Злонамерни софтвер StoatWaffle
Севернокорејски кластер претњи, праћен као Contagious Interview, а познат и као WaterPlum, повезан је са софистицираном породицом малвера под називом StoatWaffle. Ова кампања је посебно усмерена на програмере тако што их претвара у оружје у злонамерне пројекте Microsoft Visual Studio Code (VS Code), сигнализирајући опасну еволуцију напада у ланцу снабдевања унутар екосистема развоја софтвера.
Преглед садржаја
Злоупотреба оружја у односу на код: Злоупотреба tasks.json датотеке
Значајна иновација у овој кампањи је искоришћавање конфигурационе датотеке tasks.json из VS Code-а. Од децембра 2025. године, нападачи користе подешавање „runOn: folderOpen“ да би аутоматски извршавали злонамерне задатке сваки пут када се отвори фасцикла пројекта.
Ова техника обезбеђује доследно извршавање без потребе за експлицитном интеракцијом корисника. Злонамерни задатак преузима корисне податке са удаљене веб апликације хостоване на Верселу, радећи независно од основног оперативног система. Иако се аналитичка окружења често фокусирају на Windows, логика напада остаје доследна на свим платформама.
Вишестепена испорука корисног терета путем Node.js-а
Једном покренут, злонамерни софтвер покреће структурирани, вишестепени процес инфекције:
- Корисни терет проверава да ли је Node.js инсталиран на хост систему.
- Ако га нема, Node.js се преузима са званичног изворног кода и инсталира тихо.
- Покреће се компонента за преузимање која периодично контактира удаљени сервер.
- Овај програм за преузимање преузима додатне корисне податке, који се извршавају као Node.js код и настављају ланац инфекције кроз узастопне фазе.
Овај слојевити приступ побољшава истрајност и компликује откривање помоћу безбедносних алата.
Унутар StoatWaffle-а: Модуларне могућности злонамерног софтвера
StoatWaffle је дизајниран као модуларни фрејмворк изграђен на Node.js-у, омогућавајући флексибилно распоређивање више злонамерних компоненти. Његови примарни модули укључују:
Крађа акредитива : Издваја осетљиве податке из прегледача заснованих на Chromium-у и Mozilla Firefox-а, укључујући сачуване акредитиве и податке о екстензијама. На macOS системима, такође циља iCloud Keychain базу података. Сви прикупљени подаци се преносе на Command-and-Control (C2) сервер.
Тројанац за удаљени приступ (RAT) : Успоставља сталну комуникацију са C2 сервером, омогућавајући нападачима да извршавају команде на даљину. Могућности укључују навигацију кроз систем датотека, извршавање команди, отпремање датотека, претрагу датотека на основу кључних речи и самоукидање.
Проширивање површине напада : Искоришћавање екосистема отвореног кода
Кампања је у складу са ширим обрасцем напада усмерених на платформе отвореног кода и токове рада програмера. Значајније операције укључују:
- Дистрибуција PylangGhost-а, бекдора заснованог на Пајтону, путем злонамерних npm пакета, означавајући његово прво примећено ширење кроз овај канал.
- Кампања PolinRider, која је убризгала замагљени JavaScript у стотине GitHub репозиторијума, што је довело до примене ажуриране варијанте злонамерног софтвера BeaverTail.
- Компромитовање репозиторијума унутар Neutralinojs GitHub организације отмицом налога сарадника са повећаним привилегијама. Злонамерни код је присилно употребљен ради преузимања шифрованих корисних података уграђених у блокчејн трансакције преко Tron, Aptos и Binance Smart Chain мрежа.
Жртве у овим сценаријима су често биле заражене путем компромитованих VS Code екстензија или злонамерних npm пакета.
Тактике социјалног инжењеринга: Лажни интервјуи и циљање програмера
Почетни приступ се често остварује путем веома убедљивих превара у регрутовању. Нападачи симулирају легитимне техничке процесе интервјуа, убеђујући мете да покрећу злонамерни код хостован на платформама као што су GitHub, GitLab или Bitbucket.
Стратегија циљања фокусира се на појединце високе вредности, укључујући осниваче, техничке директоре и вишије инжењере у секторима криптовалута и Web3. Ове улоге често пружају приступ критичној инфраструктури и дигиталној имовини. У једном документованом случају, покушај напада је усмерен на оснивача AllSecure.io користећи измишљени сценарио разговора за посао.
Да би повећали кредибилитет, нападачи креирају лажне профиле компанија на LinkedIn-у и одржавају наизглед легитимне GitHub налоге. Додатне технике укључују употребу ClickFix-а, методе социјалног инжењеринга која прикрива испоруку злонамерног софтвера као задатке процене вештина.
Стратешки циљеви: Преко крађе криптовалута
Иако се чини да је крађа криптовалута примарна мотивација, шира намера се протеже на компромитовање ланца снабдевања и корпоративну шпијунажу. Инфилтрирањем у програмерска окружења, нападачи добијају могућности да пропагирају злонамерни код у софтверске пројекте или приступе осетљивим организационим подацима.
Јачање безбедности VS кода
Као одговор на злоупотребу VS Code задатака, Microsoft је увео критична безбедносна побољшања:
- Ажурирање из јануара 2026. (верзија 1.109) увело је подешавање task.allowAutomaticTasks, које је подразумевано онемогућено како би се спречило аутоматско извршавање задатака дефинисаних у tasks.json.
- Ово подешавање се не може поништити на нивоу радног простора, што спречава злонамерне репозиторијуме да заобиђу кориснички дефинисане безбедносне поставке.
- Накнадна ажурирања, укључујући верзију 1.110 објављену у фебруару 2026. године, додала су секундарно упозорење када се у новоотвореним радним просторима открију задаци који се аутоматски покрећу, појачавајући свест корисника чак и након што је додељено поверење радног простора.
Закључак: Растућа претња безбедности програмера
Кампања StoatWaffle истиче значајну промену у стратегији нападача, фокусирајући се на развојна окружења и поуздане токове рада. Комбиновањем техничке експлоатације са напредним друштвеним инжењерингом, актери претњи настављају да замагљују границу између легитимних и злонамерних активности, наглашавајући потребу за повећаном будношћу током животног циклуса развоја софтвера.
