StoatWaffle-skadlig programvara
Ett nordkoreanskt hotkluster, spårat som Contagious Interview och även känt som WaterPlum, har kopplats till en sofistikerad skadlig programfamilj som kallas StoatWaffle. Denna kampanj riktar sig specifikt mot utvecklare genom att använda skadliga Microsoft Visual Studio Code (VS Code)-projekt som vapen, vilket signalerar en farlig utveckling av attacker i leveranskedjan inom mjukvaruutvecklingsekosystemet.
Innehållsförteckning
Vapenanvändning av VS-kod: Missbruk av tasks.json
En anmärkningsvärd innovation i den här kampanjen är utnyttjandet av VS Codes konfigurationsfil tasks.json. Sedan december 2025 har angripare utnyttjat inställningen 'runOn: folderOpen' för att automatiskt köra skadliga uppgifter varje gång en projektmapp öppnas.
Denna teknik säkerställer konsekvent exekvering utan att kräva explicit användarinteraktion. Den skadliga uppgiften hämtar nyttolaster från en fjärransluten webbapplikation som finns på Vercel och som fungerar oberoende av det underliggande operativsystemet. Även om analysmiljöer ofta fokuserar på Windows, förblir attacklogiken konsekvent över plattformar.
Flerstegs nyttolastleverans via Node.js
När den skadliga programvaran har körts initierar den en strukturerad infektionsprocess i flera steg:
- Nyttolasten verifierar om Node.js är installerat på värdsystemet.
- Om den saknas laddas Node.js ner från sin officiella källa och installeras tyst.
- En nedladdningskomponent startas och kontaktar regelbundet en fjärrserver.
- Denna nedladdare hämtar ytterligare nyttolaster, som körs som Node.js-kod och fortsätter infektionskedjan genom successiva steg.
Denna skiktade metod förbättrar beständigheten och komplicerar detektering med säkerhetsverktyg.
Inuti StoatWaffle: Modulära skadliga programfunktioner
StoatWaffle är utformat som ett modulärt ramverk byggt på Node.js, vilket möjliggör flexibel distribution av flera skadliga komponenter. Dess primära moduler inkluderar:
Credential Stealer : Extraherar känslig data från Chromium-baserade webbläsare och Mozilla Firefox, inklusive sparade inloggningsuppgifter och tilläggsdata. På macOS-system riktar den sig även mot iCloud Keychain-databasen. All insamlad data exfiltreras till en Command-and-Control (C2)-server.
Fjärråtkomsttrojan (RAT) : Upprättar permanent kommunikation med C2-servern, vilket gör det möjligt för angripare att utföra kommandon på distans. Funktioner inkluderar filsystemnavigering, kommandokörning, filuppladdning, nyckelordsbaserade filsökningar och självavslutning.
Utöka attackytan : Utnyttjande av ekosystem med öppen källkod
Kampanjen ligger i linje med ett bredare mönster av attacker som riktar sig mot öppen källkodsplattformar och arbetsflöden för utvecklare. Bland de anmärkningsvärda operationerna finns:
- Distribution av PylangGhost, en Python-baserad bakdörr, via skadliga npm-paket, vilket markerar dess första observerade spridning genom denna kanal.
- PolinRider-kampanjen, som injicerade obfuskerat JavaScript i hundratals GitHub-arkiv, vilket ledde till distributionen av en uppdaterad variant av BeaverTail-skadlig kod.
- Intrång i arkiv inom Neutralinojs GitHub-organisation genom kapning av ett bidragskonto med utökade behörigheter. Skadlig kod tvingades fram för att hämta krypterade nyttolaster inbäddade i blockkedjetransaktioner över Tron-, Aptos- och Binance Smart Chain-nätverk.
Offren i dessa scenarier infekterades ofta via komprometterade VS Code-tillägg eller skadliga npm-paket.
Sociala ingenjörskonsttaktik: Falska intervjuer och utvecklarinriktning
Initial åtkomst uppnås ofta genom mycket övertygande rekryteringsbedrägerier. Angripare simulerar legitima tekniska intervjuprocesser och övertalar måltavlor att köra skadlig kod som finns på plattformar som GitHub, GitLab eller Bitbucket.
Riktningsstrategin fokuserar på värdefulla individer, inklusive grundare, tekniska chefer och seniora ingenjörer inom kryptovaluta- och Web3-sektorerna. Dessa roller ger ofta tillgång till kritisk infrastruktur och digitala tillgångar. I ett dokumenterat fall riktades ett attackförsök mot grundaren av AllSecure.io med hjälp av ett påhittat scenario för en jobbintervju.
För att öka trovärdigheten skapar angripare falska företagsprofiler på LinkedIn och underhåller till synes legitima GitHub-konton. Ytterligare tekniker inkluderar användningen av ClickFix, en social ingenjörskonstmetod som döljer leverans av skadlig kod som färdighetsbedömningsuppgifter.
Strategiska mål: Bortom kryptovalutastöld
Även om kryptovalutastöld verkar vara en primär motivation, sträcker sig den bredare avsikten till att äventyra leveranskedjor och företagsspionage. Genom att infiltrera utvecklarmiljöer får angripare möjligheter att sprida skadlig kod till nedströms programvaruprojekt eller få tillgång till känslig organisationsdata.
Stärka VS-kodsäkerheten
Som svar på missbruket av VS Code-uppgifter introducerade Microsoft kritiska säkerhetsförbättringar:
- Uppdateringen från januari 2026 (version 1.109) introducerade inställningen task.allowAutomaticTasks, som är inaktiverad som standard för att förhindra automatisk körning av uppgifter som definieras i tasks.json.
- Den här inställningen kan inte åsidosättas på arbetsytenivå, vilket förhindrar att skadliga databaser kringgår användardefinierade säkerhetsinställningar.
- Efterföljande uppdateringar, inklusive version 1.110 som släpptes i februari 2026, lade till en sekundär varningsfråga när automatiskt körda uppgifter upptäcks i nyöppnade arbetsytor, vilket förstärker användarmedvetenheten även efter att arbetsyteförtroende har beviljats.
Slutsats: Ett växande hot mot utvecklarsäkerheten
StoatWaffle-kampanjen belyser ett betydande skifte i angriparstrategin, med fokus på utvecklingsmiljöer och betrodda arbetsflöden. Genom att kombinera teknisk exploatering med avancerad social ingenjörskonst fortsätter hotaktörerna att sudda ut gränsen mellan legitim och skadlig aktivitet, vilket betonar behovet av ökad vaksamhet under hela programvaruutvecklingscykeln.
