มัลแวร์ StoatWaffle
กลุ่มภัยคุกคามจากเกาหลีเหนือที่ถูกติดตามในชื่อ Contagious Interview และ WaterPlum นั้น เชื่อมโยงกับตระกูลมัลแวร์ที่ซับซ้อนชื่อ StoatWaffle แคมเปญนี้มุ่งเป้าไปที่นักพัฒนาโดยเฉพาะ โดยใช้โปรเจกต์ Microsoft Visual Studio Code (VS Code) ที่เป็นอันตรายเป็นอาวุธ ซึ่งบ่งชี้ถึงวิวัฒนาการที่อันตรายยิ่งขึ้นของการโจมตีห่วงโซ่อุปทานภายในระบบนิเวศการพัฒนาซอฟต์แวร์
สารบัญ
การใช้ VS Code เป็นอาวุธ: การใช้ไฟล์ tasks.json ในทางที่ผิด
นวัตกรรมที่โดดเด่นในแคมเปญนี้คือการใช้ประโยชน์จากไฟล์การกำหนดค่า tasks.json ของ VS Code ตั้งแต่เดือนธันวาคม 2025 ผู้โจมตีได้ใช้ประโยชน์จากการตั้งค่า 'runOn: folderOpen' เพื่อเรียกใช้งานโปรแกรมที่เป็นอันตรายโดยอัตโนมัติทุกครั้งที่มีการเปิดโฟลเดอร์โปรเจ็กต์
เทคนิคนี้ช่วยให้การทำงานเป็นไปอย่างสม่ำเสมอโดยไม่ต้องมีการโต้ตอบจากผู้ใช้โดยตรง งานที่เป็นอันตรายจะดึงข้อมูลจากเว็บแอปพลิเคชันระยะไกลที่โฮสต์อยู่บน Vercel โดยทำงานอย่างอิสระจากระบบปฏิบัติการพื้นฐาน แม้ว่าสภาพแวดล้อมการวิเคราะห์มักจะเน้นที่ Windows แต่ตรรกะการโจมตีก็ยังคงสม่ำเสมอในทุกแพลตฟอร์ม
การส่งข้อมูลแบบหลายขั้นตอนผ่าน Node.js
เมื่อถูกเรียกใช้งาน มัลแวร์จะเริ่มกระบวนการแพร่เชื้อแบบมีโครงสร้างและหลายขั้นตอน:
- ข้อมูลที่ส่งไปจะตรวจสอบว่ามีการติดตั้ง Node.js บนระบบโฮสต์หรือไม่
- หากไม่มีการติดตั้ง Node.js ระบบจะดาวน์โหลดและติดตั้งโดยอัตโนมัติจากแหล่งดาวน์โหลดอย่างเป็นทางการ
- โปรแกรมดาวน์โหลดจะเริ่มทำงานและติดต่อกับเซิร์ฟเวอร์ระยะไกลเป็นระยะ
- โปรแกรมดาวน์โหลดนี้จะดึงเพย์โหลดเพิ่มเติม ซึ่งจะทำงานในรูปแบบโค้ด Node.js และดำเนินห่วงโซ่การติดเชื้อต่อไปในขั้นตอนต่างๆ
วิธีการแบบหลายชั้นนี้ช่วยเพิ่มความคงทนและทำให้เครื่องมือรักษาความปลอดภัยตรวจจับได้ยากขึ้น
ภายใน StoatWaffle: ความสามารถในการสร้างมัลแวร์แบบโมดูลาร์
StoatWaffle ถูกออกแบบมาให้เป็นเฟรมเวิร์กแบบโมดูลาร์ที่สร้างขึ้นบน Node.js ทำให้สามารถปรับใช้ส่วนประกอบที่เป็นอันตรายหลายอย่างได้อย่างยืดหยุ่น โมดูลหลักประกอบด้วย:
โปรแกรมขโมยข้อมูล ประจำตัว (Credential Stealer ): ดึงข้อมูลสำคัญจากเบราว์เซอร์ที่ใช้ Chromium และ Mozilla Firefox รวมถึงข้อมูลประจำตัวที่บันทึกไว้และข้อมูลส่วนขยาย บนระบบ macOS มันยังกำหนดเป้าหมายไปที่ฐานข้อมูล iCloud Keychain ด้วย ข้อมูลทั้งหมดที่ถูกดึงมาจะถูกส่งต่อไปยังเซิร์ฟเวอร์ควบคุมและสั่งการ (C2)
มัลแวร์ประเภท Remote Access Trojan (RAT) : สร้างการสื่อสารอย่างต่อเนื่องกับเซิร์ฟเวอร์ควบคุม (C2) ทำให้ผู้โจมตีสามารถเรียกใช้คำสั่งจากระยะไกลได้ ความสามารถต่างๆ ได้แก่ การนำทางในระบบไฟล์ การเรียกใช้คำสั่ง การอัปโหลดไฟล์ การค้นหาไฟล์ตามคำหลัก และการยุติการทำงานโดยอัตโนมัติ
การขยายขอบเขตการโจมตี : การแสวงหาประโยชน์จากระบบนิเวศโอเพนซอร์ส
แคมเปญนี้สอดคล้องกับรูปแบบการโจมตีที่กว้างขึ้นซึ่งมุ่งเป้าไปที่แพลตฟอร์มโอเพนซอร์สและกระบวนการทำงานของนักพัฒนา ปฏิบัติการที่สำคัญ ได้แก่:
- การแพร่กระจายของ PylangGhost ซึ่งเป็นแบ็กดอร์ที่ใช้ Python ผ่านแพ็กเกจ npm ที่เป็นอันตราย นับเป็นการแพร่กระจายผ่านช่องทางนี้เป็นครั้งแรกที่มีการตรวจพบ
- แคมเปญ PolinRider ซึ่งแทรกโค้ด JavaScript ที่เข้ารหัสลับเข้าไปในคลังเก็บโค้ด GitHub หลายร้อยแห่ง ส่งผลให้มีการเผยแพร่ซอฟต์แวร์มัลแวร์ BeaverTail เวอร์ชันอัปเดต
- มีการโจมตีระบบจัดเก็บข้อมูลภายในองค์กร Neutralinojs บน GitHub โดยการแฮ็กบัญชีผู้ร่วมพัฒนาที่มีสิทธิ์ระดับสูง มีการบังคับส่งโค้ดที่เป็นอันตรายเพื่อดึงข้อมูลที่เข้ารหัสซึ่งฝังอยู่ในธุรกรรมบล็อกเชนบนเครือข่าย Tron, Aptos และ Binance Smart Chain
เหยื่อในสถานการณ์เหล่านี้มักติดไวรัสผ่านส่วนขยาย VS Code ที่ถูกบุกรุก หรือแพ็กเกจ npm ที่เป็นอันตราย
กลยุทธ์วิศวกรรมสังคม: การสัมภาษณ์ปลอมและการกำหนดเป้าหมายนักพัฒนาซอฟต์แวร์
การเข้าถึงในขั้นต้นมักเกิดขึ้นผ่านการหลอกลวงการรับสมัครงานที่น่าเชื่อถืออย่างยิ่ง ผู้โจมตีจำลองกระบวนการสัมภาษณ์ทางเทคนิคที่ถูกต้องตามกฎหมาย เพื่อชักจูงให้เป้าหมายเรียกใช้โค้ดที่เป็นอันตรายซึ่งโฮสต์อยู่บนแพลตฟอร์มต่างๆ เช่น GitHub, GitLab หรือ Bitbucket
กลยุทธ์การโจมตีมุ่งเน้นไปที่บุคคลที่มีมูลค่าสูง รวมถึงผู้ก่อตั้ง CTO และวิศวกรอาวุโสในภาคส่วนสกุลเงินดิจิทัลและ Web3 ตำแหน่งเหล่านี้มักให้สิทธิ์ในการเข้าถึงโครงสร้างพื้นฐานที่สำคัญและสินทรัพย์ดิจิทัล ในกรณีหนึ่งที่ได้รับการบันทึกไว้ การพยายามโจมตีมุ่งเป้าไปที่ผู้ก่อตั้ง AllSecure.io โดยใช้สถานการณ์การสัมภาษณ์งานที่สร้างขึ้นมา
เพื่อเพิ่มความน่าเชื่อถือ ผู้โจมตีจะสร้างโปรไฟล์บริษัทปลอมบน LinkedIn และดูแลรักษาบัญชี GitHub ที่ดูเหมือนถูกต้องตามกฎหมาย เทคนิคเพิ่มเติม ได้แก่ การใช้ ClickFix ซึ่งเป็นวิธีการทางวิศวกรรมสังคมที่ปลอมแปลงการส่งมัลแวร์เป็นงานประเมินทักษะ
วัตถุประสงค์เชิงกลยุทธ์: นอกเหนือจากการโจรกรรมสกุลเงินดิจิทัล
แม้ว่าการขโมยคริปโตเคอร์เรนซีดูเหมือนจะเป็นแรงจูงใจหลัก แต่เจตนาที่กว้างกว่านั้นครอบคลุมถึงการบุกรุกห่วงโซ่อุปทานและการจารกรรมข้อมูลขององค์กร โดยการแทรกซึมเข้าไปในสภาพแวดล้อมของนักพัฒนา ผู้โจมตีจะได้รับโอกาสในการแพร่กระจายโค้ดที่เป็นอันตรายไปยังโครงการซอฟต์แวร์ปลายทาง หรือเข้าถึงข้อมูลสำคัญขององค์กร
การเสริมความแข็งแกร่งด้านความปลอดภัยของ VS Code
เพื่อตอบสนองต่อการใช้งาน VS Code ในทางที่ผิด ไมโครซอฟต์ได้ทำการปรับปรุงด้านความปลอดภัยที่สำคัญ:
- การอัปเดตเดือนมกราคม 2026 (เวอร์ชัน 1.109) ได้เพิ่มการตั้งค่า task.allowAutomaticTasks ซึ่งถูกปิดใช้งานโดยค่าเริ่มต้น เพื่อป้องกันการเรียกใช้งานอัตโนมัติของงานที่กำหนดไว้ใน tasks.json
- การตั้งค่านี้ไม่สามารถเปลี่ยนแปลงได้ในระดับพื้นที่ทำงาน ซึ่งจะป้องกันไม่ให้แหล่งเก็บข้อมูลที่เป็นอันตรายหลีกเลี่ยงการตั้งค่าความปลอดภัยที่ผู้ใช้กำหนดไว้
- การอัปเดตครั้งต่อมา รวมถึงเวอร์ชัน 1.110 ที่วางจำหน่ายในเดือนกุมภาพันธ์ 2026 ได้เพิ่มข้อความเตือนเพิ่มเติมเมื่อตรวจพบงานที่ทำงานอัตโนมัติในพื้นที่ทำงานที่เปิดใหม่ เพื่อเสริมสร้างความตระหนักรู้ของผู้ใช้แม้หลังจากที่ได้ให้สิทธิ์ความไว้วางใจแก่พื้นที่ทำงานแล้ว
สรุป: ภัยคุกคามที่เพิ่มขึ้นต่อความปลอดภัยของนักพัฒนา
แคมเปญ StoatWaffle แสดงให้เห็นถึงการเปลี่ยนแปลงครั้งสำคัญในกลยุทธ์ของผู้โจมตี โดยมุ่งเน้นไปที่สภาพแวดล้อมการพัฒนาและเวิร์กโฟลว์ที่เชื่อถือได้ ด้วยการผสมผสานการใช้ประโยชน์ทางเทคนิคเข้ากับวิศวกรรมสังคมขั้นสูง ผู้คุกคามยังคงทำให้เส้นแบ่งระหว่างกิจกรรมที่ถูกต้องและกิจกรรมที่เป็นอันตรายนั้นเลือนลางลง ซึ่งเน้นย้ำถึงความจำเป็นในการเฝ้าระวังอย่างเข้มงวดตลอดวงจรการพัฒนาซอฟต์แวร์
