Скидка на мультилицензию
База данных угроз Вредоносное ПО Вредоносная программа StoatWaffle

Вредоносная программа StoatWaffle

К Mezo году в Вредоносное ПО, Расширенная постоянная угроза (APT) году
Перевести на:

Северокорейский кластер угроз, отслеживаемый под названиями Contagious Interview и WaterPlum, связан со сложным семейством вредоносных программ под названием StoatWaffle. Эта кампания целенаправленно нацелена на разработчиков, используя вредоносные проекты Microsoft Visual Studio Code (VS Code), что свидетельствует об опасной эволюции атак на цепочки поставок в экосистеме разработки программного обеспечения.

Использование VS Code в качестве оружия: злоупотребление файлом tasks.json

Заметным нововведением в этой кампании является использование уязвимости в конфигурационном файле tasks.json VS Code. Начиная с декабря 2025 года, злоумышленники используют параметр 'runOn: folderOpen' для автоматического выполнения вредоносных задач при каждом открытии папки проекта.

Этот метод обеспечивает стабильное выполнение без необходимости явного взаимодействия с пользователем. Вредоносная задача извлекает полезную нагрузку из удаленного веб-приложения, размещенного на Vercel, и работает независимо от базовой операционной системы. Хотя среды анализа часто ориентированы на Windows, логика атаки остается неизменной на разных платформах.

Многоэтапная доставка полезной нагрузки через Node.js

После запуска вредоносная программа инициирует структурированный многоэтапный процесс заражения:

  • Вложенный код проверяет, установлен ли Node.js в хост-системе.
  • Если Node.js отсутствует, он загружается из официального источника и устанавливается в автоматическом режиме.
  • Запускается компонент загрузки, который периодически связывается с удалённым сервером.
  • Этот загрузчик извлекает дополнительные полезные нагрузки, которые выполняются как код Node.js и продолжают цепочку заражения на последовательных этапах.

Такой многоуровневый подход повышает устойчивость системы и усложняет обнаружение средствами безопасности.

Внутри StoatWaffle: модульные возможности вредоносного ПО

StoatWaffle — это модульный фреймворк, построенный на Node.js, обеспечивающий гибкое развертывание множества вредоносных компонентов. Его основные модули включают в себя:

Программа для кражи учетных данных : извлекает конфиденциальные данные из браузеров на основе Chromium и Mozilla Firefox, включая сохраненные учетные данные и данные расширений. В системах macOS она также нацелена на базу данных iCloud Keychain. Все собранные данные передаются на сервер управления и контроля (C2).
Троянская программа удаленного доступа (RAT) : устанавливает постоянную связь с сервером управления и контроля (C2), позволяя злоумышленникам удаленно выполнять команды. Ее возможности включают навигацию по файловой системе, выполнение команд, загрузку файлов, поиск файлов по ключевым словам и самозавершение.
Расширение поверхности атаки : эксплуатация экосистемы открытого исходного кода.

Данная кампания соответствует более широкой схеме атак, направленных на платформы с открытым исходным кодом и рабочие процессы разработчиков. К числу наиболее примечательных операций относятся:

  • Распространение PylangGhost, бэкдора на основе Python, через вредоносные npm-пакеты, что стало первым зафиксированным случаем его распространения по этому каналу.
  • Кампания PolinRider, в ходе которой в сотни репозиториев GitHub был внедрен обфусцированный JavaScript, привела к развертыванию обновленного варианта вредоносного ПО BeaverTail.
  • Взлом репозиториев в организации Neutralinojs на GitHub путем взлома учетной записи участника с повышенными привилегиями. Был принудительно запущен вредоносный код для извлечения зашифрованных данных, внедренных в транзакции блокчейна в сетях Tron, Aptos и Binance Smart Chain.

В подобных ситуациях жертвы часто заражались через скомпрометированные расширения VS Code или вредоносные пакеты npm.

Тактика социальной инженерии: фальшивые собеседования и целевая атака на разработчиков.

Первоначальный доступ часто получают с помощью крайне убедительных мошеннических схем по найму. Злоумышленники имитируют законные процессы технических собеседований, убеждая жертв выполнить вредоносный код, размещенный на таких платформах, как GitHub, GitLab или Bitbucket.

Стратегия таргетинга сосредоточена на высокопоставленных лицах, включая основателей, технических директоров и старших инженеров в секторах криптовалют и Web3. Эти должности часто предоставляют доступ к критически важной инфраструктуре и цифровым активам. В одном из задокументированных случаев попытка атаки была направлена на основателя AllSecure.io с использованием сфабрикованного сценария собеседования.

Для повышения доверия злоумышленники создают поддельные профили компаний в LinkedIn и поддерживают внешне легитимные аккаунты в GitHub. К дополнительным методам относится использование ClickFix — метода социальной инженерии, который маскирует распространение вредоносного ПО под задания по оценке навыков.

Стратегические цели: Преодоление последствий кражи криптовалюты

Хотя основной мотивацией, по-видимому, является кража криптовалюты, более широкие намерения включают в себя компрометацию цепочки поставок и корпоративный шпионаж. Проникая в среды разработчиков, злоумышленники получают возможность распространять вредоносный код в последующие программные проекты или получать доступ к конфиденциальным данным организации.

Усиление безопасности VS Code

В ответ на злоупотребление задачами VS Code компания Microsoft внедрила важные улучшения безопасности:

  • В обновлении от января 2026 года (версия 1.109) был добавлен параметр task.allowAutomaticTasks, который по умолчанию отключен, чтобы предотвратить автоматическое выполнение задач, определенных в файле tasks.json.
  • Этот параметр нельзя изменить на уровне рабочей области, что предотвращает обход заданных пользователем параметров безопасности вредоносными репозиториями.
  • В последующих обновлениях, включая версию 1.110, выпущенную в феврале 2026 года, было добавлено дополнительное предупреждение при обнаружении задач автоматического запуска в новых открытых рабочих пространствах, что повышает осведомленность пользователей даже после предоставления им доверия к рабочему пространству.

Заключение: Растущая угроза безопасности разработчиков.

Кампания StoatWaffle подчеркивает значительный сдвиг в стратегии злоумышленников, фокусирующихся на средах разработки и доверенных рабочих процессах. Сочетая техническую эксплуатацию с продвинутой социальной инженерией, злоумышленники продолжают размывать грань между законной и вредоносной деятельностью, подчеркивая необходимость повышенной бдительности на протяжении всего жизненного цикла разработки программного обеспечения.

В тренде

Demotrix.org

Мошеннические сайты, Браузерные хайджекеры, Потенциально нежелательные программы
Защита устройств от вредоносного программного обеспечения имеет важное значение для обеспечения конфиденциальности и безопасности в интернете. Потенциально нежелательные программы (PUP) часто...

Кампания по компрометации облачных сервисов UNC4899

Расширенная постоянная угроза (APT)
В 2025 году была совершена сложная кибератака, связанная с северокорейской группировкой UNC4899, подозреваемой в организации масштабного взлома криптовалютной организации, в результате которого были украдены цифровые активы на миллионы долларов. С умеренной степенью уверенности эта кампания приписывается спонсируемому государством противнику, который также отслеживается под несколькими другими...

Мошенничество с электронными письмами, содержащими...

Фишинг, Спам
Неожиданные электронные письма, особенно те, которые призывают получателей проверить счета-фактуры, подтвердить платежи или открыть вложения, всегда следует воспринимать с осторожностью. Киберпреступники часто используют любопытство и срочность, чтобы манипулировать пользователями и заставить их раскрыть конфиденциальную информацию. Одним из примеров является мошенничество с электронными...

Наиболее просматриваемые

Загрузка...