Kuota e zbritjes me shumë licencë
Baza e të dhënave të kërcënimeve Malware StoatWaffle Malware

StoatWaffle Malware

Nga MezoMalware, Kërcënimi i avancuar i vazhdueshëm (APT)
Përkthe në:

Një grumbull kërcënimesh nga Koreja e Veriut, i gjurmuar si Contagious Interview dhe i njohur edhe si WaterPlum, është lidhur me një familje të sofistikuar programesh keqdashëse të quajtur StoatWaffle. Kjo fushatë synon konkretisht zhvilluesit duke i përdorur si armë projektet keqdashëse të Microsoft Visual Studio Code (VS Code), duke sinjalizuar një evolucion të rrezikshëm në sulmet e zinxhirit të furnizimit brenda ekosistemit të zhvillimit të softuerëve.

Armëzim kundër Kodit: Abuzimi i tasks.json

Një risi e dukshme në këtë fushatë është shfrytëzimi i skedarit të konfigurimit tasks.json të VS Code. Që nga dhjetori i vitit 2025, sulmuesit kanë shfrytëzuar cilësimin 'runOn: folderOpen' për të ekzekutuar automatikisht detyra dashakeqe sa herë që hapet një dosje projekti.

Kjo teknikë siguron ekzekutim të qëndrueshëm pa kërkuar ndërveprim të qartë të përdoruesit. Detyra keqdashëse merr ngarkesa nga një aplikacion i largët në internet i vendosur në Vercel, i cili vepron në mënyrë të pavarur nga sistemi operativ themelor. Edhe pse mjediset e analizës shpesh përqendrohen në Windows, logjika e sulmit mbetet e qëndrueshme në të gjitha platformat.

Dorëzimi i ngarkesës shumëfazore nëpërmjet Node.js

Pasi ekzekutohet, programi keqdashës fillon një proces të strukturuar infektimi me shumë faza:

  • Ngarkesa verifikon nëse Node.js është instaluar në sistemin pritës.
  • Nëse mungon, Node.js shkarkohet nga burimi i tij zyrtar dhe instalohet në heshtje.
  • Një komponent shkarkues hapet, duke kontaktuar periodikisht një server të largët.
  • Ky shkarkues merr ngarkesa shtesë, të cilat ekzekutohen si kod Node.js dhe vazhdojnë zinxhirin e infeksionit përmes fazave të njëpasnjëshme.

Kjo qasje e shtresuar rrit qëndrueshmërinë dhe e ndërlikon zbulimin nga mjetet e sigurisë.

Brenda StoatWaffle: Aftësitë modulare të Malware-it

StoatWaffle është projektuar si një strukturë modulare e ndërtuar mbi Node.js, duke mundësuar vendosjen fleksibile të komponentëve të shumtë keqdashës. Modulet e tij kryesore përfshijnë:

Vjedhësi i Kredencialeve : Nxjerr të dhëna të ndjeshme nga shfletuesit e bazuar në Chromium dhe Mozilla Firefox, duke përfshirë kredencialet e ruajtura dhe të dhënat e zgjerimeve. Në sistemet macOS, ai gjithashtu synon bazën e të dhënave iCloud Keychain. Të gjitha të dhënat e mbledhura ekfiltrohen në një server Command-and-Control (C2).
Trojan me Qasje në Distancë (RAT) : Vendos komunikim të vazhdueshëm me serverin C2, duke u lejuar sulmuesve të ekzekutojnë komanda nga distanca. Aftësitë përfshijnë navigimin në sistemin e skedarëve, ekzekutimin e komandave, ngarkimin e skedarëve, kërkimet e skedarëve bazuar në fjalë kyçe dhe vetë-përfundimin.
Zgjerimi i Sipërfaqes së Sulmit : Shfrytëzimi i Ekosistemit me Burim të Hapur

Fushata përputhet me një model më të gjerë sulmesh që synojnë platformat me burim të hapur dhe rrjedhat e punës së zhvilluesve. Operacionet e dukshme përfshijnë:

  • Shpërndarja e PylangGhost, një derë e pasme e bazuar në Python, nëpërmjet paketave dashakeqe npm, duke shënuar përhapjen e parë të vëzhguar përmes këtij kanali.
  • Fushata PolinRider, e cila injektoi JavaScript të turbullt në qindra depo të GitHub, duke çuar në vendosjen e një varianti të përditësuar të malware BeaverTail.
  • Kompromentim i depove brenda organizatës Neutralinojs GitHub duke rrëmbyer një llogari kontribuesi me privilegje të larta. Një kod keqdashës u shty me forcë për të rikuperuar ngarkesat e koduara të ngulitura në transaksionet e blockchain në rrjetet Tron, Aptos dhe Binance Smart Chain.

Viktimat në këto skenarë shpesh infektoheshin përmes zgjerimeve të kompromentuara të Kodit VS ose paketave dashakeqe npm.

Taktikat e Inxhinierisë Sociale: Intervista të Rreme dhe Targetim i Zhvilluesve

Qasja fillestare arrihet shpesh përmes mashtrimeve shumë bindëse të rekrutimit. Sulmuesit simulojnë procese legjitime të intervistave teknike, duke i bindur objektivat të ekzekutojnë kod dashakeq të vendosur në platforma të tilla si GitHub, GitLab ose Bitbucket.

Strategjia e shënjestrimit përqendrohet te individë me vlerë të lartë, duke përfshirë themeluesit, drejtorët teknologjikë dhe inxhinierët e lartë në sektorët e kriptomonedhave dhe Web3. Këto role shpesh ofrojnë qasje në infrastrukturën kritike dhe asetet dixhitale. Në një rast të dokumentuar, një sulm i tentuar shënjestroi themeluesin e AllSecure.io duke përdorur një skenar të sajuar interviste pune.

Për të rritur besueshmërinë, sulmuesit krijojnë profile të rreme kompanish në LinkedIn dhe mirëmbajnë llogari në GitHub që duken të ligjshme. Teknika të tjera përfshijnë përdorimin e ClickFix, një metodë inxhinierie sociale që maskon shpërndarjen e programeve keqdashëse si detyra vlerësimi të aftësive.

Objektivat Strategjike: Përtej Vjedhjes së Kriptomonedhave

Edhe pse vjedhja e kriptomonedhave duket të jetë një motiv kryesor, qëllimi më i gjerë shtrihet në kompromentimin e zinxhirit të furnizimit dhe spiunazhin e korporatave. Duke infiltruar në mjediset e zhvilluesve, sulmuesit fitojnë mundësi për të përhapur kod të dëmshëm në projekte softuerësh në zhvillim ose për të aksesuar të dhëna të ndjeshme organizative.

Forcimi i Sigurisë së Kodit VS

Në përgjigje të abuzimit me detyrat e VS Code, Microsoft prezantoi përmirësime kritike të sigurisë:

  • Përditësimi i janarit 2026 (versioni 1.109) prezantoi cilësimin task.allowAutomaticTasks, i cili është çaktivizuar si parazgjedhje për të parandaluar ekzekutimin automatik të detyrave të përcaktuara në tasks.json.
  • Ky cilësim nuk mund të anashkalohet në nivelin e hapësirës së punës, duke parandaluar që depot keqdashëse të anashkalojnë preferencat e sigurisë të përcaktuara nga përdoruesi.
  • Përditësimet pasuese, përfshirë versionin 1.110 të lëshuar në shkurt 2026, shtuan një njoftim dytësor paralajmërues kur zbulohen detyra që ekzekutohen automatikisht në hapësirat e punës të hapura rishtazi, duke përforcuar ndërgjegjësimin e përdoruesit edhe pasi të jetë dhënë Besimi i Hapësirës së Punës.

Përfundim: Një kërcënim në rritje për sigurinë e zhvilluesve

Fushata StoatWaffle nxjerr në pah një ndryshim të rëndësishëm në strategjinë e sulmuesit, duke u përqendruar në mjediset e zhvillimit dhe rrjedhat e punës të besueshme. Duke kombinuar shfrytëzimin teknik me inxhinierinë sociale të përparuar, aktorët kërcënues vazhdojnë të zbehin vijën ndarëse midis aktivitetit legjitim dhe atij keqdashës, duke theksuar nevojën për vigjilencë të shtuar gjatë gjithë ciklit jetësor të zhvillimit të softuerit.

Në trend

Fushata UNC4899 për Kompromentimin e Cloud-it

Kërcënimi i avancuar i vazhdueshëm (APT)
Një ndërhyrje kibernetike e sofistikuar në vitin 2025 është lidhur me aktorin kërcënues të Koresë së Veriut UNC4899, një grup i dyshuar për orkestrimin e një komprometimi në shkallë të gjerë të një organizate kriptomonedhash që rezultoi në vjedhjen e miliona dollarëve në asete dixhitale. Fushata i është atribuar me besim të moderuar këtij kundërshtari të sponsorizuar nga shteti, i cili...

Më e shikuara

Po ngarkohet...