Недавно обнаруженный штамм вредоносного ПО под кодовым названием «StoatWaffle» придает новую остроту печально известной кампании угроз «Contagious Interview», нацеленной на разработчиков.
Согласно данным NTT Security, это вредоносное ПО знаменует собой эволюцию от запуска по инициативе пользователя в рамках давней кампании к почти беспрепятственному компрометации, встроенному непосредственно в рабочие процессы разработчиков. Злоумышленники используют репозитории проектов на тему блокчейна в качестве приманки, внедряя вредоносный конфигурационный файл VS Code, который запускает выполнение кода при открытии папки и ее доверии со стороны жертвы.
«StoatWaffle — это модульное вредоносное ПО, реализованное на Node.js, и оно имеет модули Stealer и RAT», — заявили исследователи NTT в посте в блоге, добавив, что оператор кампании «WaterPlum» «постоянно разрабатывает новое вредоносное ПО и обновляет существующее».
Это означает, что отслеживание активности Contagious Interview теперь может потребовать расширения сферы усилий по обнаружению, чтобы включить в нее враждебные среды разработки, а не только вредоносные пакеты и приманки для собеседований.
Достаточно открыть папку
StoatWaffle злоупотребляет доверием разработчиков в средах Visual Studio Code. Вместо того чтобы полагаться на то, что пользователи будут запускать подозрительные скрипты, как в ранних атаках, злоумышленники внедряют вредоносные конфигурации внутрь выглядящих легитимными репозиториев проектов, часто на тему разработки блокчейна — тема приманки, которая была последовательной для кампаний Contagious Interview.
Уловка основана на файле «.vscode/tasks.json», настроенном с параметром «runOn: folderOpen». Как только разработчик открывает проект и предоставляет доверие, полезная нагрузка выполняется автоматически без каких-либо дополнительных кликов. Выполняемое вредоносное ПО StoatWaffle управляет модульной базой на Node.js, которая обычно разворачивается поэтапно. Эти этапы включают загрузчик, компоненты для сбора учетных данных, а затем троян удаленного доступа (RAT), внедренный для обеспечения постоянства и доступа для переброски между системами.
Модуль RAT поддерживает постоянную связь с управляемым злоумышленниками C2-сервером, выполняя команды для завершения собственного процесса, смены рабочего каталога, перечисления файлов и каталогов, перехода в каталог приложения, получения сведений о каталоге, загрузки файла, выполнения кода Node.js и запуска произвольных команд оболочки, среди прочего.
StoatWaffle также демонстрирует индивидуальное поведение в зависимости от браузера жертвы. «Если браузер жертвы был семейства Chromium, он крадет данные расширений браузера в дополнение к сохраненным учетным данным», — заявили исследователи. «Если браузер жертвы был Firefox, он крадет данные расширений браузера в дополнение к сохраненным учетным данным. Он считывает extensions.json и получает список имен расширений браузера, а затем проверяет, содержится ли заданное ключевое слово».
Для жертв, использующих macOS, вредоносное ПО также нацелено на базы данных Keychain, добавили они.
Contagious Interview: новый взгляд
StoatWaffle не является изолированной кампанией. Это последняя глава в атаках Contagious Interview, широко приписываемых связанным с Северной Кореей субъектам угроз, отслеживаемым как WaterPlum.
Исторически эта кампания была нацелена на разработчиков и соискателей работы через подставные процессы собеседований, заманивая их запускать вредоносный код под видом технических заданий. Ранее кампания использовала в качестве оружия пакеты npm и размещала загрузчики, такие как XORIndex и HexEval, часто распространяя десятки вредоносных пакетов для масштабного проникновения в экосистемы разработчиков.
Исследователи сообщили, что Team 8, один из подкластеров группы, ранее полагалась на такое вредоносное ПО, как OtterCookie, переключившись на StoatWaffle примерно в декабре 2025 года.
В раскрытии информации также был представлен набор индикаторов компрометации (IOC), основанных на IP-адресах, вероятно, связанных с инфраструктурой C2, замеченной во время анализа, для поддержки усилий по обнаружению.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Shweta Sharma
