Angebot für Mehrfachlizenz-Rabatt
Bedrohungsdatenbank Malware StoatWaffle Malware

StoatWaffle Malware

Von Mezo in Malware, Erweiterte, anhaltende Bedrohung (APT)
Übersetzen Sie in:

Ein nordkoreanischer Bedrohungscluster, bekannt als Contagious Interview oder WaterPlum, wurde mit einer hochentwickelten Malware-Familie namens StoatWaffle in Verbindung gebracht. Diese Kampagne zielt gezielt auf Entwickler ab, indem sie schädliche Microsoft Visual Studio Code (VS Code)-Projekte als Waffe einsetzt. Dies deutet auf eine gefährliche Weiterentwicklung von Lieferkettenangriffen im Softwareentwicklungs-Ökosystem hin.

VS Code als Waffe: Der Missbrauch der tasks.json-Datei

Eine bemerkenswerte Neuerung dieser Kampagne ist die Ausnutzung der tasks.json-Konfigurationsdatei von VS Code. Seit Dezember 2025 nutzen Angreifer die Einstellung „runOn: folderOpen“, um automatisch schädliche Aufgaben auszuführen, sobald ein Projektordner geöffnet wird.

Diese Technik gewährleistet eine konsistente Ausführung ohne explizite Benutzerinteraktion. Der Schadprozess ruft Nutzdaten von einer entfernten Webanwendung ab, die auf Vercel gehostet wird und unabhängig vom zugrunde liegenden Betriebssystem arbeitet. Obwohl sich Analyseumgebungen häufig auf Windows konzentrieren, bleibt die Angriffslogik plattformübergreifend konsistent.

Mehrstufige Nutzlastzustellung via Node.js

Nach der Ausführung initiiert die Schadsoftware einen strukturierten, mehrstufigen Infektionsprozess:

  • Die Nutzlast überprüft, ob Node.js auf dem Hostsystem installiert ist.
  • Falls Node.js nicht vorhanden ist, wird es von der offiziellen Quelle heruntergeladen und im Hintergrund installiert.
  • Es wird eine Download-Komponente gestartet, die regelmäßig Kontakt zu einem Remote-Server aufnimmt.
  • Dieser Downloader lädt zusätzliche Nutzdaten herunter, die als Node.js-Code ausgeführt werden und die Infektionskette durch aufeinanderfolgende Stufen fortsetzen.

Dieser mehrschichtige Ansatz erhöht die Persistenz und erschwert die Erkennung durch Sicherheitstools.

Im Inneren von StoatWaffle: Modulare Malware-Funktionen

StoatWaffle ist als modulares Framework auf Basis von Node.js konzipiert und ermöglicht die flexible Bereitstellung mehrerer schädlicher Komponenten. Zu den Hauptmodulen gehören:

Credential Stealer : Extrahiert sensible Daten aus Chromium-basierten Browsern und Mozilla Firefox, darunter gespeicherte Anmeldeinformationen und Erweiterungsdaten. Auf macOS-Systemen greift es zusätzlich auf die iCloud-Schlüsselbunddatenbank zu. Alle gesammelten Daten werden an einen Command-and-Control-Server (C2-Server) übertragen.
Remote-Access-Trojaner (RAT) : Stellt eine dauerhafte Verbindung zum C2-Server her und ermöglicht Angreifern so die Fernausführung von Befehlen. Zu seinen Funktionen gehören die Navigation im Dateisystem, die Befehlsausführung, das Hochladen von Dateien, die Suche nach Dateien anhand von Schlüsselwörtern und die Selbstbeendigung.
Erweiterung der Angriffsfläche : Ausnutzung des Open-Source-Ökosystems

Die Kampagne reiht sich in ein breiteres Muster von Angriffen ein, die auf Open-Source-Plattformen und Entwickler-Workflows abzielen. Zu den bemerkenswerten Aktionen gehören:

  • Verbreitung von PylangGhost, einer auf Python basierenden Backdoor, über bösartige npm-Pakete, was die erste beobachtete Verbreitung über diesen Kanal darstellt.
  • Die PolinRider-Kampagne, bei der verschleierter JavaScript-Code in Hunderte von GitHub-Repositories eingeschleust wurde, was zur Verbreitung einer aktualisierten Variante der BeaverTail-Malware führte.
  • Kompromittierung von Repositories innerhalb der Neutralinojs-GitHub-Organisation durch Übernahme eines Mitwirkenden-Kontos mit erhöhten Berechtigungen. Schadcode wurde per Force-Push eingeschleust, um verschlüsselte Daten abzurufen, die in Blockchain-Transaktionen der Netzwerke Tron, Aptos und Binance Smart Chain eingebettet waren.

Die Opfer in diesen Szenarien wurden häufig durch kompromittierte VS Code-Erweiterungen oder bösartige npm-Pakete infiziert.

Social-Engineering-Taktiken: Gefälschte Vorstellungsgespräche und gezielte Ansprache von Entwicklern

Der Erstzugang erfolgt häufig durch äußerst überzeugende Rekrutierungsbetrügereien. Angreifer simulieren legitime technische Bewerbungsgespräche und verleiten ihre Opfer dazu, Schadcode auszuführen, der auf Plattformen wie GitHub, GitLab oder Bitbucket gehostet wird.

Die Angriffsstrategie zielt auf hochrangige Personen ab, darunter Gründer, CTOs und leitende Ingenieure aus den Bereichen Kryptowährung und Web3. Diese Positionen ermöglichen häufig den Zugriff auf kritische Infrastrukturen und digitale Assets. In einem dokumentierten Fall wurde der Gründer von AllSecure.io mithilfe eines fingierten Bewerbungsgesprächs angegriffen.

Um ihre Glaubwürdigkeit zu erhöhen, erstellen Angreifer gefälschte Firmenprofile auf LinkedIn und unterhalten scheinbar legitime GitHub-Konten. Zu den weiteren Techniken gehört der Einsatz von ClickFix, einer Social-Engineering-Methode, die die Verbreitung von Schadsoftware als Kompetenzbewertungsaufgabe tarnt.

Strategische Ziele: Mehr als nur Kryptowährungsdiebstahl

Obwohl der Diebstahl von Kryptowährungen ein Hauptmotiv zu sein scheint, erstreckt sich die eigentliche Absicht auf die Kompromittierung von Lieferketten und Wirtschaftsspionage. Durch das Eindringen in Entwicklerumgebungen erhalten Angreifer die Möglichkeit, Schadcode in nachgelagerte Softwareprojekte einzuschleusen oder auf sensible Unternehmensdaten zuzugreifen.

Stärkung der VS Code-Sicherheit

Als Reaktion auf den Missbrauch von VS Code-Aufgaben hat Microsoft wichtige Sicherheitsverbesserungen eingeführt:

  • Mit dem Update vom Januar 2026 (Version 1.109) wurde die Einstellung task.allowAutomaticTasks eingeführt, die standardmäßig deaktiviert ist, um die automatische Ausführung von in tasks.json definierten Aufgaben zu verhindern.
  • Diese Einstellung kann auf Workspace-Ebene nicht überschrieben werden, wodurch verhindert wird, dass bösartige Repositories die vom Benutzer definierten Sicherheitseinstellungen umgehen.
  • In nachfolgenden Updates, darunter Version 1.110, die im Februar 2026 veröffentlicht wurde, wurde eine zweite Warnmeldung hinzugefügt, die erscheint, wenn in neu geöffneten Arbeitsbereichen automatisch ausgeführte Aufgaben erkannt werden. Dadurch wird das Bewusstsein der Benutzer auch nach der Gewährung des Workspace Trust gestärkt.

Fazit: Eine wachsende Bedrohung für die Entwicklersicherheit

Die StoatWaffle-Kampagne verdeutlicht einen bedeutenden Strategiewechsel bei Angreifern: Sie konzentrieren sich auf Entwicklungsumgebungen und vertrauenswürdige Arbeitsabläufe. Durch die Kombination von technischer Ausnutzung und fortgeschrittenem Social Engineering verwischen Bedrohungsakteure zunehmend die Grenze zwischen legitimen und schädlichen Aktivitäten. Dies unterstreicht die Notwendigkeit erhöhter Wachsamkeit während des gesamten Softwareentwicklungszyklus.

Im Trend

UNC4899 Cloud-Kompromittierungskampagne

Erweiterte, anhaltende Bedrohung (APT)
Ein ausgeklügelter Cyberangriff im Jahr 2025 wird dem nordkoreanischen Akteur UNC4899 zugeschrieben, einer Gruppe, die im Verdacht steht, einen groß angelegten Angriff auf eine Kryptowährungsorganisation verübt zu haben, der zum Diebstahl digitaler Vermögenswerte in Millionenhöhe führte. Die Kampagne wird mit mäßiger Sicherheit diesem staatlich geförderten Akteur zugeschrieben, der auch unter...

Am häufigsten gesehen

Wird geladen...