StoatWaffle-skadevare
En nordkoreansk trusselklynge, sporet som Contagious Interview og også kjent som WaterPlum, har blitt koblet til en sofistikert skadevarefamilie kalt StoatWaffle. Denne kampanjen retter seg spesifikt mot utviklere ved å bruke ondsinnede Microsoft Visual Studio Code (VS Code)-prosjekter som våpen, noe som signaliserer en farlig utvikling i forsyningskjedeangrep innenfor programvareutviklingsøkosystemet.
Innholdsfortegnelse
Våpengjøring av VS-kode: Misbruk av tasks.json
En bemerkelsesverdig innovasjon i denne kampanjen er utnyttelsen av VS Codes konfigurasjonsfil tasks.json. Siden desember 2025 har angripere utnyttet innstillingen «runOn: folderOpen» til å automatisk utføre ondsinnede oppgaver hver gang en prosjektmappe åpnes.
Denne teknikken sikrer konsistent utførelse uten å kreve eksplisitt brukermedvirkning. Den ondsinnede oppgaven henter nyttelaster fra en ekstern webapplikasjon som ligger på Vercel, og som opererer uavhengig av det underliggende operativsystemet. Selv om analysemiljøer ofte fokuserer på Windows, forblir angrepslogikken konsistent på tvers av plattformer.
Flertrinns nyttelastlevering via Node.js
Når den er kjørt, starter skadevaren en strukturert infeksjonsprosess i flere trinn:
- Nyttelasten bekrefter om Node.js er installert på vertssystemet.
- Hvis den ikke er tilgjengelig, lastes Node.js ned fra den offisielle kildekoden og installeres i bakgrunnen.
- En nedlastingskomponent startes og kontakter regelmessig en ekstern server.
- Denne nedlasteren henter ytterligere nyttelaster, som kjøres som Node.js-kode og fortsetter infeksjonskjeden gjennom påfølgende stadier.
Denne lagdelte tilnærmingen forbedrer utholdenheten og kompliserer deteksjon av sikkerhetsverktøy.
Inne i StoatWaffle: Modulære malware-funksjoner
StoatWaffle er designet som et modulært rammeverk bygget på Node.js, som muliggjør fleksibel distribusjon av flere skadelige komponenter. Hovedmodulene inkluderer:
Legitimasjonstyver : Henter ut sensitive data fra Chromium-baserte nettlesere og Mozilla Firefox, inkludert lagrede legitimasjonsdata og utvidelsesdata. På macOS-systemer er den også rettet mot iCloud-nøkkelringdatabasen. Alle innsamlede data blir eksfiltrert til en Command-and-Control (C2)-server.
Fjerntilgangstrojaner (RAT) : Oppretter vedvarende kommunikasjon med C2-serveren, slik at angripere kan utføre kommandoer eksternt. Funksjoner inkluderer filsystemnavigasjon, kommandokjøring, filopplasting, nøkkelordbaserte filsøk og selvavslutning.
Utvidelse av angrepsflaten : Utnyttelse av økosystemer med åpen kildekode
Kampanjen samsvarer med et bredere mønster av angrep som er rettet mot åpen kildekode-plattformer og arbeidsflyter for utviklere. Viktige operasjoner inkluderer:
- Distribusjon av PylangGhost, en Python-basert bakdør, via ondsinnede npm-pakker, og markerer den første observerte spredningen gjennom denne kanalen.
- PolinRider-kampanjen, som injiserte obfuskert JavaScript i hundrevis av GitHub-repositorier, noe som førte til utrullingen av en oppdatert variant av BeaverTail-skadevare.
- Kapring av databaser i Neutralinojs GitHub-organisasjon ved å kapre en bidragsyterkonto med utvidede rettigheter. Ondsinnet kode ble tvangspresset for å hente krypterte nyttelaster innebygd i blokkjedetransaksjoner på tvers av Tron-, Aptos- og Binance Smart Chain-nettverk.
Ofrene i disse scenariene ble ofte infisert gjennom kompromitterte VS Code-utvidelser eller ondsinnede npm-pakker.
Sosial manipuleringstaktikk: Falske intervjuer og målretting av utviklere
Innledende tilgang oppnås ofte gjennom svært overbevisende rekrutteringssvindel. Angripere simulerer legitime tekniske intervjuprosesser og overtaler mål til å kjøre ondsinnet kode som ligger på plattformer som GitHub, GitLab eller Bitbucket.
Målrettingsstrategien fokuserer på verdifulle individer, inkludert grunnleggere, teknologidirektører og senioringeniører innen kryptovaluta og Web3. Disse rollene gir ofte tilgang til kritisk infrastruktur og digitale eiendeler. I ett dokumentert tilfelle var et angrepsforsøk rettet mot grunnleggeren av AllSecure.io ved hjelp av et fabrikkert jobbintervju-scenario.
For å øke troverdigheten oppretter angriperne falske firmaprofiler på LinkedIn og vedlikeholder tilsynelatende legitime GitHub-kontoer. Ytterligere teknikker inkluderer bruk av ClickFix, en sosial manipuleringsmetode som kamuflerer levering av skadelig programvare som ferdighetsvurderingsoppgaver.
Strategiske mål: Utover kryptovalutatyveri
Selv om kryptovalutatyveri ser ut til å være en primær motivasjon, strekker den bredere hensikten seg til å kompromittere forsyningskjeden og bedriftsspionasje. Ved å infiltrere utviklermiljøer får angripere muligheter til å spre skadelig kode til nedstrøms programvareprosjekter eller få tilgang til sensitive organisasjonsdata.
Styrking av VS-kodesikkerhet
Som svar på misbruk av VS Code-oppgaver introduserte Microsoft kritiske sikkerhetsforbedringer:
- Januar 2026-oppdateringen (versjon 1.109) introduserte innstillingen task.allowAutomaticTasks, som er deaktivert som standard for å forhindre automatisk utførelse av oppgaver definert i tasks.json.
- Denne innstillingen kan ikke overstyres på arbeidsområdenivå, noe som forhindrer at skadelige arkiver omgår brukerdefinerte sikkerhetsinnstillinger.
- Senere oppdateringer, inkludert versjon 1.110 utgitt i februar 2026, la til en sekundær advarsel når automatisk kjørte oppgaver oppdages i nyåpnede arbeidsområder, noe som forsterker brukerbevisstheten selv etter at arbeidsområdetillit er gitt.
Konklusjon: En økende trussel mot utviklersikkerhet
StoatWaffle-kampanjen fremhever et betydelig skifte i angriperstrategien, med fokus på utviklingsmiljøer og pålitelige arbeidsflyter. Ved å kombinere teknisk utnyttelse med avansert sosial manipulering, fortsetter trusselaktører å viske ut grensen mellom legitim og ondsinnet aktivitet, noe som understreker behovet for økt årvåkenhet gjennom hele programvareutviklingssyklusen.
