Zlonamerna programska oprema StoatWaffle
Severnokorejska skupina groženj, znana kot Contagious Interview in WaterPlum, je bila povezana s prefinjeno družino zlonamerne programske opreme StoatWaffle. Ta kampanja je posebej usmerjena na razvijalce, tako da zlonamerne projekte Microsoft Visual Studio Code (VS Code) uporablja kot orožje, kar signalizira nevaren razvoj napadov v dobavni verigi znotraj ekosistema razvoja programske opreme.
Kazalo
Orožje v primerjavi s kodo: Zloraba datoteke tasks.json
Pomembna inovacija v tej kampanji je izkoriščanje konfiguracijske datoteke tasks.json iz VS Code. Od decembra 2025 napadalci izkoriščajo nastavitev »runOn: folderOpen« za samodejno izvajanje zlonamernih nalog vsakič, ko se odpre mapa projekta.
Ta tehnika zagotavlja dosledno izvajanje brez potrebe po eksplicitni interakciji uporabnika. Zlonamerna naloga pridobi koristne podatke iz oddaljene spletne aplikacije, ki gostuje na Vercelu, in deluje neodvisno od osnovnega operacijskega sistema. Čeprav se analitična okolja pogosto osredotočajo na Windows, logika napada ostaja dosledna na vseh platformah.
Večstopenjska dostava koristnega tovora prek Node.js
Ko se zlonamerna programska oprema zažene, sproži strukturiran, večstopenjski proces okužbe:
- Koristni tovor preveri, ali je Node.js nameščen na gostiteljskem sistemu.
- Če ni datoteke, se Node.js prenese iz uradne vira in namesti tiho.
- Zažene se komponenta za prenos, ki občasno vzpostavlja stik z oddaljenim strežnikom.
- Ta program za prenos pridobi dodatne koristne tovore, ki se izvedejo kot koda Node.js in nadaljujejo verigo okužbe skozi zaporedne faze.
Ta večplastni pristop izboljša obstojnost in otežuje odkrivanje z varnostnimi orodji.
V StoatWaffle: Modularne zmogljivosti zlonamerne programske opreme
StoatWaffle je zasnovan kot modularni okvir, zgrajen na Node.js, ki omogoča prilagodljivo namestitev več zlonamernih komponent. Njegovi glavni moduli vključujejo:
Kraja poverilnic : Iz brskalnikov Chromium in Mozilla Firefox pridobiva občutljive podatke, vključno s shranjenimi poverilnicami in podatki o razširitvah. V sistemih macOS cilja tudi na podatkovno bazo iCloud Keychain. Vsi pridobljeni podatki se prenesejo na strežnik Command-and-Control (C2).
Trojanski konj za oddaljeni dostop (RAT) : Vzpostavlja trajno komunikacijo s strežnikom C2, kar napadalcem omogoča oddaljeno izvajanje ukazov. Zmogljivosti vključujejo navigacijo po datotečnem sistemu, izvajanje ukazov, nalaganje datotek, iskanje datotek na podlagi ključnih besed in samouničenje.
Razširitev površine napada : izkoriščanje odprtokodnega ekosistema
Kampanja se ujema s širšim vzorcem napadov, usmerjenih na platforme odprte kode in delovne procese razvijalcev. Med pomembnejše operacije spadajo:
- Distribucija PylangGhosta, zadnja vrata, ki temeljijo na Pythonu, prek zlonamernih npm paketov, kar je prvo opaženo širjenje prek tega kanala.
- Kampanja PolinRider, ki je v stotine repozitorijev GitHub vbrizgala zakrit JavaScript, kar je privedlo do uvedbe posodobljene različice zlonamerne programske opreme BeaverTail.
- Kompromis repozitorijev znotraj organizacije Neutralinojs GitHub z ugrabitvijo računa sodelavca s povišanimi privilegiji. Zlonamerna koda je bila vsiljena za pridobivanje šifriranih koristnih tovorov, vdelanih v transakcije veriženja blokov v omrežjih Tron, Aptos in Binance Smart Chain.
Žrtve v teh scenarijih so bile pogosto okužene prek ogroženih razširitev VS Code ali zlonamernih paketov npm.
Taktike socialnega inženiringa: lažni intervjuji in ciljanje razvijalcev
Začetni dostop se pogosto doseže z zelo prepričljivimi prevarami pri zaposlovanju. Napadalci simulirajo legitimne postopke tehničnih razgovorov in prepričujejo tarče, da izvajajo zlonamerno kodo, ki gostuje na platformah, kot so GitHub, GitLab ali Bitbucket.
Strategija ciljanja se osredotoča na posameznike z visoko vrednostjo, vključno z ustanovitelji, tehničnimi direktorji in višjimi inženirji v sektorjih kriptovalut in Web3. Te vloge pogosto omogočajo dostop do kritične infrastrukture in digitalnih sredstev. V enem dokumentiranem primeru je bil poskus napada usmerjen na ustanovitelja AllSecure.io z uporabo izmišljenega scenarija razgovora za službo.
Za povečanje verodostojnosti napadalci ustvarjajo lažne profile podjetij na LinkedInu in vzdržujejo na videz legitimne račune GitHub. Dodatne tehnike vključujejo uporabo ClickFixa, metode socialnega inženiringa, ki prikriva dostavo zlonamerne programske opreme kot naloge ocenjevanja znanj.
Strateški cilji: Onkraj kraje kriptovalut
Čeprav se zdi, da je kraja kriptovalut glavni motiv, se širši namen razširi na ogrožanje dobavne verige in korporativno vohunjenje. Z infiltracijo v razvijalska okolja napadalci pridobijo priložnosti za širjenje zlonamerne kode v nadaljnje programske projekte ali dostop do občutljivih organizacijskih podatkov.
Krepitev varnosti kode VS
Kot odgovor na zlorabo opravil VS Code je Microsoft uvedel kritične varnostne izboljšave:
- Posodobitev iz januarja 2026 (različica 1.109) je uvedla nastavitev task.allowAutomaticTasks, ki je privzeto onemogočena, da se prepreči samodejno izvajanje nalog, definiranih v tasks.json.
- Te nastavitve ni mogoče preglasiti na ravni delovnega prostora, kar preprečuje zlonamernim repozitorijem, da bi zaobšli uporabniško določene varnostne nastavitve.
- Kasnejše posodobitve, vključno z različico 1.110, izdano februarja 2026, so dodale sekundarno opozorilo, ko so v novo odprtih delovnih prostorih zaznane samodejne naloge, s čimer so se uporabniki bolje zavedali problema tudi po tem, ko je zaupanje delovnega prostora odobreno.
Zaključek: Naraščajoča grožnja varnosti razvijalcev
Kampanja StoatWaffle poudarja pomemben premik v strategiji napadalcev, ki se osredotoča na razvojna okolja in zaupanja vredne delovne procese. Z združevanjem tehničnega izkoriščanja z naprednim socialnim inženiringom akterji grožnje še naprej brišejo mejo med legitimnimi in zlonamernimi dejavnostmi, kar poudarja potrebo po večji budnosti v celotnem življenjskem ciklu razvoja programske opreme.
