一种新披露的名为"StoatWaffle"的恶意软件正在为臭名昭著的针对开发者的"传染性面试"威胁活动增添新的攻击手段。
根据NTT安全公司的研究发现,这种恶意软件标志着长期运行的攻击活动从用户触发执行演进为直接嵌入开发者工作流程的近乎无摩擦入侵。攻击者使用区块链主题的项目存储库作为诱饵,嵌入恶意的VS Code配置文件,当受害者打开并信任该文件夹时触发代码执行。
NTT研究人员在博客文章中表示:"StoatWaffle是一个由Node.js实现的模块化恶意软件,具有窃取器和远程访问木马模块。"他们补充说,活动操作者"WaterPlum"正在"持续开发新的恶意软件并更新现有软件"。
这意味着追踪传染性面试活动现在可能需要扩大检测范围,不仅包括恶意包和面试诱饵,还要包括武器化的开发环境。
StoatWaffle滥用开发者对Visual Studio Code环境的信任。攻击者不再依靠用户执行可疑脚本(如早期攻击中那样),而是将恶意配置嵌入到看似合法的项目存储库中,这些存储库通常以区块链开发为主题,这种诱饵主题与传染性面试活动保持一致。
该技术依赖于配置了"runOn: folderOpen"设置的".vscode/tasks.json"文件。一旦开发者打开项目并授予信任,载荷就会自动执行,无需进一步点击。执行的StoatWaffle恶意软件运行一个基于Node.js的模块化框架,通常分阶段展开。这些阶段包括加载器、凭据收集组件,然后植入远程访问木马用于持久化和跨系统的枢纽访问。
远程访问木马模块与攻击者控制的C2服务器保持定期通信,执行命令来终止自身进程、更改工作目录、列出文件和目录、导航到应用程序目录、检索目录详细信息、上传文件、执行Node.js代码以及运行任意shell命令等。
StoatWaffle还根据受害者的浏览器展现出定制化行为。研究人员说:"如果受害者的浏览器是Chromium系列,除了存储的凭据外,它还会窃取浏览器扩展数据。如果受害者的浏览器是Firefox,除了存储的凭据外,它也会窃取浏览器扩展数据。它会读取extensions.json并获取浏览器扩展名称列表,然后检查是否包含指定关键词。"
他们补充说,对于运行macOS的受害者,恶意软件还会针对钥匙串数据库。
StoatWaffle并非孤立的攻击活动。它是传染性面试攻击的最新章节,这些攻击被广泛认为与朝鲜相关的威胁行为者WaterPlum有关。
从历史上看,这个活动通过虚假面试过程针对开发者和求职者,以技术评估为幌子诱使他们运行恶意代码。此前,该活动武器化npm包和分阶段加载器,如XORIndex和HexEval,通常分发数十个恶意包来大规模渗透开发者生态系统。
研究人员表示,该组织的子集群之一Team 8此前依赖OtterCookie等恶意软件,在2025年12月左右转向使用StoatWaffle。
该披露还分享了一组基于IP的威胁指标,可能与分析期间观察到的C2基础设施相关,以支持检测工作。
Q&A
Q1:StoatWaffle恶意软件是什么?它如何攻击开发者?
A:StoatWaffle是一种新型恶意软件,属于"传染性面试"威胁活动的最新版本。它通过在区块链主题的项目存储库中嵌入恶意VS Code配置文件来攻击开发者,当开发者打开项目并授予信任时,恶意代码会自动执行,无需用户进一步操作。
Q2:StoatWaffle与之前的攻击方式有什么不同?
A:与早期需要用户手动执行可疑脚本的攻击不同,StoatWaffle实现了近乎无摩擦的自动化入侵。它利用".vscode/tasks.json"文件的"runOn: folderOpen"设置,将恶意配置直接嵌入开发者工作流程中,大大提高了攻击成功率。
Q3:StoatWaffle会窃取哪些信息?
A:StoatWaffle是一个模块化恶意软件,具有窃取器和远程访问木马功能。它会根据受害者使用的浏览器窃取相应的凭据和扩展数据,对于macOS用户还会针对钥匙串数据库。同时建立与C2服务器的通信,执行各种恶意命令。
好文章,需要你的鼓励
苹果已开始在印度分阶段恢复Apple账户的信用卡支付功能,用户可绑定Visa和Mastercard信用卡及借记卡,用于购买iCloud+、Apple Music订阅及App Store应用。此前,由于印度储备银行于2021年推出新的周期性支付监管框架,苹果于2022年5月暂停了该支付方式。此次恢复标志着苹果在适应各国本地化监管要求方面的持续努力,同时也引发外界对苹果是否将在印度推出Apple Pay的新猜测。
腾讯混元等机构提出HiLS-Attention,通过端到端可学习的分层稀疏注意力机制,让大模型在超长上下文推理中比全量注意力快14倍,同时检索准确率更高。
Bookshop.org创始人Andy Hunter证实,与Kobo的合作集成将于今年落地。此前该计划历经多次推迟,网页措辞一度从"2026年"改为"未来某时"。Hunter表示,双方已就商业条款达成一致,工程团队正将资源重新投入Kobo支持开发,但尚无具体上线日期。该集成将支持数字版权管理要求,让用户通过Bookshop.org购买电子书,同时支持独立书店。
DSpark是DeepSeek与北京大学提出的投机解码框架,通过半自回归生成和置信度调度验证两项创新,将DeepSeek-V4用户生成速度提升60%至85%。