran untuk melaksanakan kod berniat jahat yang dihoskan pada platform seperti GitHub, GitLab atau Bitbucket.

Strategi penyasaran memberi tumpuan kepada individu bernilai tinggi, termasuk pengasas, CTO dan jurutera kanan dalam sektor mata wang kripto dan Web3. Peranan ini selalunya menyediakan akses kepada infrastruktur kritikal dan aset digital. Dalam satu kes yang didokumenkan, percubaan serangan menyasarkan pengasas AllSecure.io menggunakan senario temu duga kerja yang direka-reka.

Untuk meningkatkan kredibiliti, penyerang mencipta profil syarikat palsu di LinkedIn dan mengekalkan akaun GitHub yang nampaknya sah. Teknik tambahan termasuk penggunaan ClickFix, kaedah kejuruteraan sosial yang menyamar sebagai penyampaian perisian hasad sebagai tugas penilaian kemahiran.

Objektif Strategik: Melangkaui Kecurian Mata Wang Kripto

Walaupun kecurian mata wang kripto nampaknya merupakan motivasi utama, niat yang lebih luas meliputi kompromi rantaian bekalan dan pengintipan korporat. Dengan menyusup masuk ke persekitaran pembangun, penyerang mendapat peluang untuk menyebarkan kod berniat jahat ke dalam projek perisian hiliran atau mengakses data organisasi yang sensitif.

Memperkukuhkan Keselamatan Kod VS

Sebagai tindak balas terhadap penyalahgunaan tugasan VS Code, Microsoft memperkenalkan peningkatan keselamatan yang kritikal:

  • Kemas kini Januari 2026 (versi 1.109) memperkenalkan tetapan task.allowAutomaticTasks, yang dinyahdayakan secara lalai untuk menghalang pelaksanaan automatik tugasan yang ditakrifkan dalam task.json.
  • Tetapan ini tidak boleh diatasi pada peringkat ruang kerja, menghalang repositori berniat jahat daripada memintas pilihan keselamatan yang ditentukan pengguna.
  • Kemas kini berikutnya, termasuk versi 1.110 yang dikeluarkan pada Februari 2026, telah menambah gesaan amaran sekunder apabila tugasan jalan automatik dikesan di ruang kerja yang baru dibuka, sekali gus mengukuhkan kesedaran pengguna walaupun selepas Workspace Trust diberikan.

Kesimpulan: Ancaman yang Semakin Meningkat terhadap Keselamatan Pembangun

Kempen StoatWaffle mengetengahkan perubahan ketara dalam strategi penyerang, dengan memberi tumpuan kepada persekitaran pembangunan dan aliran kerja yang dipercayai. Dengan menggabungkan eksploitasi teknikal dengan kejuruteraan sosial lanjutan, pelaku ancaman terus mengaburkan sempadan antara aktiviti yang sah dan berniat jahat, menekankan keperluan untuk meningkatkan kewaspadaan merentasi kitaran hayat pembangunan perisian.

Trending

Paling banyak dilihat

Memuatkan...