StoatWaffle मालवेयर

उत्तर कोरियाली खतरा समूह, जसलाई कन्टेगियस इन्टरभ्यू भनेर ट्र्याक गरिएको छ र वाटरप्लम पनि भनिन्छ, स्टोटवाफल भनिने परिष्कृत मालवेयर परिवारसँग जोडिएको छ। यो अभियानले विशेष गरी विकासकर्ताहरूलाई दुर्भावनापूर्ण माइक्रोसफ्ट भिजुअल स्टुडियो कोड (VS कोड) परियोजनाहरूलाई हतियार बनाएर लक्षित गर्दछ, जसले सफ्टवेयर विकास इकोसिस्टम भित्र आपूर्ति श्रृंखला आक्रमणहरूमा खतरनाक विकासको संकेत गर्दछ।

हतियार बनाउने VS कोड: tasks.json को दुरुपयोग

यस अभियानमा एउटा उल्लेखनीय नवीनता भनेको VS कोडको tasks.json कन्फिगरेसन फाइलको शोषण हो। डिसेम्बर २०२५ देखि, आक्रमणकारीहरूले 'runOn: folderOpen' सेटिङको प्रयोग गरेर परियोजना फोल्डर खोल्दा स्वचालित रूपमा खराब कार्यहरू कार्यान्वयन गरेका छन्।

यो प्रविधिले स्पष्ट प्रयोगकर्ता अन्तरक्रियाको आवश्यकता बिना नै निरन्तर कार्यान्वयन सुनिश्चित गर्दछ। दुर्भावनापूर्ण कार्यले Vercel मा होस्ट गरिएको रिमोट वेब अनुप्रयोगबाट पेलोडहरू पुन: प्राप्त गर्दछ, जुन अन्तर्निहित अपरेटिङ सिस्टमबाट स्वतन्त्र रूपमा सञ्चालन हुन्छ। यद्यपि विश्लेषण वातावरणहरू प्रायः Windows मा केन्द्रित हुन्छन्, आक्रमण तर्क प्लेटफर्महरूमा स्थिर रहन्छ।

Node.js मार्फत बहु-चरण पेलोड डेलिभरी

एकपटक कार्यान्वयन भएपछि, मालवेयरले संरचित, बहु-चरणीय संक्रमण प्रक्रिया सुरु गर्दछ:

• पेलोडले होस्ट प्रणालीमा Node.js स्थापना भएको छ कि छैन भनेर प्रमाणित गर्छ।
• यदि अनुपस्थित भएमा, Node.js यसको आधिकारिक स्रोतबाट डाउनलोड गरिन्छ र चुपचाप स्थापना गरिन्छ।
• एउटा डाउनलोडर कम्पोनेन्ट सुरु हुन्छ, आवधिक रूपमा रिमोट सर्भरमा सम्पर्क गर्दै।
• यो डाउनलोडरले थप पेलोडहरू पुन: प्राप्त गर्दछ, जुन Node.js कोडको रूपमा कार्यान्वयन हुन्छ र क्रमिक चरणहरू मार्फत संक्रमण श्रृंखला जारी राख्छ।

यो स्तरित दृष्टिकोणले दृढता बढाउँछ र सुरक्षा उपकरणहरूद्वारा पत्ता लगाउने प्रक्रियालाई जटिल बनाउँछ।

भित्री StoatWaffle: मोड्युलर मालवेयर क्षमताहरू

StoatWaffle Node.js मा निर्मित मोड्युलर फ्रेमवर्कको रूपमा डिजाइन गरिएको छ, जसले धेरै मालिसियस कम्पोनेन्टहरूको लचिलो तैनाती सक्षम बनाउँछ। यसको प्राथमिक मोड्युलहरूमा समावेश छन्:

क्रेडेन्सियल स्टिलर : क्रोमियम-आधारित ब्राउजरहरू र मोजिला फायरफक्सबाट संवेदनशील डेटा निकाल्छ, जसमा बचत गरिएका क्रेडेन्सियलहरू र एक्सटेन्सन डेटा समावेश छन्। macOS प्रणालीहरूमा, यसले iCloud Keychain डाटाबेसलाई पनि लक्षित गर्दछ। सबै सङ्कलन गरिएको डेटा कमाण्ड-एन्ड-कन्ट्रोल (C2) सर्भरमा एक्सफिल्टर गरिन्छ।
रिमोट एक्सेस ट्रोजन (RAT) : C2 सर्भरसँग निरन्तर सञ्चार स्थापित गर्दछ, जसले आक्रमणकारीहरूलाई टाढाबाट आदेशहरू कार्यान्वयन गर्न अनुमति दिन्छ। क्षमताहरूमा फाइल प्रणाली नेभिगेसन, आदेश कार्यान्वयन, फाइल अपलोड, किवर्ड-आधारित फाइल खोजीहरू, र स्व-समाप्ति समावेश छन्।
आक्रमण सतह विस्तार गर्दै : खुला स्रोत पारिस्थितिक प्रणाली शोषण

यो अभियान खुला-स्रोत प्लेटफर्महरू र विकासकर्ता कार्यप्रवाहहरूलाई लक्षित गर्ने आक्रमणहरूको फराकिलो ढाँचासँग मिल्दोजुल्दो छ। उल्लेखनीय कार्यहरू समावेश छन्:

• पाइथन-आधारित ब्याकडोर, PylangGhost को वितरण, दुर्भावनापूर्ण npm प्याकेजहरू मार्फत, यस च्यानल मार्फत यसको पहिलो अवलोकन गरिएको प्रसारलाई चिन्ह लगाउँदै।
• पोलिनराइडर अभियान, जसले सयौं GitHub भण्डारहरूमा अस्पष्ट जाभास्क्रिप्ट इन्जेक्ट गर्‍यो, जसले गर्दा अद्यावधिक गरिएको BeaverTail मालवेयर भेरियन्टको तैनाती भयो।
• उच्च विशेषाधिकारहरू भएको योगदानकर्ता खाता अपहरण गरेर Neutralinojs GitHub संस्था भित्र भण्डारहरूको सम्झौता। Tron, Aptos, र Binance स्मार्ट चेन नेटवर्कहरूमा ब्लकचेन लेनदेनमा एम्बेड गरिएका एन्क्रिप्टेड पेलोडहरू पुन: प्राप्त गर्न दुर्भावनापूर्ण कोडलाई जबरजस्ती धकेलिएको थियो।

यी परिदृश्यहरूमा पीडितहरू प्रायः सम्झौता गरिएका VS कोड एक्सटेन्सनहरू वा दुर्भावनापूर्ण npm प्याकेजहरू मार्फत संक्रमित भएका थिए।

सामाजिक इन्जिनियरिङ रणनीति: नक्कली अन्तर्वार्ता र विकासकर्तालाई लक्षित गर्ने

प्रारम्भिक पहुँच प्रायः अत्यधिक विश्वसनीय भर्ती घोटालाहरू मार्फत प्राप्त गरिन्छ। आक्रमणकारीहरूले वैध प्राविधिक अन्तर्वार्ता प्रक्रियाहरूको नक्कल गर्छन्, GitHub, GitLab, वा Bitbucket जस्ता प्लेटफर्महरूमा होस्ट गरिएको दुर्भावनापूर्ण कोड कार्यान्वयन गर्न लक्षितहरूलाई मनाउँछन्।

लक्षित रणनीतिले क्रिप्टोकरेन्सी र वेब३ क्षेत्रका संस्थापक, CTO र वरिष्ठ इन्जिनियरहरू सहित उच्च-मूल्यवान व्यक्तिहरूमा केन्द्रित छ। यी भूमिकाहरूले प्रायः महत्वपूर्ण पूर्वाधार र डिजिटल सम्पत्तिहरूमा पहुँच प्रदान गर्दछ। एउटा दस्तावेज गरिएको अवस्थामा, बनावटी जागिर अन्तर्वार्ता परिदृश्य प्रयोग गरेर AllSecure.io का संस्थापकलाई लक्षित गरी आक्रमणको प्रयास गरिएको थियो।

विश्वसनीयता बढाउन, आक्रमणकारीहरूले LinkedIn मा नक्कली कम्पनी प्रोफाइलहरू सिर्जना गर्छन् र वैध देखिने GitHub खाताहरू कायम राख्छन्। थप प्रविधिहरूमा ClickFix को प्रयोग समावेश छ, एक सामाजिक इन्जिनियरिङ विधि जसले मालवेयर डेलिभरीलाई सीप मूल्याङ्कन कार्यहरूको रूपमा लुकाउँछ।

रणनीतिक उद्देश्यहरू: क्रिप्टोकरेन्सी चोरीभन्दा बाहिर

यद्यपि क्रिप्टोकरेन्सी चोरी प्राथमिक प्रेरणा जस्तो देखिन्छ, यसको फराकिलो उद्देश्य आपूर्ति श्रृंखला सम्झौता र कर्पोरेट जासुसीसम्म फैलिएको छ। विकासकर्ता वातावरणमा घुसपैठ गरेर, आक्रमणकारीहरूले डाउनस्ट्रीम सफ्टवेयर परियोजनाहरूमा मालिसियस कोड प्रचार गर्ने वा संवेदनशील संगठनात्मक डेटा पहुँच गर्ने अवसरहरू प्राप्त गर्छन्।

VS कोड सुरक्षालाई सुदृढ पार्दै

VS कोड कार्यहरूको दुरुपयोगको प्रतिक्रियामा, माइक्रोसफ्टले महत्वपूर्ण सुरक्षा वृद्धिहरू प्रस्तुत गर्‍यो:

• जनवरी २०२६ को अपडेट (संस्करण १.१०९) ले task.allowAutomaticTasks सेटिङ प्रस्तुत गर्‍यो, जुन tasks.json मा परिभाषित कार्यहरूको स्वचालित कार्यान्वयन रोक्न पूर्वनिर्धारित रूपमा असक्षम पारिएको छ।
• यो सेटिङ कार्यस्थान स्तरमा ओभरराइड गर्न सकिँदैन, जसले गर्दा प्रयोगकर्ता-परिभाषित सुरक्षा प्राथमिकताहरू बाइपास गर्नबाट दुर्भावनापूर्ण भण्डारहरूलाई रोक्छ।
• फेब्रुअरी २०२६ मा जारी गरिएको संस्करण १.११० सहित पछिल्ला अद्यावधिकहरूले नयाँ खोलिएका कार्यस्थानहरूमा स्वत: चलाउने कार्यहरू पत्ता लाग्दा माध्यमिक चेतावनी प्रम्प्ट थप्यो, जसले कार्यस्थान ट्रस्ट प्रदान गरिसकेपछि पनि प्रयोगकर्ता जागरूकतालाई सुदृढ बनायो।

निष्कर्ष: विकासकर्ता सुरक्षाको लागि बढ्दो खतरा

StoatWaffle अभियानले विकास वातावरण र विश्वसनीय कार्यप्रवाहहरूमा ध्यान केन्द्रित गर्दै आक्रमणकारी रणनीतिमा उल्लेखनीय परिवर्तनलाई हाइलाइट गर्दछ। उन्नत सामाजिक इन्जिनियरिङसँग प्राविधिक शोषणलाई संयोजन गरेर, खतरा अभिनेताहरूले वैध र दुर्भावनापूर्ण गतिविधि बीचको रेखालाई धमिलो पार्न जारी राख्छन्, सफ्टवेयर विकास जीवनचक्रमा उच्च सतर्कताको आवश्यकतालाई जोड दिन्छन्।