Шкідливе програмне забезпечення StoatWaffle
Північнокорейський кластер загроз, що відстежується як Contagious Interview, також відомий як WaterPlum, був пов'язаний зі складним сімейством шкідливих програм під назвою StoatWaffle. Ця кампанія спеціально спрямована на розробників, використовуючи шкідливі проекти Microsoft Visual Studio Code (VS Code) як зброю, сигналізуючи про небезпечну еволюцію атак на ланцюги поставок в екосистемі розробки програмного забезпечення.
Зміст
Використання зброї проти коду: зловживання tasks.json
Помітним нововведенням у цій кампанії є використання конфігураційного файлу tasks.json VS Code. З грудня 2025 року зловмисники використовують налаштування «runOn: folderOpen» для автоматичного виконання шкідливих завдань щоразу, коли відкривається папка проекту.
Цей метод забезпечує послідовне виконання без необхідності явної взаємодії з користувачем. Шкідливе завдання отримує корисні навантаження з віддаленого веб-застосунку, розміщеного на Vercel, працюючи незалежно від базової операційної системи. Хоча середовища аналізу часто зосереджені на Windows, логіка атаки залишається однаковою на всіх платформах.
Багатоетапна доставка корисного навантаження через Node.js
Після запуску шкідливе програмне забезпечення ініціює структурований, багатоетапний процес зараження:
- Корисне навантаження перевіряє, чи встановлено Node.js на хост-системі.
- Якщо відсутній, Node.js завантажується з офіційного джерела та встановлюється без попередження.
- Запускається компонент завантажувача, який періодично зв'язується з віддаленим сервером.
- Цей завантажувач отримує додаткові корисні навантаження, які виконуються як код Node.js та продовжують ланцюжок зараження через послідовні етапи.
Такий багаторівневий підхід підвищує стійкість та ускладнює виявлення засобами безпеки.
Усередині StoatWaffle: Модульні можливості боротьби зі шкідливим програмним забезпеченням
StoatWaffle розроблений як модульний фреймворк, побудований на Node.js, що дозволяє гнучко розгортати кілька шкідливих компонентів. Його основні модулі включають:
Викрадач облікових даних : Витягує конфіденційні дані з браузерів на базі Chromium та Mozilla Firefox, включаючи збережені облікові дані та дані розширень. У системах macOS він також атакує базу даних iCloud Keychain. Усі зібрані дані передаються на сервер Command-and-Control (C2).
Троян віддаленого доступу (RAT) : встановлює постійний зв'язок із сервером C2, дозволяючи зловмисникам виконувати команди віддалено. Можливості включають навігацію по файловій системі, виконання команд, завантаження файлів, пошук файлів за ключовими словами та самозавершення.
Розширення поверхні атаки : Експлуатація екосистеми з відкритим кодом
Ця кампанія узгоджується з ширшою схемою атак, спрямованих на платформи з відкритим кодом та робочі процеси розробників. Серед помітних операцій:
- Розповсюдження PylangGhost, бекдора на базі Python, через шкідливі npm-пакети, що є першим спостереженням його поширення через цей канал.
- Кампанія PolinRider, яка впровадила обфускований JavaScript у сотні репозиторіїв GitHub, що призвело до розгортання оновленого варіанту шкідливого програмного забезпечення BeaverTail.
- Компрометація репозиторіїв в організації Neutralinojs GitHub шляхом захоплення облікового запису учасника з підвищеними привілеями. Шкідливий код був примусово впроваджений для отримання зашифрованих корисних даних, вбудованих у блокчейн-транзакції в мережах Tron, Aptos та Binance Smart Chain.
Жертви в цих сценаріях часто заражалися через скомпрометовані розширення VS Code або шкідливі npm-пакети.
Тактики соціальної інженерії: фальшиві співбесіди та таргетування розробників
Початковий доступ часто отримують за допомогою дуже переконливих шахрайських схем з рекрутингом. Зловмисники імітують законні процеси технічних співбесід, переконуючи цілі виконувати шкідливий код, розміщений на таких платформах, як GitHub, GitLab або Bitbucket.
Стратегія атаки зосереджена на висококваліфікованих особах, включаючи засновників, технічних директорів та старших інженерів у секторах криптовалют та Web3. Ці посади часто надають доступ до критично важливої інфраструктури та цифрових активів. В одному задокументованому випадку спроба атаки була спрямована на засновника AllSecure.io з використанням сфабрикованого сценарію співбесіди.
Щоб підвищити довіру, зловмисники створюють фальшиві профілі компаній на LinkedIn та підтримують, здавалося б, легітимні облікові записи на GitHub. Додаткові методи включають використання ClickFix, методу соціальної інженерії, який маскує доставку шкідливого програмного забезпечення під завдання оцінки навичок.
Стратегічні цілі: Поза межами крадіжки криптовалюти
Хоча крадіжка криптовалюти, здається, є основною мотивацією, ширший намір поширюється на компрометацію ланцюга поставок та корпоративне шпигунство. Проникнувши в середовища розробників, зловмисники отримують можливості для поширення шкідливого коду в розробки програмного забезпечення або доступу до конфіденційних даних організації.
Посилення безпеки VS-коду
У відповідь на зловживання завданнями VS Code, Microsoft запровадила критичні покращення безпеки:
- В оновленні за січень 2026 року (версія 1.109) було запроваджено параметр task.allowAutomaticTasks, який за замовчуванням вимкнено, щоб запобігти автоматичному виконанню завдань, визначених у tasks.json.
- Цей параметр не можна змінити на рівні робочої області, що запобігає обходу користувацьких налаштувань безпеки шкідливими репозиторіями.
- У наступних оновленнях, включаючи версію 1.110, випущену в лютому 2026 року, було додано додаткове попередження про виявлення завдань автоматичного запуску в щойно відкритих робочих просторах, що підвищило обізнаність користувачів навіть після надання довіри робочого простору.
Висновок: Зростаюча загроза безпеці розробників
Кампанія StoatWaffle підкреслює значний зсув у стратегії зловмисників, зосереджуючись на середовищах розробки та надійних робочих процесах. Поєднуючи технічну експлуатацію з передовою соціальною інженерією, зловмисники продовжують розмивати межу між законною та зловмисною діяльністю, підкреслюючи необхідність підвищеної пильності протягом усього життєвого циклу розробки програмного забезпечення.
