Malware ng StoatWaffle

Isang kumpol ng banta mula sa Hilagang Korea, na sinusubaybayan bilang Contagious Interview at kilala rin bilang WaterPlum, ang naiugnay sa isang sopistikadong pamilya ng malware na tinatawag na StoatWaffle. Partikular na tinatarget ng kampanyang ito ang mga developer sa pamamagitan ng paggamit ng mga malisyosong proyekto ng Microsoft Visual Studio Code (VS Code), na hudyat ng isang mapanganib na ebolusyon sa mga pag-atake sa supply chain sa loob ng ecosystem ng software development.

Pagsasandata ng VS Code: Ang Pag-abuso sa tasks.json

Isang kapansin-pansing inobasyon sa kampanyang ito ay ang paggamit ng task.json configuration file ng VS Code. Simula noong Disyembre 2025, ginamit na ng mga attacker ang setting na 'runOn: folderOpen' upang awtomatikong isagawa ang mga malisyosong gawain tuwing bubuksan ang isang project folder.

Tinitiyak ng pamamaraang ito ang pare-parehong pagpapatupad nang hindi nangangailangan ng tahasang pakikipag-ugnayan ng gumagamit. Kinukuha ng malisyosong gawain ang mga payload mula sa isang malayuang web application na naka-host sa Vercel, na gumagana nang hiwalay sa pinagbabatayan na operating system. Bagama't kadalasang nakatuon ang mga analysis environment sa Windows, nananatiling pare-pareho ang lohika ng pag-atake sa iba't ibang platform.

Paghahatid ng Payload sa Maraming Yugto sa pamamagitan ng Node.js

Kapag naisakatuparan na, ang malware ay magsisimula ng isang nakabalangkas at maraming yugtong proseso ng impeksyon:

• Bineberipika ng payload kung naka-install na ang Node.js sa host system.
• Kung wala, ang Node.js ay dina-download mula sa opisyal na pinagmulan nito at tahimik na ini-install.
• Isang bahagi ng downloader ang inilulunsad, na pana-panahong nakikipag-ugnayan sa isang malayong server.
• Kinukuha ng downloader na ito ang mga karagdagang payload, na isinasagawa bilang Node.js code at ipinagpapatuloy ang kadena ng impeksyon sa magkakasunod na yugto.

Pinahuhusay ng layered na pamamaraang ito ang persistence at pinapakomplikado ang pagtukoy gamit ang mga security tool.

Sa Loob ng StoatWaffle: Mga Kakayahan ng Modular Malware

Ang StoatWaffle ay dinisenyo bilang isang modular framework na binuo gamit ang Node.js, na nagbibigay-daan sa flexible na pag-deploy ng maraming malisyosong bahagi. Kabilang sa mga pangunahing module nito ang:

Magnanakaw ng Kredensyal : Kinukuha ang sensitibong data mula sa mga browser na nakabatay sa Chromium at Mozilla Firefox, kabilang ang mga naka-save na kredensyal at data ng extension. Sa mga macOS system, tinatarget din nito ang database ng iCloud Keychain. Ang lahat ng nakuha na data ay inilalabas sa isang Command-and-Control (C2) server.
Remote Access Trojan (RAT) : Nagtatatag ng patuloy na komunikasyon sa C2 server, na nagpapahintulot sa mga umaatake na isagawa ang mga utos nang malayuan. Kabilang sa mga kakayahan ang pag-navigate sa file system, pagpapatupad ng utos, pag-upload ng file, paghahanap ng file batay sa keyword, at self-termination.
Pagpapalawak ng Ibabaw ng Pag-atake : Pagsasamantala sa Open-Source Ecosystem

Ang kampanya ay naaayon sa mas malawak na padron ng mga pag-atake na naka-target sa mga open-source platform at mga daloy ng trabaho ng developer. Kabilang sa mga kilalang operasyon ang:

• Ang pamamahagi ng PylangGhost, isang backdoor na nakabatay sa Python, sa pamamagitan ng mga malisyosong npm package, na siyang unang naobserbahang paglaganap nito sa pamamagitan ng channel na ito.
• Ang kampanyang PolinRider, na nagpasok ng pinalabo na JavaScript sa daan-daang repositoryo ng GitHub, na humantong sa pag-deploy ng isang na-update na variant ng BeaverTail malware.
• Pagkompromiso sa mga repositoryo sa loob ng organisasyong Neutralinojs GitHub sa pamamagitan ng pag-hijack sa isang contributor account na may mataas na pribilehiyo. Sapilitang ginamit ang malisyosong code upang makuha ang mga naka-encrypt na payload na naka-embed sa mga transaksyon sa blockchain sa mga network ng Tron, Aptos, at Binance Smart Chain.

Ang mga biktima sa mga sitwasyong ito ay kadalasang nahawaan sa pamamagitan ng mga nakompromisong VS Code extension o mga malisyosong npm package.

Mga Taktika sa Social Engineering: Mga Pekeng Panayam at Pag-target sa Developer

Ang unang pag-access ay kadalasang nakakamit sa pamamagitan ng lubos na nakakakumbinsing mga panloloko sa recruitment. Ginagaya ng mga umaatake ang mga lehitimong teknikal na proseso ng panayam, hinihikayat ang mga target na magpatupad ng malisyosong code na naka-host sa mga platform tulad ng GitHub, GitLab, o Bitbucket.

Ang estratehiya sa pag-target ay nakatuon sa mga indibidwal na may mataas na halaga, kabilang ang mga founder, CTO, at senior engineer sa mga sektor ng cryptocurrency at Web3. Ang mga tungkuling ito ay kadalasang nagbibigay ng access sa mga kritikal na imprastraktura at mga digital asset. Sa isang dokumentadong kaso, isang tangkang pag-atake ang tumatarget sa founder ng AllSecure.io gamit ang isang gawa-gawang senaryo ng panayam sa trabaho.

Para mapataas ang kredibilidad, ang mga umaatake ay lumilikha ng mga pekeng profile ng kumpanya sa LinkedIn at nagpapanatili ng mga tila lehitimong GitHub account. Kasama sa mga karagdagang pamamaraan ang paggamit ng ClickFix, isang paraan ng social engineering na nagbabalatkayo sa paghahatid ng malware bilang mga gawain sa pagtatasa ng kasanayan.

Mga Istratehikong Layunin: Higit Pa sa Pagnanakaw ng Cryptocurrency

Bagama't tila pangunahing motibasyon ang pagnanakaw ng cryptocurrency, ang mas malawak na layunin ay umaabot sa pagkompromiso sa supply chain at paniniktik ng mga korporasyon. Sa pamamagitan ng pagpasok sa mga kapaligiran ng developer, nagkakaroon ng mga pagkakataon ang mga umaatake na magpalaganap ng malisyosong code sa mga proyekto ng software sa ibaba ng antas ng produksyon o ma-access ang sensitibong datos ng organisasyon.

Pagpapalakas ng Seguridad ng VS Code

Bilang tugon sa pang-aabuso sa mga gawain ng VS Code, nagpakilala ang Microsoft ng mga kritikal na pagpapahusay sa seguridad:

• Ipinakilala ng update noong Enero 2026 (bersyon 1.109) ang setting na task.allowAutomaticTasks, na naka-disable bilang default upang maiwasan ang awtomatikong pagpapatupad ng mga gawaing tinukoy sa tasks.json.
• Hindi maaaring i-override ang setting na ito sa antas ng workspace, na pumipigil sa mga malisyosong repositoryo na malampasan ang mga kagustuhan sa seguridad na tinukoy ng user.
• Ang mga kasunod na update, kabilang ang bersyon 1.110 na inilabas noong Pebrero 2026, ay nagdagdag ng pangalawang babala kapag may mga awtomatikong gawain na natukoy sa mga bagong bukas na workspace, na nagpapatibay sa kamalayan ng user kahit na naibigay na ang Workspace Trust.

Konklusyon: Isang Lumalaking Banta sa Seguridad ng Developer

Itinatampok ng kampanyang StoatWaffle ang isang makabuluhang pagbabago sa estratehiya ng mga umaatake, na nakatuon sa mga kapaligiran ng pag-develop at mga pinagkakatiwalaang daloy ng trabaho. Sa pamamagitan ng pagsasama-sama ng teknikal na pagsasamantala sa advanced na social engineering, patuloy na pinapalabo ng mga aktor ng banta ang linya sa pagitan ng lehitimo at malisyosong aktibidad, na binibigyang-diin ang pangangailangan para sa mas mahigpit na pagbabantay sa buong siklo ng buhay ng pag-develop ng software.