Çoklu Lisans İndirim Teklifi
Tehdit Veritabanı Kötü amaçlı yazılım StoatWaffle Kötü Amaçlı Yazılımı

StoatWaffle Kötü Amaçlı Yazılımı

Mezo'de Kötü amaçlı yazılım, Gelişmiş Sürekli Tehdit (APT)'de
Çevir:

Contagious Interview ve WaterPlum olarak da bilinen Kuzey Kore kaynaklı bir tehdit kümesi, StoatWaffle adlı gelişmiş bir kötü amaçlı yazılım ailesiyle bağlantılı olarak tespit edildi. Bu kampanya, özellikle kötü amaçlı Microsoft Visual Studio Code (VS Code) projelerini silah haline getirerek geliştiricileri hedef alıyor ve yazılım geliştirme ekosistemindeki tedarik zinciri saldırılarında tehlikeli bir evrime işaret ediyor.

VS Code’u Silah Olarak Kullanmak: tasks.json Dosyasının Kötüye Kullanımı

Bu kampanyadaki dikkat çekici bir yenilik, VS Code'un tasks.json yapılandırma dosyasının istismar edilmesidir. Aralık 2025'ten beri saldırganlar, bir proje klasörü açıldığında otomatik olarak kötü amaçlı görevleri çalıştırmak için 'runOn: folderOpen' ayarını kullanmaktadır.

Bu teknik, açık kullanıcı etkileşimi gerektirmeden tutarlı yürütme sağlar. Kötü amaçlı görev, Vercel üzerinde barındırılan uzak bir web uygulamasından zararlı yazılımları alır ve altta yatan işletim sisteminden bağımsız olarak çalışır. Analiz ortamları genellikle Windows'a odaklanmış olsa da, saldırı mantığı platformlar arasında tutarlı kalır.

Node.js ile Çok Aşamalı Veri Yükü Teslimi

Çalıştırıldıktan sonra, kötü amaçlı yazılım yapılandırılmış, çok aşamalı bir enfeksiyon sürecini başlatır:

  • Bu kod parçası, ana sistemde Node.js'nin kurulu olup olmadığını doğrular.
  • Eğer mevcut değilse, Node.js resmi kaynağından indirilir ve sessizce kurulur.
  • Bir indirme bileşeni başlatılır ve periyodik olarak uzak bir sunucuyla iletişim kurar.
  • Bu indirici, Node.js kodu olarak çalışan ve enfeksiyon zincirini ardışık aşamalar boyunca devam ettiren ek zararlı yazılımlar indirir.

Bu katmanlı yaklaşım, kalıcılığı artırır ve güvenlik araçları tarafından tespit edilmesini zorlaştırır.

StoatWaffle’ın İç Yapısı: Modüler Kötü Amaçlı Yazılım Yetenekleri

StoatWaffle, Node.js üzerine kurulu modüler bir çerçeve olarak tasarlanmıştır ve birden fazla kötü amaçlı bileşenin esnek bir şekilde dağıtımını sağlar. Başlıca modülleri şunlardır:

Kimlik Bilgisi Hırsızı : Kaydedilmiş kimlik bilgileri ve uzantı verileri de dahil olmak üzere Chromium tabanlı tarayıcılardan ve Mozilla Firefox'tan hassas verileri çıkarır. macOS sistemlerinde, iCloud Anahtar Zinciri veritabanını da hedef alır. Elde edilen tüm veriler bir Komuta ve Kontrol (C2) sunucusuna sızdırılır.
Uzaktan Erişim Truva Atı (RAT) : C2 sunucusuyla kalıcı iletişim kurarak saldırganların uzaktan komut çalıştırmasına olanak tanır. Yetenekleri arasında dosya sistemi navigasyonu, komut çalıştırma, dosya yükleme, anahtar kelime tabanlı dosya aramaları ve kendi kendini sonlandırma yer alır.
Saldırı Yüzeyini Genişletmek : Açık Kaynak Ekosisteminin İstismarı

Bu kampanya, açık kaynak platformlarını ve geliştirici iş akışlarını hedef alan daha geniş bir saldırı modeliyle örtüşüyor. Dikkat çekici operasyonlar şunlardır:

  • Python tabanlı bir arka kapı olan PylangGhost'un kötü amaçlı npm paketleri aracılığıyla dağıtımı, bu kanal üzerinden ilk kez gözlemlenen yayılımını işaret ediyor.
  • Yüzlerce GitHub deposuna gizlenmiş JavaScript kodu enjekte eden PolinRider kampanyası, BeaverTail kötü amaçlı yazılımının güncellenmiş bir varyantının yayılmasına yol açtı.
  • Neutralinojs GitHub organizasyonu içindeki depolar, yüksek yetkilere sahip bir katkıda bulunan hesabının ele geçirilmesiyle tehlikeye atıldı. Tron, Aptos ve Binance Smart Chain ağlarındaki blockchain işlemlerine gömülü şifrelenmiş verileri elde etmek için kötü amaçlı kod zorla yüklendi.

Bu senaryolardaki mağdurlar genellikle güvenliği ihlal edilmiş VS Code eklentileri veya kötü amaçlı npm paketleri aracılığıyla enfekte olmuşlardır.

Sosyal Mühendislik Taktikleri: Sahte Görüşmeler ve Geliştirici Hedefleme

İlk erişim genellikle son derece inandırıcı işe alım dolandırıcılıkları yoluyla sağlanır. Saldırganlar, meşru teknik mülakat süreçlerini taklit ederek, hedefleri GitHub, GitLab veya Bitbucket gibi platformlarda barındırılan kötü amaçlı kodu çalıştırmaya ikna ederler.

Hedefleme stratejisi, kripto para birimi ve Web3 sektörlerindeki kurucular, CTO'lar ve kıdemli mühendisler de dahil olmak üzere yüksek değerli kişilere odaklanmaktadır. Bu roller genellikle kritik altyapıya ve dijital varlıklara erişim sağlar. Belgelenmiş bir vakada, AllSecure.io'nun kurucusuna yönelik bir saldırı girişimi, uydurma bir iş görüşmesi senaryosu kullanılarak gerçekleştirilmiştir.

Saldırganlar, güvenilirliği artırmak için LinkedIn'de sahte şirket profilleri oluşturuyor ve görünüşte meşru GitHub hesapları kullanıyor. Ek teknikler arasında, kötü amaçlı yazılım dağıtımını beceri değerlendirme görevleri gibi gizleyen bir sosyal mühendislik yöntemi olan ClickFix kullanımı da yer alıyor.

Stratejik Hedefler: Kripto Para Hırsızlığının Ötesinde

Kripto para hırsızlığı temel motivasyon gibi görünse de, daha geniş kapsamlı amaç tedarik zinciri güvenliğinin ihlal edilmesi ve kurumsal casusluğa kadar uzanmaktadır. Saldırganlar, geliştirici ortamlarına sızarak, kötü amaçlı kodları alt kademe yazılım projelerine yayma veya hassas kurumsal verilere erişme fırsatı elde ederler.

VS Code Güvenliğini Güçlendirme

VS Code görevlerinin kötüye kullanılmasına yanıt olarak Microsoft, önemli güvenlik iyileştirmeleri getirdi:

  • Ocak 2026 güncellemesi (sürüm 1.109), tasks.json dosyasında tanımlanan görevlerin otomatik olarak yürütülmesini önlemek için varsayılan olarak devre dışı bırakılmış olan task.allowAutomaticTasks ayarını tanıttı.
  • Bu ayar çalışma alanı düzeyinde geçersiz kılınamaz, bu da kötü amaçlı depoların kullanıcı tanımlı güvenlik tercihlerini atlamasını engeller.
  • Şubat 2026'da yayınlanan 1.110 sürümü de dahil olmak üzere sonraki güncellemeler, yeni açılan çalışma alanlarında otomatik çalıştırma görevleri algılandığında ikincil bir uyarı mesajı ekleyerek, Çalışma Alanı Güveni verildikten sonra bile kullanıcı farkındalığını güçlendirdi.

Sonuç: Geliştirici Güvenliğine Yönelik Artan Bir Tehdit

StoatWaffle kampanyası, saldırgan stratejisinde önemli bir değişime işaret ediyor; saldırganlar geliştirme ortamlarına ve güvenilir iş akışlarına odaklanıyor. Teknik istismarı gelişmiş sosyal mühendislikle birleştiren tehdit aktörleri, meşru ve kötü amaçlı faaliyetler arasındaki çizgiyi bulanıklaştırmaya devam ediyor ve bu da yazılım geliştirme yaşam döngüsü boyunca artan bir dikkat gerekliliğini vurguluyor.

trend

UNC4899 Bulut Güvenlik İhlali Kampanyası

Gelişmiş Sürekli Tehdit (APT)
2025 yılında gerçekleşen gelişmiş bir siber saldırının, Kuzey Koreli tehdit aktörü UNC4899 ile bağlantılı olduğu düşünülüyor. Bu grubun, milyonlarca dolarlık dijital varlığın çalınmasıyla sonuçlanan büyük ölçekli bir kripto para birimi organizasyonunun güvenliğinin ihlal edilmesini organize ettiğinden şüpheleniliyor. Saldırının, devlet destekli bu düşmana atfedildiğine dair orta düzeyde bir...

Geri Ödeme Faturası E-posta Dolandırıcılığı

Kimlik avı, İstenmeyen e-posta
Beklenmedik e-postalar, özellikle alıcılardan faturaları incelemelerini, ödemeleri onaylamalarını veya ekleri açmalarını isteyenler, her zaman dikkatle ele alınmalıdır. Siber suçlular, kullanıcıları hassas bilgileri ifşa etmeye yönlendirmek için sıklıkla merak ve aciliyet duygusundan yararlanırlar. Bunun bir örneği, alıcıları kötü amaçlı bir eki açmaya ve gizli kimlik bilgilerini girmeye...

En çok görüntülenen

Yükleniyor...