In den letzten Monaten ist eine Cyber-Dreat-Kampagne gewachsen, die sehr polierte Social Engineering mit unkonventionellen Techniken für Entwickler kombiniert: Bereitstellung von Malware durch bösartige Projekte von Visual Studio Code. Neuere Forschungspunkte auf einen nordkoreanischen Cluster bekannt als Contagious Interview oder WaterPlum, die eine Familie von Malware verknüpft, die als Gestört auf diese Taktik gerichtet gegen Fachleute des offenen Software-Ökosystems und insbesondere den kritischen Sektor und Web3.
Der Angriffsvektor nutzt eine legitime Datei in VS-Code-Projekten: Aufgaben.json. Wenn Sie eine Aufgabe mit der Option einrichten runOn: Ordner Öffnen, es ist möglich, dass Remote-Code automatisch ausgeführt wird, wenn ein Entwickler den Projektordner in seinem Editor öffnet. Laut der NTT Security-Analyse haben Angreifer diese Funktion genutzt, um eine Reihe von Downloads von Cloud-Diensten zu starten, so dass die Ausführung ohne mehr Interaktion auftritt als den Workspace in VS Code zu öffnen - eine Geste, die viele harmlos in ihrem täglichen Workflow betrachten ( NTT Sicherheitsbericht)
Die Infektionskette von StoatWaffle ist bewusst nachgiebig. Die erste Binärdatei, die heruntergeladen werden soll, überprüft, ob Node.js auf der Opfermaschine existiert; wenn nicht vorhanden, installieren Sie es direkt von der offiziellen Website und führen Sie dann einen Download, der regelmäßig einen externen Server konsultiert, um die nächste Stufe zu erhalten. Diese zweite Stufe wirkt auf die gleiche Weise: Sie erreicht einen anderen Endpunkt, erhält JavaScript-Code und führt ihn mit Node.js, wodurch eine Entladung und Ausführung Rohr, die von der Infrastruktur des Angreifers erhalten und aktualisiert werden kann.
Dieses modulare Design ermöglicht es den Betreibern, je nach Zielart zwischen verschiedenen Fähigkeiten zu wählen. Die Analyse zeigt, dass StoatWaffle sich einerseits entfaltet a Stehlen die Anmeldeinformationen und Daten von Browser-Erweiterungen basierend auf Chromium und Firefox extrahiert, und dass in macOS sogar die iCloud Keychain-Datenbank erreicht. Andererseits kann das Paket eine VERZEICHNIS(Entfernen Sie den Zugriff Trojan), der mit Befehls- und Steuerservern kommuniziert, um Befehle auszuführen, die von der Auflistung und dem Hochladen von Dateien bis zur Ausführung von Shell-Befehlen oder Node.js-Code von Angreifern geliefert werden.
Die Wahl von Node.js als laufende Umgebung ist nicht lässig: Es bietet Portabilität zwischen Systemen und dem Komfort von komplexen Skripten mit wenigen Änderungen, so dass es einfacher für Malware Multi-Plattform und entwickeln schnell. Darüber hinaus haben die Angreifer ihre Logistik verfeinert: Die ersten Kampagnen nutzten Domains in Dienstleistungen wie Vercel, um die Downloads zu beherbergen, während neuere Varianten in Skripte umgezogen wurden, die in Gist Nutzung des Vertrauens der öffentlichen Repositories und der einfachen Integration von Inhalten in legitime Projekte in GitHub.
Diese Entwicklung tritt nicht im Vakuum auf. WaterPlum ist Teil einer breiteren Serie von Operationen, die auf die Open Source Supply Chain abzielen. Malicious npm Pakete wurden erkannt, die als Malware-Vertreiber wie PylangGhost dienen ( KM Sicherheitsanalyse), und Kampagnen wie PolinRider, die JavaScript in Hunderte von öffentlichen Repositories eingefügt, Änderung von Projekten zur Bereitstellung von Lasten wie BeaverTail, ein bekannter Loader / Stealer im Zusammenhang mit der gleichen Familie von Angreifern ( PolinRider-Studie)
Microsoft hat dokumentiert, wie die Autoren von Contagious Interview erhalten die erste Eingangstür durch falsche Rekrutierungsprozesse, die reale technische Interviews simulieren. Mit einem überzeugenden Skript erhalten KandidatInnen Übungen und Befehle, die angeblich für die Auswertung notwendig sind, und beenden laufende Anweisungen, die ihre Maschinen kompromittieren. In vielen Fällen sind die Ziele nicht Juniorentwickler, sondern Gründer, CTOs und hochrangige Ingenieure aus der kryptographischen Welt, Profis, deren wertvollen Zugriff können Schlüsseldiebstahl und Exfiltration von digitalen Vermögenswerten ( Microsoft-Analyse)
Die Malware-Familien, die in diesen Intrusionen erscheinen, zeigen ein aktives und facettenreiches Ökosystem: von OtterCookie, entworfen, um große Mengen von Informationen zu exfiltern, zu InvisibleFerret, eine Hintertür in Python, und FlexibleFerret (auch WeaselStore genannt), die in Go und Python Varianten unter Namen wie GolangGhost und PylangGhost existiert. In einigen Fällen endet ein erster Zugriff mit OtterCookie, der zum Herunterladen von zweiten Schritten wie InvisibleFerret dient. Forscher haben auch Intrusionen dokumentiert, bei denen anerkannte Repositories durch engagierte Konten manipuliert wurden, um verschlüsselte Nutzlasten zu verteilen, die in Lockchain-Transaktionen enthalten sind, eine Technik, die verwendet wurde, um die Nutzlast zu tarnen und es schwierig zu erkennen ( Engagement in Neutralinojs)
Vor diesem Modus operandi reagierte die Software-Community mit Updates im Visual Studio Code selbst. Microsoft vorgestellt in Version 1.109 eine globale Option, die standardmäßig die automatische Ausführung von Aufgaben deaktiviert - Task.allow AutomatischeTasks- und verhindert, dass schädliche Repositories diese Präferenz auf der Workspace-Ebene überschreiben. Die späteren Versionen fügten sekundäre Warnungen hinzu, wenn eine selbstausführbare Aufgabe in einem neu geöffneten Arbeitsraum erkannt wird, Maßnahmen, die versuchen, die Kontrolle an den Benutzer zurückzugeben und das Risiko von stillen Ausführungen zu reduzieren ( Anmerkungen zu Version 1.109, Version 1.110)
Über VS Code, Gegner haben die sehr dynamische von Vertrauen zwischen Rekrutierer und Kandidat genutzt, um Ziele zu überzeugen, Befehle in ihrem Terminal durch falsche Seiten auszuführen, die CAPTCHAs oder Video-Links imitieren. MacPaw-Forscher beschreiben Kampagnen, die dieses Muster verwenden, um Befehle in die Zwischenablage einzuwerfen und seine Ausführung zu erreichen, wobei sowohl macOS als auch Windows ( Moonlock Lab Analyse)
Das Phänomen ist nicht nur technisch: es hat auch rechtliche und menschliche Kanten. Neuere US-Gesetze haben Personen, die an betrügerischen Rekrutierungssystemen beteiligt sind, sanktioniert, die die Beteiligung der nordkoreanischen Arbeitnehmer an schädlichen Software- und Betrugsoperationen erleichterten und betonten, wie Rekrutierungs- und Betrugsnetze als Brücke zwischen den technischen Fähigkeiten und geopolitischen Zielen der beteiligten Staaten dienen ( Abteilung Justiz communiqué)
Gemeinsame Untersuchungen von Sicherheitsunternehmen haben die Infrastruktur und das Spielbuch dieser Operationen abgebildet und betont, dass die sogenannten "IT-Arbeiter" im nordkoreanischen Netzwerk selektive Prozesse durchlaufen und eine organisierte Struktur bilden, die Ziele wie Einkommenserzeugung, geistiges Eigentum Diebstahl, Erpressung und Unterstützung für andere staatliche Gruppen verfolgt ( Kudelskis Forschungsarbeit)
Für diejenigen, die in Open Source-Projekten entwickeln oder zusammenarbeiten, ist die Lektion klar: Standardvertrauen ist ein Risikovektor, wenn es Angreifern entspricht. Bewahren Sie aktuelle Tools, überprüfen Sie sorgfältig alle Anweisungen oder Skript in technischen Bewertungsprozessen angefordert und deaktivieren Sie die automatische Ausführung von Aufgaben sind praktische Schritte, die diese Ketten unterbrechen können. Unternehmen sollten technische Kontrollen mit spezieller Ausbildung für Schlüsselpersonal kombinieren, da hohe Profile oft die lukrativen Ziele in diesen Kampagnen sind.
Das Muster zeigt auch eine strategische Neigung: Angreifer ziehen es vor, legitime Entwicklungsmechanismen - Repositories, Paketmanager, Evaluationstools - zu nutzen, weil sie Verdacht reduzieren und die Erfolgsquote erhöhen. Inzwischen wird die Zusammenarbeit zwischen Sicherheitsteams, Open Source-Plattformen und Entwicklungstool-Anbietern wesentlich sein, wenn diese schädlichen Praktiken nicht standardisiert werden sollen. Public Reports und Anbieter-Updates - von NTT und Microsoft bis zu unabhängigen Teams, die Npm-Pakete und kompromittierte Repositories analysieren - erlauben, die Entwicklung dieser Bedrohungen zu verfolgen und fundierte Gegenmaßnahmen anzuwenden ( NTT Sicherheit, Microsoft, Abstrakte Sicherheit, Kudelski)
Kurz gesagt, StoatWaffle und zugehörige Kampagnen sind eine Erinnerung daran, dass offene Software und Tools, die die Entwicklung beschleunigen, auch als Angriffsvektoren in den Händen von anspruchsvollen Gegnern verwendet werden können. Die Reaktion sollte sinnvolle Konfigurationsänderungen, eine proaktive Überwachung der Lieferkette und eine Sicherheits-Geistigkeit kombinieren, die sogar die scheinbar vertrauten Rekrutierungs- und technischen Kollaborationsprozesse hinterfragt.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...