Malvér StoatWaffle
Severokórejský klaster hrozieb, sledovaný ako Contagious Interview a tiež známy ako WaterPlum, bol prepojený so sofistikovanou rodinou malvéru s názvom StoatWaffle. Táto kampaň sa konkrétne zameriava na vývojárov tým, že zneužíva škodlivé projekty Microsoft Visual Studio Code (VS Code) ako zbraň, čo signalizuje nebezpečný vývoj útokov v dodávateľskom reťazci v ekosystéme vývoja softvéru.
Obsah
Zbraňovanie VS kód: Zneužívanie tasks.json
Významnou inováciou v tejto kampani je zneužitie konfiguračného súboru tasks.json z VS Code. Od decembra 2025 útočníci využívajú nastavenie „runOn: folderOpen“ na automatické spustenie škodlivých úloh pri každom otvorení priečinka projektu.
Táto technika zaisťuje konzistentné vykonávanie bez nutnosti explicitnej interakcie s používateľom. Škodlivá úloha načítava užitočné zaťaženie zo vzdialenej webovej aplikácie hostovanej na Verceli a funguje nezávisle od podkladového operačného systému. Hoci sa analytické prostredia často zameriavajú na Windows, logika útoku zostáva konzistentná na všetkých platformách.
Viacstupňové doručovanie užitočného zaťaženia cez Node.js
Po spustení malvér spustí štruktúrovaný, viacstupňový proces infekcie:
- Úžitková záťaž overuje, či je Node.js nainštalovaný na hostiteľskom systéme.
- Ak chýba, Node.js sa stiahne z oficiálneho zdroja a nainštaluje sa bez predchádzajúceho upozornenia.
- Spustí sa komponent sťahovania, ktorý pravidelne kontaktuje vzdialený server.
- Tento sťahovací program načíta ďalšie užitočné zaťaženia, ktoré sa spúšťajú ako kód Node.js a pokračujú v reťazci infekcie cez po sebe nasledujúce fázy.
Tento vrstvený prístup zvyšuje perzistenciu a komplikuje detekciu bezpečnostnými nástrojmi.
Vnútri StoatWaffle: Modulárne možnosti ochrany pred malvérom
StoatWaffle je navrhnutý ako modulárny framework postavený na Node.js, ktorý umožňuje flexibilné nasadenie viacerých škodlivých komponentov. Jeho hlavné moduly zahŕňajú:
Credential Stealer : Extrahuje citlivé údaje z prehliadačov založených na prehliadačoch Chromium a Mozilla Firefox vrátane uložených prihlasovacích údajov a údajov rozšírení. V systémoch macOS sa zameriava aj na databázu iCloud Keychain. Všetky zozbierané údaje sa prenášajú na server Command-and-Control (C2).
Trójsky kôň pre vzdialený prístup (RAT) : Nadväzuje trvalú komunikáciu so serverom C2, čo útočníkom umožňuje vykonávať príkazy na diaľku. Medzi jeho schopnosti patrí navigácia v súborovom systéme, vykonávanie príkazov, nahrávanie súborov, vyhľadávanie súborov na základe kľúčových slov a samoukončenie.
Rozšírenie útočnej plochy : Zneužívanie ekosystému s otvoreným zdrojovým kódom
Kampaň je v súlade so širším vzorcom útokov zameraných na platformy s otvoreným zdrojovým kódom a pracovné postupy vývojárov. Medzi významné operácie patria:
- Distribúcia PylangGhostu, backdooru založeného na jazyku Python, prostredníctvom škodlivých npm balíkov, čo predstavuje jeho prvé pozorované šírenie cez tento kanál.
- Kampaň PolinRider, ktorá vložila obfuskovaný JavaScript do stoviek repozitárov GitHub, čo viedlo k nasadeniu aktualizovanej varianty malvéru BeaverTail.
- Kompromitácia repozitárov v rámci organizácie Neutralinojs GitHub únosom účtu prispievateľa so zvýšenými oprávneniami. Škodlivý kód bol násilne nasadený na získanie šifrovaných dát vložených do blockchainových transakcií v sieťach Tron, Aptos a Binance Smart Chain.
Obete v týchto scenároch boli často infikované prostredníctvom napadnutých rozšírení VS Code alebo škodlivých npm balíkov.
Taktiky sociálneho inžinierstva: Falošné pohovory a cielenie na vývojárov
Počiatočný prístup sa často dosahuje prostredníctvom veľmi presvedčivých náborových podvodov. Útočníci simulujú legitímne procesy technických pohovorov a presviedčajú ciele, aby spustili škodlivý kód hostovaný na platformách ako GitHub, GitLab alebo Bitbucket.
Stratégia zacielenia sa zameriava na jednotlivcov s vysokou hodnotou vrátane zakladateľov, technických riaditeľov a vedúcich inžinierov v sektoroch kryptomien a Web3. Tieto pozície často poskytujú prístup ku kritickej infraštruktúre a digitálnym aktívam. V jednom zdokumentovanom prípade bol pokus o útok zameraný na zakladateľa AllSecure.io s použitím vymysleného scenára pracovného pohovoru.
Aby útočníci zvýšili dôveryhodnosť, vytvárajú falošné firemné profily na LinkedIn a udržiavajú zdanlivo legitímne účty na GitHub. Medzi ďalšie techniky patrí použitie ClickFixu, metódy sociálneho inžinierstva, ktorá maskuje doručovanie škodlivého softvéru ako úlohy hodnotenia zručností.
Strategické ciele: Viac než len krádež kryptomien
Hoci sa zdá, že krádež kryptomien je primárnou motiváciou, širší zámer sa rozširuje aj na ohrozenie dodávateľského reťazca a firemnú špionáž. Infiltráciou vývojárskych prostredí útočníci získavajú príležitosti na šírenie škodlivého kódu do softvérových projektov alebo na prístup k citlivým organizačným údajom.
Posilnenie bezpečnosti VS kódu
V reakcii na zneužívanie úloh VS Code spoločnosť Microsoft zaviedla kritické vylepšenia zabezpečenia:
- Aktualizácia z januára 2026 (verzia 1.109) zaviedla nastavenie task.allowAutomaticTasks, ktoré je predvolene zakázané, aby sa zabránilo automatickému vykonávaniu úloh definovaných v súbore tasks.json.
- Toto nastavenie nie je možné prepísať na úrovni pracovného priestoru, čo zabraňuje škodlivým repozitárom obchádzať používateľom definované bezpečnostné preferencie.
- Následné aktualizácie vrátane verzie 1.110 vydanej vo februári 2026 pridali sekundárne upozornenie pri zistení automaticky spúšťaných úloh v novootvorených pracovných priestoroch, čím sa posilnila informovanosť používateľov aj po udelení dôveryhodnosti pracovného priestoru.
Záver: Rastúca hrozba pre bezpečnosť vývojárov
Kampaň StoatWaffle zdôrazňuje významný posun v stratégii útočníkov so zameraním na vývojové prostredia a dôveryhodné pracovné postupy. Kombináciou technického zneužívania s pokročilým sociálnym inžinierstvom útočníci naďalej stierajú hranicu medzi legitímnou a škodlivou aktivitou a zdôrazňujú potrebu zvýšenej ostražitosti počas celého životného cyklu vývoja softvéru.
