Oferta rabatowa na wiele licencji
Baza danych zagrożeń Złośliwe oprogramowanie Oprogramowanie złośliwe StoatWaffle

Oprogramowanie złośliwe StoatWaffle

Do Mezo w Złośliwe oprogramowanie, Zaawansowane trwałe zagrożenie (APT)
Przetłumacz na:

Północnokoreański klaster zagrożeń, śledzony jako Contagious Interview, znany również jako WaterPlum, został powiązany z wyrafinowaną rodziną złośliwego oprogramowania o nazwie StoatWaffle. Kampania ta jest wymierzona w programistów, wykorzystując złośliwe projekty Microsoft Visual Studio Code (VS Code), co sygnalizuje niebezpieczną ewolucję ataków na łańcuchy dostaw w ekosystemie programistycznym.

Użycie VS Code jako broni: Nadużycie pliku tasks.json

Godną uwagi innowacją w tej kampanii jest wykorzystanie pliku konfiguracyjnego tasks.json programu VS Code. Od grudnia 2025 roku atakujący wykorzystują ustawienie „runOn: folderOpen” do automatycznego wykonywania złośliwych zadań przy każdym otwarciu folderu projektu.

Ta technika zapewnia spójne wykonywanie bez konieczności jawnej interakcji użytkownika. Złośliwe zadanie pobiera ładunki ze zdalnej aplikacji internetowej hostowanej na platformie Vercel, działającej niezależnie od systemu operacyjnego. Chociaż środowiska analityczne często koncentrują się na systemie Windows, logika ataku pozostaje spójna na wszystkich platformach.

Wieloetapowe dostarczanie ładunku za pośrednictwem Node.js

Po uruchomieniu złośliwe oprogramowanie rozpoczyna ustrukturyzowany, wieloetapowy proces infekcji:

  • Ładunek weryfikuje, czy Node.js jest zainstalowany na systemie hosta.
  • Jeśli go nie ma, Node.js jest pobierany z oficjalnego źródła i instalowany w trybie cichym.
  • Uruchamiany jest komponent pobierania, który okresowo nawiązuje kontakt ze zdalnym serwerem.
  • Ten program pobierający pobiera dodatkowe ładunki, które są wykonywane jako kod Node.js i kontynuują łańcuch infekcji przez kolejne etapy.

Takie warstwowe podejście zwiększa trwałość i utrudnia wykrywanie za pomocą narzędzi bezpieczeństwa.

StoatWaffle od środka: możliwości modułowego złośliwego oprogramowania

StoatWaffle został zaprojektowany jako modułowy framework oparty na Node.js, umożliwiający elastyczne wdrażanie wielu złośliwych komponentów. Jego główne moduły obejmują:

Złodziej poświadczeń : Wyodrębnia poufne dane z przeglądarek opartych na Chromium i Mozilla Firefox, w tym zapisane dane uwierzytelniające i dane rozszerzeń. W systemach macOS atakuje również bazę danych pęku kluczy iCloud. Wszystkie zebrane dane są przesyłane na serwer Command-and-Control (C2).
Trojan zdalnego dostępu (RAT) : nawiązuje trwałą komunikację z serwerem C2, umożliwiając atakującym zdalne wykonywanie poleceń. Jego możliwości obejmują nawigację w systemie plików, wykonywanie poleceń, przesyłanie plików, wyszukiwanie plików na podstawie słów kluczowych oraz samoczynne zakończenie działania.
Rozszerzanie powierzchni ataku : eksploatacja ekosystemu open source

Kampania wpisuje się w szerszy schemat ataków na platformy open source i procesy programistyczne. Do najważniejszych operacji należą:

  • Dystrybucja PylangGhost, backdoora opartego na Pythonie, za pośrednictwem złośliwych pakietów npm, co stanowi pierwszą zaobserwowaną propagację tego oprogramowania za pośrednictwem tego kanału.
  • Kampania PolinRider, w ramach której wstrzyknięto zaciemniony kod JavaScript do setek repozytoriów GitHub, co doprowadziło do wdrożenia zaktualizowanej odmiany złośliwego oprogramowania BeaverTail.
  • Naruszenie repozytoriów w organizacji Neutralinojs GitHub poprzez przejęcie konta współautora z podwyższonymi uprawnieniami. Złośliwy kod został wprowadzony siłą, aby pobrać zaszyfrowane dane osadzone w transakcjach blockchain w sieciach Tron, Aptos i Binance Smart Chain.

Do infekcji w tych scenariuszach dochodziło często poprzez zainfekowane rozszerzenia VS Code lub złośliwe pakiety npm.

Taktyki socjotechniczne: fałszywe wywiady i celowanie w deweloperów

Początkowy dostęp jest często uzyskiwany poprzez bardzo przekonujące oszustwa rekrutacyjne. Atakujący symulują legalne procesy rekrutacji technicznej, nakłaniając ofiary do wykonania złośliwego kodu hostowanego na platformach takich jak GitHub, GitLab czy Bitbucket.

Strategia ataków koncentruje się na osobach o wysokiej wartości, w tym założycielach, dyrektorach ds. technologii (CTO) i starszych inżynierach w sektorach kryptowalut i Web3. Role te często zapewniają dostęp do krytycznej infrastruktury i zasobów cyfrowych. W jednym udokumentowanym przypadku, próba ataku została skierowana przeciwko założycielowi AllSecure.io, wykorzystując sfabrykowany scenariusz rozmowy kwalifikacyjnej.

Aby zwiększyć wiarygodność, atakujący tworzą fałszywe profile firmowe na LinkedIn i utrzymują pozornie legalne konta GitHub. Dodatkowe techniki obejmują wykorzystanie ClickFix, metody socjotechnicznej, która maskuje dostarczanie złośliwego oprogramowania jako zadania oceny umiejętności.

Cele strategiczne: poza kradzieżą kryptowalut

Chociaż kradzież kryptowalut wydaje się być głównym motywem, szerszy cel obejmuje również naruszenie łańcucha dostaw i szpiegostwo korporacyjne. Infiltrując środowiska programistyczne, atakujący zyskują możliwość rozprzestrzeniania złośliwego kodu w projektach programistycznych lub uzyskiwania dostępu do poufnych danych organizacji.

Wzmocnienie bezpieczeństwa VS Code

W odpowiedzi na nadużywanie zadań VS Code firma Microsoft wprowadziła istotne ulepszenia zabezpieczeń:

  • Aktualizacja ze stycznia 2026 r. (wersja 1.109) wprowadziła ustawienie task.allowAutomaticTasks, które jest domyślnie wyłączone, aby zapobiec automatycznemu wykonywaniu zadań zdefiniowanych w pliku tasks.json.
  • Tego ustawienia nie można zmienić na poziomie obszaru roboczego, co zapobiega omijaniu przez złośliwe repozytoria zdefiniowanych przez użytkownika preferencji zabezpieczeń.
  • Kolejne aktualizacje, w tym wersja 1.110 wydana w lutym 2026 r., dodały dodatkowy monit ostrzegawczy wyświetlany w przypadku wykrycia zadań uruchamianych automatycznie w nowo otwartych obszarach roboczych, zwiększając świadomość użytkownika nawet po udzieleniu zaufania do obszaru roboczego.

Wnioski: Rosnące zagrożenie dla bezpieczeństwa programistów

Kampania StoatWaffle uwydatnia znaczącą zmianę w strategii atakujących, koncentrującą się na środowiskach programistycznych i zaufanych procesach. Łącząc techniczne wykorzystanie luk w zabezpieczeniach z zaawansowaną socjotechniką, atakujący nadal zacierają granicę między legalną a szkodliwą działalnością, podkreślając potrzebę wzmożonej czujności w całym cyklu rozwoju oprogramowania.

Popularne

Kampania na rzecz naruszenia zasad chmury UNC4899

Zaawansowane trwałe zagrożenie (APT)
Wyrafinowany atak cybernetyczny z 2025 roku został powiązany z północnokoreańskim cyberprzestępcą UNC4899, grupą podejrzaną o zorganizowanie ataku na dużą skalę na organizację kryptowalutową, w wyniku którego doszło do kradzieży milionów dolarów w aktywach cyfrowych. Kampanię z umiarkowanym prawdopodobieństwem przypisano temu państwowemu przeciwnikowi, który jest również śledzony pod kilkoma...

Najczęściej oglądane

Ładowanie...