Kortingsaanbieding voor meerdere licenties
Bedreigingsdatabase Malware StoatWaffle-malware

StoatWaffle-malware

Tegen Mezo in Malware, Geavanceerde aanhoudende dreiging (APT)
Vertalen naar:

Een Noord-Koreaanse dreigingscluster, bekend onder de namen Contagious Interview en WaterPlum, is gelinkt aan een geavanceerde malwarefamilie genaamd StoatWaffle. Deze campagne richt zich specifiek op ontwikkelaars door kwaadaardige Microsoft Visual Studio Code (VS Code)-projecten te misbruiken, wat wijst op een gevaarlijke ontwikkeling in aanvallen op de toeleveringsketen binnen het softwareontwikkelingsecosysteem.

VS Code misbruiken: het exploiteren van tasks.json

Een opvallende innovatie in deze campagne is het misbruik van het tasks.json-configuratiebestand van VS Code. Sinds december 2025 hebben aanvallers de instelling 'runOn: folderOpen' gebruikt om automatisch kwaadaardige taken uit te voeren zodra een projectmap werd geopend.

Deze techniek garandeert een consistente uitvoering zonder expliciete gebruikersinteractie. De kwaadaardige taak haalt payloads op van een externe webapplicatie die gehost wordt op Vercel en die onafhankelijk van het onderliggende besturingssysteem opereert. Hoewel analyseomgevingen zich vaak richten op Windows, blijft de aanvalslogica consistent op alle platformen.

Payloadlevering in meerdere stappen via Node.js

Na uitvoering start de malware een gestructureerd infectieproces in meerdere fasen:

  • De payload controleert of Node.js op het hostsysteem is geïnstalleerd.
  • Als Node.js niet beschikbaar is, wordt het gedownload van de officiële bron en stilzwijgend geïnstalleerd.
  • Een downloadcomponent wordt gestart en maakt periodiek contact met een externe server.
  • Deze downloader haalt extra payloads op, die als Node.js-code worden uitgevoerd en de infectieketen via opeenvolgende fasen voortzetten.

Deze gelaagde aanpak verbetert de persistentie en bemoeilijkt de detectie door beveiligingssystemen.

Binnen StoatWaffle: Modulaire malwaremogelijkheden

StoatWaffle is ontworpen als een modulair framework gebouwd op Node.js, waardoor flexibele implementatie van meerdere kwaadaardige componenten mogelijk is. De belangrijkste modules zijn:

Credential Stealer : Extraheert gevoelige gegevens uit op Chromium gebaseerde browsers en Mozilla Firefox, waaronder opgeslagen inloggegevens en extensiegegevens. Op macOS-systemen richt het zich ook op de iCloud Keychain-database. Alle verzamelde gegevens worden doorgestuurd naar een Command-and-Control (C2)-server.
Remote Access Trojan (RAT) : Legt een permanente verbinding met de C2-server tot stand, waardoor aanvallers op afstand commando's kunnen uitvoeren. Mogelijkheden zijn onder andere navigeren door het bestandssysteem, het uitvoeren van commando's, het uploaden van bestanden, het zoeken naar bestanden op basis van trefwoorden en zelfbeëindiging.
Het aanvalsoppervlak vergroten : exploitatie van het open-source ecosysteem

De campagne past in een breder patroon van aanvallen gericht op open-sourceplatforms en ontwikkelworkflows. Opvallende voorbeelden zijn:

  • De verspreiding van PylangGhost, een op Python gebaseerde backdoor, via kwaadwillende npm-pakketten markeert de eerste waargenomen verspreiding via dit kanaal.
  • De PolinRider-campagne injecteerde versleutelde JavaScript in honderden GitHub-repositories, wat leidde tot de verspreiding van een bijgewerkte variant van de BeaverTail-malware.
  • Het compromitteren van repositories binnen de Neutralinojs GitHub-organisatie door het kapen van een contributor-account met verhoogde privileges. Kwaadaardige code werd geforceerd gepusht om versleutelde payloads te bemachtigen die waren ingebed in blockchain-transacties op de netwerken Tron, Aptos en Binance Smart Chain.

Slachtoffers in deze gevallen raakten vaak geïnfecteerd via gecompromitteerde VS Code-extensies of kwaadaardige npm-pakketten.

Social engineering-tactieken: nep-interviews en gerichte targeting van ontwikkelaars.

De eerste toegang wordt vaak verkregen via zeer overtuigende wervingsfraude. Aanvallers simuleren legitieme technische sollicitatiegesprekken en overtuigen slachtoffers om kwaadaardige code uit te voeren die gehost wordt op platforms zoals GitHub, GitLab of Bitbucket.

De targetingstrategie richt zich op waardevolle personen, waaronder oprichters, CTO's en senior engineers in de cryptocurrency- en Web3-sector. Deze functies bieden vaak toegang tot cruciale infrastructuur en digitale activa. In één gedocumenteerd geval was de oprichter van AllSecure.io het doelwit van een aanval waarbij een gefabriceerd sollicitatiegesprek als scenario werd gebruikt.

Om hun geloofwaardigheid te vergroten, maken aanvallers nepbedrijfsprofielen aan op LinkedIn en onderhouden ze ogenschijnlijk legitieme GitHub-accounts. Andere technieken omvatten het gebruik van ClickFix, een social engineering-methode die de verspreiding van malware vermomt als vaardigheidstests.

Strategische doelstellingen: Voorbij cryptovalutadiefstal

Hoewel diefstal van cryptovaluta een primaire drijfveer lijkt te zijn, strekt de bredere intentie zich uit tot het compromitteren van de toeleveringsketen en bedrijfsspionage. Door ontwikkelomgevingen te infiltreren, krijgen aanvallers de mogelijkheid om kwaadaardige code te verspreiden naar latere softwareprojecten of toegang te krijgen tot gevoelige bedrijfsgegevens.

Versterking van de VS Code-beveiliging

Als reactie op het misbruik van VS Code-taken heeft Microsoft belangrijke beveiligingsverbeteringen doorgevoerd:

  • De update van januari 2026 (versie 1.109) introduceerde de instelling task.allowAutomaticTasks, die standaard is uitgeschakeld om te voorkomen dat taken die in tasks.json zijn gedefinieerd, automatisch worden uitgevoerd.
  • Deze instelling kan niet worden overschreven op werkruimteniveau, waardoor wordt voorkomen dat kwaadwillende repositories de door de gebruiker gedefinieerde beveiligingsvoorkeuren omzeilen.
  • Latere updates, waaronder versie 1.110 die in februari 2026 werd uitgebracht, voegden een tweede waarschuwingsmelding toe wanneer automatisch uitgevoerde taken worden gedetecteerd in nieuw geopende werkruimten, waardoor de gebruiker zich bewuster blijft, zelfs nadat het vertrouwen in de werkruimte is verleend.

Conclusie: Een groeiende bedreiging voor de beveiliging van ontwikkelaars

De StoatWaffle-campagne laat een belangrijke verschuiving zien in de strategie van aanvallers, die zich nu richten op ontwikkelomgevingen en vertrouwde workflows. Door technische exploitatie te combineren met geavanceerde social engineering, vervagen cybercriminelen steeds meer de grens tussen legitieme en kwaadaardige activiteiten. Dit onderstreept de noodzaak van verhoogde waakzaamheid gedurende de gehele softwareontwikkelingscyclus.

Trending

Meest bekeken

Bezig met laden...