Μια ομάδα hacking που συνδέεται με τη Βόρεια Κορέα, γνωστή ως WaterPlum, εισήγαγε ένα επικίνδυνο νέο κακόβουλο λογισμικό που ονομάζεται StoatWaffle, αναπτύσσοντάς το μέσω παραβιασμένων αποθετηρίων Visual Studio Code (VSCode) που μεταμφιέζονται ως νόμιμα έργα ανάπτυξης blockchain για να διεισδύουν σιωπηλά σε μηχανές προγραμματιστών.
Η WaterPlum εκτελεί μια καμπάνια γνωστή ως «Μεταδοτική συνέντευξη» εδώ και αρκετό καιρό, προσελκύοντας θύματα μέσω ψεύτικων ρυθμίσεων συνεντεύξεων εργασίας και εξαπατώντας τα να τρέξουν επιβλαβή κώδικα στα συστήματά τους.
Το γκρουπ χωρίζεται σε πολλές ομάδες και η Ομάδα 8 — επίσης με τα ονόματα Moralis και Modilus — είναι υπεύθυνη για αυτό το τελευταίο κύμα. Η ομάδα 8 εξαρτιόταν προηγουμένως από μια οικογένεια κακόβουλου λογισμικού που ονομάζεται OtterCookie ως το κύριο εργαλείο της.
Ξεκινώντας γύρω στον Δεκέμβριο του 2025, η ομάδα άλλαξε ταχύτητες και άρχισε να αναπτύσσει το StoatWaffle, σηματοδοτώντας μια σαφή και σκόπιμη αναβάθμιση στην εργαλειοθήκη επίθεσης.
Οι αναλυτές της NTT Security εντόπισαν το StoatWaffle κατά τη διερεύνηση των τελευταίων δραστηριοτήτων της Ομάδας 8, σημειώνοντας ότι το κακόβουλο λογισμικό σηματοδοτεί μια σημαντική αλλαγή στη λειτουργική προσέγγιση του WaterPlum.
Η έκθεσή τους, που δημοσιεύθηκε στις 17 Μαρτίου 2026, περιγράφει το StoatWaffle ως ένα πλήρως αρθρωτό πλαίσιο που βασίζεται στο Node.js που λειτουργεί σε στάδια — αποτελούμενο από έναν φορτωτή, μια μονάδα κλοπής διαπιστευτηρίων και ένα στοιχείο trojan απομακρυσμένης πρόσβασης (RAT) — το καθένα συνεργάζεται για να παρέχει στους εισβολείς βαθιά πρόσβαση σε παραβιασμένα συστήματα.
Η επίθεση ξεκινά με ένα προσεκτικά κατασκευασμένο αποθετήριο που μοιράζεται μεταξύ των προγραμματιστών. Η ομάδα 8 δημιουργεί αυτό που φαίνεται να είναι ένα γνήσιο έργο blockchain και το τοποθετεί εκεί όπου οι προγραμματιστές είναι πιθανό να το ανακαλύψουν.
Κρυμμένο μέσα στο έργο είναι ένα .vscode φάκελο που περιέχει α tasks.json αρχείο ρυθμισμένο με α runOn: folderOpen σύνθεση.
Μόλις ένας προγραμματιστής ανοίξει τον φάκελο στο VSCode και του δώσει εμπιστοσύνη, ο επεξεργαστής εκτελεί αυτόματα μια προκαθορισμένη εργασία — χωρίς να απαιτείται περαιτέρω ενέργεια από το θύμα.
.webp.jpeg)
Αυτό που κάνει αυτήν την απειλή ιδιαίτερα σοβαρή είναι ότι οι περισσότεροι προγραμματιστές δεν θα περίμεναν ότι απλώς το άνοιγμα ενός φακέλου έργου VSCode θα μπορούσε να προκαλέσει σιωπηλά μια πλήρη μόλυνση από κακόβουλο λογισμικό που εκτελείται στο παρασκήνιο — χωρίς σενάρια για μη αυτόματη εκτέλεση, χωρίς προτροπές για αποδοχή.
StoatWaffle’s Infection Chain
Όταν εκτελείται η κακόβουλη εργασία, προσεγγίζει μια εφαρμογή web που φιλοξενείται από την Vercel και πραγματοποιεί λήψη ενός σεναρίου δέσμης που ονομάζεται vscode-bootstrap.cmd. Αυτό το σενάριο ελέγχει πρώτα εάν το Node.js είναι εγκατεστημένο στο μηχάνημα.
Εάν δεν είναι, το σενάριο κατεβάζει και το εγκαθιστά αθόρυβα από τον επίσημο ιστότοπο του Node.js — αφαιρώντας ένα βασικό τεχνικό εμπόδιο χωρίς να τραβήξει την προσοχή. Στη συνέχεια, ανακτά ένα αρχείο JavaScript που ονομάζεται env.nplτο οποίο λειτουργεί ως το πρόγραμμα λήψης πρώτου σταδίου στην αλυσίδα μόλυνσης του StoatWaffle.
Ο env.npl Το αρχείο συνδέεται σε διακομιστή C2 στο 147[.]124.202.208 στη θύρα 3000 και δημοσκοπήσεις το /api/errorMessage τελικό σημείο κάθε πέντε δευτερόλεπτα.
Όταν ο διακομιστής απαντά με κατάσταση σφάλματος, ο φορτωτής εκτελεί τον κώδικα JavaScript που είναι ενσωματωμένος σε αυτήν την απόκριση, κατεβάζοντας το ωφέλιμο φορτίο του δεύτερου σταδίου.
Περίπου πέντε λεπτά σε αυτόν τον κύκλο ψηφοφορίας, έρχεται το δεύτερο πρόγραμμα λήψης και ξεκινά το δικό του βρόχο ενάντια στο /api/handleErrors τελικό σημείο στον ίδιο διακομιστή, που δημιουργεί σιωπηλά κρυφές θυγατρικές διεργασίες για να μείνει αόρατο.
Μόλις το δεύτερο πρόγραμμα λήψης είναι ενεργό, το StoatWaffle αναπτύσσει και τις δύο μονάδες Stealer και RAT ταυτόχρονα.
Το Stealer στοχεύει αποθηκευμένα διαπιστευτήρια προγράμματος περιήγησης και δεδομένα επέκτασης πορτοφολιού κρυπτονομισμάτων σε προγράμματα περιήγησης που βασίζονται σε Chromium και Firefox. στο macOS, συλλέγει επίσης τη βάση δεδομένων Keychain.
Η λειτουργική μονάδα RAT αναμένει εντολές από τον διακομιστή C2 και μπορεί να παραθέσει αρχεία, να εκτελέσει εντολές φλοιού, να ανεβάσει καταλόγους και να αναζητήσει αρχεία που ταιριάζουν με μια λέξη-κλειδί — δίνοντας στον εισβολέα ευρύ και επίμονο έλεγχο στον μολυσμένο κεντρικό υπολογιστή.
Οι προγραμματιστές θα πρέπει να αποφεύγουν να εμπιστεύονται άγνωστα ή μη επαληθευμένα αποθετήρια VSCode, ιδιαίτερα αυτά που σχετίζονται με εργασίες blockchain ή κρυπτονομισμάτων.
Οι ρυθμίσεις αξιοπιστίας του χώρου εργασίας VSCode πρέπει να εξετάζονται προσεκτικά και οι πολιτικές να περιορίζονται runOn: folderOpen συμπεριφορά πρέπει να επιβληθεί. Συνιστάται στις ομάδες ασφαλείας να αποκλείουν αυτούς τους δείκτες συμβιβασμού: 185[.]163.125.196, 147[.]124.202.208, 163[.]245.194.216, 66[.]235.168.136και 87[.]236.177.9.
Η παρακολούθηση μη αναμενόμενων εγκαταστάσεων Node.js ή κρυφών θυγατρικών διεργασιών που προέρχονται από το VSCode μπορεί επίσης να χρησιμεύσει ως έγκαιρη προειδοποίηση για συμβιβασμό.
