Cotație de reducere pentru licențe multiple
Baza de date pentru amenințări Programe malware Programe malware StoatWaffle

Programe malware StoatWaffle

Până în Mezo în Programe malware, Amenințare persistentă avansată (APT)
Tradu in:

Un grup de amenințări nord-coreene, urmărit ca Contagious Interview și cunoscut și sub numele de WaterPlum, a fost asociat cu o familie sofisticată de programe malware numită StoatWaffle. Această campanie vizează în mod specific dezvoltatorii prin transformarea în arme a proiectelor Microsoft Visual Studio Code (VS Code) malițioase, semnalând o evoluție periculoasă a atacurilor asupra lanțului de aprovizionare din cadrul ecosistemului de dezvoltare software.

Armă VS. Cod: Abuzul de tasks.json

O inovație notabilă în această campanie este exploatarea fișierului de configurare tasks.json din VS Code. Din decembrie 2025, atacatorii au folosit setarea „runOn: folderOpen” pentru a executa automat sarcini rău intenționate de fiecare dată când este deschis un folder de proiect.

Această tehnică asigură o execuție consistentă fără a necesita interacțiunea explicită a utilizatorului. Sarcina malițioasă preia sarcini utile dintr-o aplicație web la distanță găzduită pe Vercel, funcționând independent de sistemul de operare subiacent. Deși mediile de analiză se concentrează adesea pe Windows, logica de atac rămâne consistentă pe toate platformele.

Livrare de sarcină utilă în mai multe etape prin Node.js

Odată executat, malware-ul inițiază un proces structurat de infectare în mai multe etape:

  • Sarcina utilă verifică dacă Node.js este instalat pe sistemul gazdă.
  • Dacă lipsește, Node.js este descărcat din sursa sa oficială și instalat silențios.
  • O componentă de descărcare este lansată, contactând periodic un server la distanță.
  • Acest program de descărcare preia sarcini suplimentare, care se execută ca și cod Node.js și continuă lanțul de infectare prin etape succesive.

Această abordare stratificată îmbunătățește persistența și complică detectarea de către instrumentele de securitate.

În interiorul StoatWaffle: Capacități modulare de malware

StoatWaffle este conceput ca un framework modular construit pe Node.js, permițând implementarea flexibilă a mai multor componente malițioase. Modulele sale principale includ:

Credential Stealer : Extrage date sensibile din browserele bazate pe Chromium și Mozilla Firefox, inclusiv acreditările salvate și datele extensiilor. Pe sistemele macOS, vizează și baza de date iCloud Keychain. Toate datele colectate sunt exfiltrate către un server Command-and-Control (C2).
Troian de acces la distanță (RAT) : Stabilește o comunicare persistentă cu serverul C2, permițând atacatorilor să execute comenzi de la distanță. Capacitățile includ navigarea în sistemul de fișiere, executarea comenzilor, încărcarea fișierelor, căutările de fișiere pe bază de cuvinte cheie și auto-terminarea.
Extinderea suprafeței de atac : Exploatarea ecosistemului open-source

Campania se aliniază unui model mai larg de atacuri care vizează platformele open source și fluxurile de lucru ale dezvoltatorilor. Operațiunile notabile includ:

  • Distribuția PylangGhost, un backdoor bazat pe Python, prin intermediul pachetelor npm malițioase, marcând prima sa propagare observată prin acest canal.
  • Campania PolinRider, care a injectat cod JavaScript ofuscat în sute de repozitorii GitHub, ducând la implementarea unei variante actualizate de malware BeaverTail.
  • Compromiterea depozitelor din cadrul organizației Neutralinojs GitHub prin deturnarea unui cont de contribuitor cu privilegii sporite. Cod rău intenționat a fost introdus forțat pentru a recupera sarcini utile criptate încorporate în tranzacțiile blockchain din rețelele Tron, Aptos și Binance Smart Chain.

Victimele din aceste scenarii au fost adesea infectate prin extensii VS Code compromise sau pachete npm rău intenționate.

Tactici de inginerie socială: interviuri false și direcționarea dezvoltatorilor

Accesul inițial se obține frecvent prin escrocherii de recrutare extrem de convingătoare. Atacatorii simulează procese legitime de interviu tehnic, convingând țintele să execute cod malițios găzduit pe platforme precum GitHub, GitLab sau Bitbucket.

Strategia de direcționare se concentrează pe persoane cu valoare ridicată, inclusiv fondatori, directori de tehnologie și ingineri seniori în sectoarele criptomonedelor și Web3. Aceste roluri oferă adesea acces la infrastructură critică și active digitale. Într-un caz documentat, o tentativă de atac a vizat fondatorul AllSecure.io folosind un scenariu fabricat de un interviu de angajare.

Pentru a spori credibilitatea, atacatorii creează profiluri de companie false pe LinkedIn și mențin conturi GitHub aparent legitime. Alte tehnici includ utilizarea ClickFix, o metodă de inginerie socială care deghizează livrarea de programe malware în sarcini de evaluare a abilităților.

Obiective strategice: Dincolo de furtul de criptomonede

Deși furtul de criptomonede pare a fi o motivație principală, intenția mai largă se extinde la compromiterea lanțului de aprovizionare și spionajul corporativ. Prin infiltrarea în mediile dezvoltatorilor, atacatorii câștigă oportunități de a propaga cod rău intenționat în proiecte software din aval sau de a accesa date organizaționale sensibile.

Consolidarea securității VS Code

Ca răspuns la utilizarea abuzivă a activităților VS Code, Microsoft a introdus îmbunătățiri critice de securitate:

  • Actualizarea din ianuarie 2026 (versiunea 1.109) a introdus setarea task.allowAutomaticTasks, care este dezactivată în mod implicit pentru a preveni executarea automată a activităților definite în tasks.json.
  • Această setare nu poate fi ignorată la nivel de spațiu de lucru, împiedicând depozitele rău intenționate să ocolească preferințele de securitate definite de utilizator.
  • Actualizările ulterioare, inclusiv versiunea 1.110 lansată în februarie 2026, au adăugat o avertizare secundară atunci când sunt detectate activități cu rulare automată în spațiile de lucru nou deschise, consolidând conștientizarea utilizatorilor chiar și după acordarea încrederii în spațiul de lucru.

Concluzie: O amenințare tot mai mare la adresa securității dezvoltatorilor

Campania StoatWaffle evidențiază o schimbare semnificativă în strategia atacatorilor, concentrându-se pe mediile de dezvoltare și fluxurile de lucru de încredere. Prin combinarea exploatării tehnice cu ingineria socială avansată, actorii amenințători continuă să estompeze linia dintre activitatea legitimă și cea rău intenționată, subliniind necesitatea unei vigilențe sporite pe tot parcursul ciclului de viață al dezvoltării software.

Trending

Campania UNC4899 de compromitere a cloud-ului

Amenințare persistentă avansată (APT)
O intruziune cibernetică sofisticată din 2025 a fost asociată cu actorul de amenințare nord-coreean UNC4899, un grup suspectat de orchestrarea unei compromiteri la scară largă a unei organizații de criptomonede, care a dus la furtul a milioane de dolari în active digitale. Campania a fost atribuită cu o încredere moderată acestui adversar sponsorizat de stat, care este urmărit și sub alte...

Cele mai văzute

Se încarcă...