多许可证折扣报价
威胁数据库 恶意软件 StoatWaffle 恶意软件

StoatWaffle 恶意软件

通过Mezo恶意软件, 高级持续性威胁 (APT)
翻译为:

一个名为“传染性访谈”(Contagious Interview,又名WaterPlum)的朝鲜威胁集群与名为“StoatWaffle”的复杂恶意软件家族有关联。该攻击活动专门针对开发者,通过恶意利用微软Visual Studio Code(VS Code)项目进行攻击,这标志着软件开发生态系统内供应链攻击正在发生危险的演变。

将 VS Code 武器化:滥用 tasks.json

此次攻击活动的一项显著创新是利用了 VS Code 的 tasks.json 配置文件。自 2025 年 12 月以来,攻击者利用“runOn: folderOpen”设置,在项目文件夹打开时自动执行恶意任务。

这种技术确保攻击能够持续执行,无需用户显式交互。恶意任务从托管在 Vercel 上的远程 Web 应用程序获取有效载荷,该应用程序独立于底层操作系统运行。尽管分析环境通常侧重于 Windows 系统,但攻击逻辑在不同平台上保持一致。

通过 Node.js 实现多阶段有效载荷交付

一旦执行,该恶意软件将启动一个结构化的多阶段感染过程:

  • 该有效载荷会验证主机系统上是否安装了 Node.js。
  • 如果未安装,Node.js 将从其官方来源下载并静默安装。
  • 下载器组件启动,定期与远程服务器联系。
  • 该下载器会检索额外的有效载荷,这些有效载荷会作为 Node.js 代码执行,并通过后续阶段继续感染链。

这种分层方法增强了持久性,并使安全工具难以检测。

StoatWaffle 内部结构:模块化恶意软件功能

StoatWaffle 是一个基于 Node.js 构建的模块化框架,可灵活部署多个恶意组件。其主要模块包括:

凭证窃取程序:从基于 Chromium 内核的浏览器和 Mozilla Firefox 中提取敏感数据,包括已保存的凭证和扩展程序数据。在 macOS 系统上,它还会攻击 iCloud 钥匙串数据库。所有收集到的数据都会被泄露到命令与控制 (C2) 服务器。
远程访问木马(RAT) :与C2服务器建立持久通信,允许攻击者远程执行命令。其功能包括文件系统导航、命令执行、文件上传、基于关键字的文件搜索以及自我终止。
扩大攻击面:开源生态系统利用

此次攻击活动与针对开源平台和开发者工作流程的更广泛攻击模式相符。值得注意的攻击行动包括:

  • 通过恶意 npm 包分发基于 Python 的后门程序 PylangGhost,这是首次观察到该程序通过此渠道传播。
  • PolinRider 攻击活动将混淆的 JavaScript 注入到数百个 GitHub 存储库中,导致更新的 BeaverTail 恶意软件变种的部署。
  • 通过劫持具有高级权限的贡献者帐户,入侵了 Neutralinojs GitHub 组织内的代码库。恶意代码被强制推送,以检索嵌入在 Tron、Aptos 和 Binance Smart Chain 区块链交易中的加密有效载荷。

在这些情况下,受害者通常是通过被入侵的 VS Code 扩展程序或恶意 npm 包感染的。

社会工程策略:虚假面试和针对开发者的攻击

攻击者通常通过极具迷惑性的招聘骗局获得初始访问权限。他们模拟合法的技术面试流程,诱骗目标执行托管在 GitHub、GitLab 或 Bitbucket 等平台上的恶意代码。

该攻击策略主要针对高价值个人,包括加密货币和Web3领域的创始人、首席技术官和高级工程师。这些职位通常掌握着关键基础设施和数字资产的访问权限。在一个有记录的案例中,攻击者利用捏造的面试场景,试图攻击AllSecure.io的创始人。

为了增强可信度,攻击者会在LinkedIn上创建虚假公司简介,并维护看似合法的GitHub账户。其他攻击手段还包括使用ClickFix,这是一种社会工程学方法,可以将恶意软件伪装成技能评估任务。

战略目标:超越加密货币盗窃

虽然加密货币盗窃似乎是主要动机,但其更广泛的意图还包括破坏供应链和商业间谍活动。通过渗透开发者环境,攻击者有机会将恶意代码传播到下游软件项目中,或访问敏感的组织数据。

加强 VS Code 安全性

为了应对滥用 VS Code 任务的情况,微软推出了关键的安全增强功能:

  • 2026 年 1 月的更新(版本 1.109)引入了 task.allowAutomaticTasks 设置,默认情况下该设置处于禁用状态,以防止自动执行 tasks.json 中定义的任务。
  • 此设置无法在工作区级别被覆盖,从而防止恶意存储库绕过用户定义的安全首选项。
  • 后续更新,包括 2026 年 2 月发布的 1.110 版本,在检测到新打开的工作区中的自动运行任务时,增加了一个辅助警告提示,即使在授予工作区信任后,也能增强用户的意识。

结论:对开发者安全的威胁日益加剧

StoatWaffle攻击活动凸显了攻击者策略的重大转变,其重点转向开发环境和可信工作流程。通过将技术漏洞利用与高级社会工程学相结合,威胁行为者不断模糊合法活动和恶意活动之间的界限,这凸显了在整个软件开发生命周期中保持高度警惕的必要性。

趋势

Demotrix.org

恶意网站, 浏览器劫持者, 可能不需要的程序
保护设备免受恶意软件侵害对于维护在线隐私和安全至关重要。潜在有害程序 (PUP) 通常会在后台静默运行,篡改浏览器行为、收集数据,并将用户暴露于可疑内容。许多此类威胁都与浏览器劫持程序有关,这些程序会推广诸如 Demotrix.org 之类的不可靠搜索引擎。了解这些威胁的工作原理和传播方式是确保系统安全的重要一步。 Demotrix.org——一个可疑的搜索引擎 网络安全研究人员将...

UNC4899 云端入侵活动

高级持续性威胁 (APT)
2025年发生的一起复杂的网络入侵事件与朝鲜黑客组织UNC4899有关。该组织涉嫌策划了一起大规模的加密货币组织攻击事件,导致数百万美元的数字资产被盗。此次攻击活动已被初步认定为由这个国家支持的敌对组织所为,该组织还使用过其他几个名称,包括Jade Sleet、PUKCHONG、Slow Pisces和TraderTraitor。 此次事件的特殊之处在于其多层次的攻击手法。攻击者结合了社会工程学和对个人到企业点对点数据传输机制的利用,随后又将攻击目标转移到组织的云基础设施。一旦进入云环境,攻击者便滥用合法的DevOps工作流程来窃取凭证、突破容器边界并操纵Cloud SQL数据库,从而实施数据盗窃。 从个人设备到企业网络:最初的妥协...

拒付发票邮件诈骗

网络钓鱼, 垃圾邮件
对于意料之外的电子邮件,尤其是那些敦促收件人查看发票、确认付款或打开附件的邮件,务必保持警惕。网络犯罪分子经常利用人们的好奇心和紧迫感来诱骗用户泄露敏感信息。例如,“退款发票邮件诈骗”就是一种欺骗性的网络钓鱼活动,旨在诱骗收件人打开恶意附件并输入机密凭证。需要注意的是,即使这些邮件看起来专业或官方,它们也与任何合法公司、组织或金融机构无关。 退款发票邮件诈骗详解 “拒付发票邮件诈骗”是一种网络钓鱼活动,旨在冒充正常的财务通信。这些邮件声称已生成拒付发票并发送给收件人审核。收件人会被指示打开一个附件电子表格(通常名为“Invoice.xlsx”,但确切的文件名可能有所不同)来核实发票详情。 这封邮件通常会暗示发票已经获得处理授权,收件人只需查看信息即可。诈骗分子将请求伪装成正常的业务流程,试图降低收件人的怀疑,诱使其打开附件。...

最受关注

如何修复“打印机驱动程序不可用”错误

问题
36,329
打印机因拒绝在用户最需要的时候完成工作而臭名昭著。幸运的是,如果您的打印机显示“打印机驱动程序不可用”错误,那么有几个简单的解决方案可以解决该问题。此特定错误可能是由损坏的驱动程序文件、过时的驱动程序或驱动程序不兼容引起的。虽然使用 Microsoft 的通用驱动程序可以避免该问题,但我们想向您介绍其他解决方案。 更新打印机的驱动程序...
Discord 在共享屏幕时显示黑屏截图

Discord 在共享屏幕时显示黑屏

问题
30,217
首次推出时,Discord 是一个面向游戏社区的 VoIP 平台。然而,在接下来的几年里,它扩大了范围,增加了许多新功能,并成为最大的社交平台之一,每月活跃用户超过 1.4 亿。目前,用户可以发送私人即时消息、启动 VoIP 和视频通话、流式传输他们的计算机屏幕,并组织以特定兴趣为中心的称为服务器的社区。 毫无疑问,快速轻松地开始共享计算机屏幕的能力是吸引人们使用 Discord...

Eporner.com

问题
23,750
互联网是一个广阔的空间,充满了实用的内容、娱乐和信息,但也存在一些阴暗的角落。无论您是在观看节目、下载应用程序,还是访问成人内容平台,保持警惕都至关重要。许多网站,尤其是那些依靠大量广告的网站,都可能带来严重的安全风险。其中一个令人担忧的网站是 Eporner.com——一个广受欢迎的成人内容中心,不仅以其视频而闻名,还因其激进的广告策略而闻名。 Eporner.com:你真正走进的是什么...
正在加载...