Báo giá giảm giá nhiều giấy phép
Cơ sở dữ liệu về mối đe dọa Phần mềm độc hại Phần mềm độc hại StoatWaffle

Phần mềm độc hại StoatWaffle

Đến năm Mezo năm Phần mềm độc hại, Mối đe dọa dai dẳng nâng cao (APT)
Dịch sang:

Một nhóm tin tặc Triều Tiên, được theo dõi với tên gọi Contagious Interview và còn được biết đến với tên WaterPlum, có liên quan đến một họ phần mềm độc hại tinh vi có tên StoatWaffle. Chiến dịch này nhắm mục tiêu cụ thể vào các nhà phát triển bằng cách sử dụng các dự án Microsoft Visual Studio Code (VS Code) độc hại làm vũ khí, báo hiệu một sự phát triển nguy hiểm trong các cuộc tấn công chuỗi cung ứng trong hệ sinh thái phát triển phần mềm.

Sử dụng VS Code như một vũ khí: Lạm dụng tệp tasks.json

Một cải tiến đáng chú ý trong chiến dịch này là việc khai thác tệp cấu hình tasks.json của VS Code. Kể từ tháng 12 năm 2025, tin tặc đã tận dụng cài đặt 'runOn: folderOpen' để tự động thực thi các tác vụ độc hại mỗi khi thư mục dự án được mở.

Kỹ thuật này đảm bảo quá trình thực thi nhất quán mà không cần sự tương tác rõ ràng của người dùng. Tác vụ độc hại thu thập các payload từ một ứng dụng web từ xa được lưu trữ trên Vercel, hoạt động độc lập với hệ điều hành cơ bản. Mặc dù môi trường phân tích thường tập trung vào Windows, logic tấn công vẫn nhất quán trên nhiều nền tảng.

Phân phối tải trọng nhiều giai đoạn thông qua Node.js

Sau khi được thực thi, phần mềm độc hại sẽ khởi động một quy trình lây nhiễm nhiều giai đoạn có cấu trúc:

  • Đoạn mã này kiểm tra xem Node.js đã được cài đặt trên hệ thống máy chủ hay chưa.
  • Nếu chưa có, Node.js sẽ được tải xuống từ nguồn chính thức và cài đặt ngầm.
  • Một thành phần tải xuống được khởi chạy, định kỳ liên hệ với máy chủ từ xa.
  • Trình tải xuống này thu thập thêm các phần mềm độc hại, được thực thi dưới dạng mã Node.js và tiếp tục chuỗi lây nhiễm qua các giai đoạn tiếp theo.

Cách tiếp cận nhiều lớp này giúp tăng cường khả năng tồn tại và làm phức tạp việc phát hiện bởi các công cụ bảo mật.

Bên trong StoatWaffle: Khả năng phần mềm độc hại dạng mô-đun

StoatWaffle được thiết kế như một khung phần mềm dạng mô-đun được xây dựng trên Node.js, cho phép triển khai linh hoạt nhiều thành phần độc hại. Các mô-đun chính của nó bao gồm:

Phần mềm đánh cắp thông tin đăng nhập : Trích xuất dữ liệu nhạy cảm từ các trình duyệt dựa trên Chromium và Mozilla Firefox, bao gồm thông tin đăng nhập đã lưu và dữ liệu tiện ích mở rộng. Trên hệ thống macOS, nó cũng nhắm mục tiêu vào cơ sở dữ liệu iCloud Keychain. Tất cả dữ liệu thu thập được đều được chuyển đến máy chủ điều khiển (C2).
Trojan truy cập từ xa (RAT) : Thiết lập liên lạc liên tục với máy chủ C2, cho phép kẻ tấn công thực thi các lệnh từ xa. Các khả năng bao gồm điều hướng hệ thống tập tin, thực thi lệnh, tải lên tập tin, tìm kiếm tập tin dựa trên từ khóa và tự chấm dứt.
Mở rộng bề mặt tấn công : Khai thác hệ sinh thái mã nguồn mở

Chiến dịch này phù hợp với mô hình tấn công rộng hơn nhắm vào các nền tảng mã nguồn mở và quy trình làm việc của nhà phát triển. Các hoạt động đáng chú ý bao gồm:

  • Việc phát tán PylangGhost, một phần mềm cửa hậu dựa trên Python, thông qua các gói npm độc hại, đánh dấu lần đầu tiên nó được phát hiện lây lan qua kênh này.
  • Chiến dịch PolinRider đã chèn mã JavaScript bị làm mờ vào hàng trăm kho lưu trữ GitHub, dẫn đến việc triển khai một biến thể phần mềm độc hại BeaverTail được cập nhật.
  • Vụ xâm nhập kho lưu trữ trong tổ chức Neutralinojs trên GitHub đã xảy ra do chiếm đoạt tài khoản của một người đóng góp có quyền hạn cao. Mã độc đã được cài đặt bằng phương pháp ép buộc để thu thập dữ liệu được mã hóa nhúng trong các giao dịch blockchain trên các mạng Tron, Aptos và Binance Smart Chain.

Các nạn nhân trong những trường hợp này thường bị lây nhiễm thông qua các tiện ích mở rộng VS Code bị xâm nhập hoặc các gói npm độc hại.

Các thủ đoạn tấn công phi kỹ thuật: Phỏng vấn giả và nhắm mục tiêu vào nhà phát triển phần mềm

Việc tiếp cận ban đầu thường được thực hiện thông qua các chiêu trò tuyển dụng lừa đảo rất tinh vi. Kẻ tấn công giả mạo các quy trình phỏng vấn kỹ thuật hợp pháp, thuyết phục nạn nhân thực thi mã độc được lưu trữ trên các nền tảng như GitHub, GitLab hoặc Bitbucket.

Chiến lược nhắm mục tiêu tập trung vào các cá nhân có giá trị cao, bao gồm người sáng lập, Giám đốc công nghệ (CTO) và các kỹ sư cấp cao trong lĩnh vực tiền điện tử và Web3. Những vị trí này thường cung cấp quyền truy cập vào cơ sở hạ tầng và tài sản kỹ thuật số quan trọng. Trong một trường hợp được ghi nhận, một cuộc tấn công đã nhắm vào người sáng lập của AllSecure.io bằng cách sử dụng một kịch bản phỏng vấn xin việc giả mạo.

Để tăng độ tin cậy, tin tặc tạo ra các hồ sơ công ty giả mạo trên LinkedIn và duy trì các tài khoản GitHub có vẻ hợp pháp. Các kỹ thuật bổ sung bao gồm sử dụng ClickFix, một phương pháp kỹ thuật xã hội ngụy trang việc phát tán phần mềm độc hại dưới dạng các bài kiểm tra kỹ năng.

Mục tiêu chiến lược: Vượt ra ngoài vấn nạn trộm cắp tiền điện tử

Mặc dù việc đánh cắp tiền điện tử dường như là động cơ chính, nhưng mục đích rộng hơn còn bao gồm cả việc xâm phạm chuỗi cung ứng và gián điệp doanh nghiệp. Bằng cách xâm nhập vào môi trường phát triển phần mềm, kẻ tấn công có được cơ hội để phát tán mã độc vào các dự án phần mềm tiếp theo hoặc truy cập vào dữ liệu nhạy cảm của tổ chức.

Tăng cường bảo mật VS Code

Để đối phó với tình trạng lạm dụng các tác vụ trong VS Code, Microsoft đã đưa ra các cải tiến bảo mật quan trọng:

  • Bản cập nhật tháng 1 năm 2026 (phiên bản 1.109) đã giới thiệu cài đặt task.allowAutomaticTasks, cài đặt này bị vô hiệu hóa theo mặc định để ngăn chặn việc tự động thực thi các tác vụ được định nghĩa trong tasks.json.
  • Cài đặt này không thể bị ghi đè ở cấp độ không gian làm việc, ngăn chặn các kho lưu trữ độc hại vượt qua các tùy chọn bảo mật do người dùng định nghĩa.
  • Các bản cập nhật tiếp theo, bao gồm phiên bản 1.110 được phát hành vào tháng 2 năm 2026, đã bổ sung thêm lời nhắc cảnh báo thứ hai khi phát hiện các tác vụ tự động chạy trong không gian làm việc mới được mở, giúp người dùng nhận thức rõ hơn ngay cả sau khi đã cấp quyền truy cập không gian làm việc.

Kết luận: Một mối đe dọa ngày càng gia tăng đối với an ninh của nhà phát triển

Chiến dịch StoatWaffle làm nổi bật sự thay đổi đáng kể trong chiến lược của kẻ tấn công, tập trung vào môi trường phát triển và quy trình làm việc đáng tin cậy. Bằng cách kết hợp khai thác kỹ thuật với kỹ thuật xã hội tiên tiến, các tác nhân đe dọa tiếp tục làm mờ ranh giới giữa hoạt động hợp pháp và độc hại, nhấn mạnh sự cần thiết phải tăng cường cảnh giác trong toàn bộ vòng đời phát triển phần mềm.

xu hướng

Chiến dịch xâm nhập đám mây UNC4899

Mối đe dọa dai dẳng nâng cao (APT)
Một vụ xâm nhập mạng tinh vi vào năm 2025 được cho là có liên quan đến nhóm tin tặc Triều Tiên UNC4899, một nhóm bị nghi ngờ đã dàn dựng một vụ tấn công quy mô lớn vào một tổ chức tiền điện tử, dẫn đến việc đánh cắp hàng triệu đô la tài sản kỹ thuật số. Chiến dịch này được cho là do đối thủ được nhà nước Triều Tiên bảo trợ thực hiện với độ tin cậy vừa phải, nhóm này cũng được theo dõi dưới một...

Lừa đảo qua email về hóa đơn hoàn tiền

Lừa đảo, Thư rác
Những email bất ngờ, đặc biệt là những email thúc giục người nhận xem lại hóa đơn, xác nhận thanh toán hoặc mở tệp đính kèm, luôn cần được xử lý cẩn trọng. Tội phạm mạng thường lợi dụng sự tò mò và tính cấp bách để thao túng người dùng tiết lộ thông tin nhạy cảm. Một ví dụ là vụ lừa đảo email yêu cầu hoàn tiền hóa đơn (Chargeback Invoice Email Scam), một chiến dịch lừa đảo tinh vi được thiết kế...

Xem nhiều nhất

Đang tải...