Cotação de desconto para licenças múltiplas
Banco de Dados de Ameaças Malware Malware StoatWaffle

Malware StoatWaffle

Por Mezo em Malware, Ameaça Persistente Avançada (APT)
Traduzir Para:

Um grupo de ameaças norte-coreanas, rastreado como Contagious Interview e também conhecido como WaterPlum, foi associado a uma sofisticada família de malware chamada StoatWaffle. Essa campanha tem como alvo específico desenvolvedores, explorando projetos maliciosos do Microsoft Visual Studio Code (VS Code), o que sinaliza uma perigosa evolução nos ataques à cadeia de suprimentos dentro do ecossistema de desenvolvimento de software.

Armamentando o VS Code: O abuso do tasks.json

Uma inovação notável nesta campanha é a exploração do arquivo de configuração tasks.json do VS Code. Desde dezembro de 2025, os atacantes têm se aproveitado da configuração 'runOn: folderOpen' para executar automaticamente tarefas maliciosas sempre que uma pasta de projeto é aberta.

Essa técnica garante a execução consistente sem exigir interação explícita do usuário. A tarefa maliciosa recupera payloads de um aplicativo web remoto hospedado no Vercel, operando independentemente do sistema operacional subjacente. Embora os ambientes de análise frequentemente se concentrem no Windows, a lógica do ataque permanece consistente em todas as plataformas.

Entrega de carga útil em múltiplos estágios via Node.js

Uma vez executado, o malware inicia um processo de infecção estruturado e em várias etapas:

  • A carga útil verifica se o Node.js está instalado no sistema host.
  • Na ausência deste, o Node.js é baixado de sua fonte oficial e instalado silenciosamente.
  • Um componente de download é iniciado, contatando periodicamente um servidor remoto.
  • Este programa de download recupera cargas úteis adicionais, que são executadas como código Node.js e continuam a cadeia de infecção através de estágios sucessivos.

Essa abordagem em camadas aumenta a persistência e dificulta a detecção por ferramentas de segurança.

Dentro do StoatWaffle: Recursos Modulares de Malware

O StoatWaffle foi projetado como um framework modular construído em Node.js, permitindo a implantação flexível de múltiplos componentes maliciosos. Seus módulos principais incluem:

Rouba-credenciais : Extrai dados sensíveis de navegadores baseados no Chromium e do Mozilla Firefox, incluindo credenciais salvas e dados de extensões. Em sistemas macOS, também visa o banco de dados do iCloud Keychain. Todos os dados coletados são exfiltrados para um servidor de Comando e Controle (C2).
Trojan de Acesso Remoto (RAT) : Estabelece comunicação persistente com o servidor C2, permitindo que atacantes executem comandos remotamente. Suas funcionalidades incluem navegação no sistema de arquivos, execução de comandos, upload de arquivos, busca de arquivos por palavras-chave e autoextinção.
Ampliando a superfície de ataque : Exploração do ecossistema de código aberto

A campanha está alinhada a um padrão mais amplo de ataques direcionados a plataformas de código aberto e fluxos de trabalho de desenvolvedores. Operações notáveis incluem:

  • Distribuição do PylangGhost, um backdoor baseado em Python, através de pacotes npm maliciosos, marcando sua primeira propagação observada por esse canal.
  • A campanha PolinRider, que injetou JavaScript ofuscado em centenas de repositórios do GitHub, levou à implantação de uma variante atualizada do malware BeaverTail.
  • Comprometimento de repositórios dentro da organização Neutralinojs no GitHub através do sequestro de uma conta de colaborador com privilégios elevados. Código malicioso foi forçado a executar para recuperar payloads criptografados incorporados em transações blockchain nas redes Tron, Aptos e Binance Smart Chain.

Nesses cenários, as vítimas eram frequentemente infectadas por meio de extensões comprometidas do VS Code ou pacotes npm maliciosos.

Táticas de Engenharia Social: Entrevistas Falsas e Segmentação de Desenvolvedores

O acesso inicial é frequentemente obtido por meio de golpes de recrutamento altamente convincentes. Os atacantes simulam processos legítimos de entrevistas técnicas, persuadindo as vítimas a executar códigos maliciosos hospedados em plataformas como GitHub, GitLab ou Bitbucket.

A estratégia de ataque concentra-se em indivíduos de alto valor, incluindo fundadores, diretores de tecnologia (CTOs) e engenheiros seniores nos setores de criptomoedas e Web3. Esses cargos geralmente proporcionam acesso a infraestrutura crítica e ativos digitais. Em um caso documentado, uma tentativa de ataque teve como alvo o fundador da AllSecure.io, utilizando um cenário falso de entrevista de emprego.

Para aumentar a credibilidade, os atacantes criam perfis falsos de empresas no LinkedIn e mantêm contas aparentemente legítimas no GitHub. Outras técnicas incluem o uso do ClickFix, um método de engenharia social que disfarça a distribuição de malware como tarefas de avaliação de habilidades.

Objetivos Estratégicos: Além do Roubo de Criptomoedas

Embora o roubo de criptomoedas pareça ser a principal motivação, a intenção mais ampla abrange a violação da cadeia de suprimentos e a espionagem corporativa. Ao infiltrar-se em ambientes de desenvolvimento, os atacantes obtêm oportunidades para propagar código malicioso em projetos de software subsequentes ou acessar dados organizacionais confidenciais.

Reforçando a segurança do VS Code

Em resposta ao uso indevido de tarefas do VS Code, a Microsoft introduziu melhorias de segurança críticas:

  • A atualização de janeiro de 2026 (versão 1.109) introduziu a configuração task.allowAutomaticTasks, que está desativada por padrão para impedir a execução automática de tarefas definidas em tasks.json.
  • Essa configuração não pode ser alterada no nível do espaço de trabalho, impedindo que repositórios maliciosos ignorem as preferências de segurança definidas pelo usuário.
  • Atualizações subsequentes, incluindo a versão 1.110 lançada em fevereiro de 2026, adicionaram um aviso secundário quando tarefas de execução automática são detectadas em espaços de trabalho recém-abertos, reforçando a conscientização do usuário mesmo após a concessão da Confiança no Espaço de Trabalho.

Conclusão: Uma ameaça crescente à segurança do desenvolvedor

A campanha StoatWaffle destaca uma mudança significativa na estratégia dos atacantes, com foco em ambientes de desenvolvimento e fluxos de trabalho confiáveis. Ao combinar exploração técnica com engenharia social avançada, os agentes de ameaças continuam a confundir a linha divisória entre atividades legítimas e maliciosas, enfatizando a necessidade de maior vigilância em todo o ciclo de vida do desenvolvimento de software.

Tendendo

Campanha UNC4899 sobre comprometimento da nuvem

Ameaça Persistente Avançada (APT)
Uma sofisticada intrusão cibernética em 2025 foi associada ao grupo de ameaças norte-coreano UNC4899, suspeito de orquestrar uma invasão em larga escala de uma organização de criptomoedas, resultando no roubo de milhões de dólares em ativos digitais. A campanha foi atribuída, com um grau moderado de certeza, a esse adversário patrocinado pelo Estado, que também é rastreado sob diversos outros...

Mais visto

Carregando...