新型"StoatWaffle"恶意软件对开发者实施自动化攻击

一种新披露的名为"StoatWaffle"的恶意软件正在为臭名昭著的针对开发者的"传染性面试"威胁活动增添新的攻击手段。

根据NTT安全公司的研究发现，这种恶意软件标志着长期运行的攻击活动从用户触发执行演进为直接嵌入开发者工作流程的近乎无摩擦入侵。攻击者使用区块链主题的项目存储库作为诱饵，嵌入恶意的VS Code配置文件，当受害者打开并信任该文件夹时触发代码执行。

NTT研究人员在博客文章中表示："StoatWaffle是一个由Node.js实现的模块化恶意软件，具有窃取器和远程访问木马模块。"他们补充说，活动操作者"WaterPlum"正在"持续开发新的恶意软件并更新现有软件"。

这意味着追踪传染性面试活动现在可能需要扩大检测范围，不仅包括恶意包和面试诱饵，还要包括武器化的开发环境。

StoatWaffle滥用开发者对Visual Studio Code环境的信任。攻击者不再依靠用户执行可疑脚本（如早期攻击中那样），而是将恶意配置嵌入到看似合法的项目存储库中，这些存储库通常以区块链开发为主题，这种诱饵主题与传染性面试活动保持一致。

该技术依赖于配置了"runOn: folderOpen"设置的".vscode/tasks.json"文件。一旦开发者打开项目并授予信任，载荷就会自动执行，无需进一步点击。执行的StoatWaffle恶意软件运行一个基于Node.js的模块化框架，通常分阶段展开。这些阶段包括加载器、凭据收集组件，然后植入远程访问木马用于持久化和跨系统的枢纽访问。

远程访问木马模块与攻击者控制的C2服务器保持定期通信，执行命令来终止自身进程、更改工作目录、列出文件和目录、导航到应用程序目录、检索目录详细信息、上传文件、执行Node.js代码以及运行任意shell命令等。

StoatWaffle还根据受害者的浏览器展现出定制化行为。研究人员说："如果受害者的浏览器是Chromium系列，除了存储的凭据外，它还会窃取浏览器扩展数据。如果受害者的浏览器是Firefox，除了存储的凭据外，它也会窃取浏览器扩展数据。它会读取extensions.json并获取浏览器扩展名称列表，然后检查是否包含指定关键词。"

他们补充说，对于运行macOS的受害者，恶意软件还会针对钥匙串数据库。

StoatWaffle并非孤立的攻击活动。它是传染性面试攻击的最新章节，这些攻击被广泛认为与朝鲜相关的威胁行为者WaterPlum有关。

从历史上看，这个活动通过虚假面试过程针对开发者和求职者，以技术评估为幌子诱使他们运行恶意代码。此前，该活动武器化npm包和分阶段加载器，如XORIndex和HexEval，通常分发数十个恶意包来大规模渗透开发者生态系统。

研究人员表示，该组织的子集群之一Team 8此前依赖OtterCookie等恶意软件，在2025年12月左右转向使用StoatWaffle。

该披露还分享了一组基于IP的威胁指标，可能与分析期间观察到的C2基础设施相关，以支持检测工作。

Q&A

Q1：StoatWaffle恶意软件是什么？它如何攻击开发者？

A：StoatWaffle是一种新型恶意软件，属于"传染性面试"威胁活动的最新版本。它通过在区块链主题的项目存储库中嵌入恶意VS Code配置文件来攻击开发者，当开发者打开项目并授予信任时，恶意代码会自动执行，无需用户进一步操作。

Q2：StoatWaffle与之前的攻击方式有什么不同？

A：与早期需要用户手动执行可疑脚本的攻击不同，StoatWaffle实现了近乎无摩擦的自动化入侵。它利用".vscode/tasks.json"文件的"runOn: folderOpen"设置，将恶意配置直接嵌入开发者工作流程中，大大提高了攻击成功率。

Q3：StoatWaffle会窃取哪些信息？

A：StoatWaffle是一个模块化恶意软件，具有窃取器和远程访问木马功能。它会根据受害者使用的浏览器窃取相应的凭据和扩展数据，对于macOS用户还会针对钥匙串数据库。同时建立与C2服务器的通信，执行各种恶意命令。