多許可證折扣報價
威脅數據庫 惡意軟體 StoatWaffle 惡意軟體

StoatWaffle 惡意軟體

惡意軟體, 進階持續性威脅 (APT)Mezo
翻譯為:

一個名為「傳染性訪談」(Contagious Interview,又名WaterPlum)的朝鮮威脅集群與名為「StoatWaffle」的複雜惡意軟體家族有關聯。這項攻擊活動專門針對開發者,透過惡意利用微軟Visual Studio Code(VS Code)專案進行攻擊,這標誌著軟體開發生態系統內供應鏈攻擊正在發生危險的演變。

將 VS Code 武器化:濫用 tasks.json

此次攻擊活動的一項顯著創新是利用了 VS Code 的 tasks.json 配置。自 2025 年 12 月以來,攻擊者利用「runOn: folderOpen」設置,在專案資料夾開啟時自動執行惡意任務。

這種技術確保攻擊能夠持續執行,無需使用者明確互動。惡意任務從託管在 Vercel 上的遠端 Web 應用程式獲取有效載荷,該應用程式獨立於底層作業系統運行。儘管分析環境通常側重於 Windows 系統,但攻擊邏輯在不同平台上保持一致。

透過 Node.js 實現多階段有效載荷交付

一旦執行,該惡意軟體將啟動一個結構化的多階段感染過程:

  • 此酬載會驗證主機系統上是否安裝了 Node.js。
  • 如果未安裝,Node.js 將從其官方來源下載並靜默安裝。
  • 下載器元件啟動,定期與遠端伺服器聯繫。
  • 此下載器會檢索額外的有效載荷,這些有效載荷會作為 Node.js 程式碼執行,並透過後續階段繼續感染鏈。

這種分層方法增強了持久性,並使安全工具難以檢測。

StoatWaffle 內部架構:模組化惡意軟體功能

StoatWaffle 是一個基於 Node.js 建構的模組化框架,可靈活部署多個惡意元件。其主要模組包括:

憑證竊取程式:從基於 Chromium 核心的瀏覽器和 Mozilla Firefox 中提取敏感數據,包括已儲存的憑證和擴充功能資料。在 macOS 系統上,它也會攻擊 iCloud 鑰匙圈資料庫。所有收集到的資料都會被洩漏到命令與控制 (C2) 伺服器。
遠端存取木馬(RAT) :與C2伺服器建立持久通信,允許攻擊者遠端執行命令。其功能包括檔案系統導航、命令執行、文件上傳、基於關鍵字的文件搜尋以及自我終止。
擴大攻擊面:開源生態系利用

此次攻擊活動與針對開源平台和開發者工作流程的更廣泛攻擊模式相符。值得注意的攻擊行動包括:

  • 透過惡意 npm 套件分發基於 Python 的後門程式 PylangGhost,這是首次觀察到該程式透過此管道傳播。
  • PolinRider 攻擊活動將混淆的 JavaScript 注入到數百個 GitHub 儲存庫中,導致更新的 BeaverTail 惡意軟體變種的部署。
  • 透過劫持具有進階權限的貢獻者帳戶,入侵了 Neutralinojs GitHub 組織內的程式碼庫。惡意程式碼被強制推送,以檢索嵌入在 Tron、Aptos 和 Binance Smart Chain 區塊鏈交易中的加密有效載荷。

在這些情況下,受害者通常是透過被入侵的 VS Code 擴充功能或惡意 npm 套件感染的。

社會工程策略:虛假面試和針對開發者的攻擊

攻擊者通常透過極具迷惑性的招募騙局獲得初始存取權限。他們模擬合法的技術面試流程,誘騙目標執行託管在 GitHub、GitLab 或 Bitbucket 等平台上的惡意程式碼。

此攻擊策略主要針對高價值個人,包括加密貨幣和Web3領域的創始人、技術長和高級工程師。這些職位通常掌握關鍵基礎設施和數位資產的存取權限。在一個有記錄的案例中,攻擊者利用捏造的面試場景,試圖攻擊AllSecure.io的創始人。

為了增強可信度,攻擊者會在LinkedIn上建立虛假公司簡介,並維護看似合法的GitHub帳號。其他攻擊手段還包括使用ClickFix,這是一種社會工程學方法,可以將惡意軟體偽裝成技能評估任務。

策略目標:超越加密貨幣竊盜

雖然加密貨幣盜竊似乎是主要動機,但其更廣泛的意圖也包括破壞供應鏈和商業間諜活動。透過滲透開發者環境,攻擊者有機會將惡意程式碼傳播到下游軟體專案中,或存取敏感的組織資料。

加強 VS Code 安全性

為了因應濫用 VS Code 任務的情況,微軟推出了關鍵的安全性增強功能:

  • 2026 年 1 月的更新(版本 1.109)引入了 task.allowAutomaticTasks 設置,預設情況下該設置處於禁用狀態,以防止自動執行 tasks.json 中定義的任務。
  • 此設定無法在工作區層級被覆蓋,從而防止惡意儲存庫繞過使用者定義的安全性首選項。
  • 後續更新,包括 2026 年 2 月發布的 1.110 版本,在檢測到新開啟的工作區中的自動運行任務時,增加了一個輔助警告提示,即使在授予工作區信任後,也能增強用戶的意識。

結論:對開發者安全的威脅日益加劇

StoatWaffle攻擊活動凸顯了攻擊者策略的重大轉變,其重點轉向開發環境和可信賴工作流程。透過將技術漏洞利用與高級社會工程學相結合,威脅行為者不斷模糊合法活動和惡意活動之間的界限,這凸顯了在整個軟體開發生命週期中保持高度警惕的必要性。

熱門

Demotrix.org

流氓網站, 瀏覽器劫持者, 潛在有害程序
保護設備免受惡意軟體侵害對於維護線上隱私和安全至關重要。潛在有害程式 (PUP) 通常會在後台靜默運行,篡改瀏覽器行為、收集數據,並將使用者暴露於可疑內容中。許多此類威脅都與瀏覽器劫持程式有關,這些程式會推廣諸如 Demotrix.org 之類的不可靠搜尋引擎。了解這些威脅的工作原理和傳播方式是確保系統安全的重要一步。 Demotrix.org-一個可疑的搜尋引擎 網路安全研究人員將...

UNC4899 雲端入侵活動

進階持續性威脅 (APT)
2025年發生的一起複雜的網路入侵事件與北韓駭客組織UNC4899有關。該組織涉嫌策劃了一起大規模的加密貨幣組織攻擊事件,導致數百萬美元的數位資產被盜。這項攻擊活動已被初步認定為由這個國家支持的敵對組織所為,該組織還使用過其他幾個名稱,包括Jade Sleet、PUKCHONG、Slow Pisces和TraderTraitor。 此次事件的特殊之處在於其多層次的攻擊手法。攻擊者結合了社會工程學和對個人到企業點對點資料傳輸機制的利用,隨後將攻擊目標轉移到組織的雲端基礎設施。一旦進入雲端環境,攻擊者便濫用合法的DevOps工作流程來竊取憑證、突破容器邊界並操縱Cloud SQL資料庫,從而實施資料竊取。 從個人裝置到企業網路:最初的妥協...

拒付發票郵件詐騙

網路釣魚, 垃圾郵件
對於意料之外的電子郵件,尤其是那些敦促收件人查看發票、確認付款或打開附件的郵件,請務必保持警惕。網路犯罪分子經常利用人們的好奇心和緊迫感來誘騙用戶洩露敏感資訊。例如,「退款發票郵件詐騙」就是一種欺騙性的網路釣魚活動,旨在誘騙收件人開啟惡意附件並輸入機密憑證。需要注意的是,即使這些郵件看起來專業或官方,它們也與任何合法公司、組織或金融機構無關。 退款發票郵件詐騙詳解 「拒付發票郵件詐騙」是一種網路釣魚活動,旨在冒充正常的財務通訊。這些郵件聲稱已產生拒付發票並發送給收件人審核。收件者會被指示開啟一個附件電子表格(通常名為“Invoice.xlsx”,但確切的檔案名稱可能有所不同)來核實發票詳情。 這封郵件通常會暗示發票已經獲得處理授權,收件人只需查看資訊即可。詐騙分子將請求偽裝成正常的業務流程,試圖降低收件人的懷疑,誘使其開啟附件。...

最受關注

如何修復“打印機驅動程序不可用”錯誤

問題
36,329
打印機因拒絕在用戶最需要的時候完成工作而臭名昭著。幸運的是,如果您的打印機顯示“打印機驅動程序不可用”錯誤,那麼有幾個簡單的解決方案可以解決該問題。此特定錯誤可能是由損壞的驅動程序文件、過時的驅動程序或驅動程序不兼容引起的。雖然使用 Microsoft 的通用驅動程序可以避免該問題,但我們想向您介紹其他解決方案。 更新打印機的驅動程序...
Discord 在共享屏幕時顯示黑屏截图

Discord 在共享屏幕時顯示黑屏

問題
30,217
首次推出時,Discord 是一個面向遊戲社區的 VoIP 平台。然而,在接下來的幾年裡,它擴大了範圍,增加了許多新功能,並成為最大的社交平台之一,每月活躍用戶超過 1.4 億。目前,用戶可以發送私人即時消息、啟動 VoIP 和視頻通話、流式傳輸他們的計算機屏幕,並組織以特定興趣為中心的稱為服務器的社區。 毫無疑問,快速輕鬆地開始共享計算機屏幕的能力是吸引人們使用 Discord...

Eporner.com

問題
23,750
網路是一個廣闊的空間,充滿了有用的內容、娛樂和訊息,但它也有其陰暗的角落。無論您是在觀看節目、下載應用程式還是訪問成人內容平台,保持警惕都至關重要。許多網站,尤其是那些依賴大量廣告的網站,可能會帶來嚴重的安全風險。其中一個引起人們擔憂的網站是 Eporner.com,這是一個流行的成人內容中心,不僅因其影片而聞名,還因其激進的廣告行為而聞名。 Eporner.com:你真正走進的是什麼...
加載中...