關(guān)鍵詞

惡意軟件

“Contagious Interview”行動背后的朝鮮黑客組織（又稱WaterPlum）被曝利用惡意Visual Studio Code項目傳播新型惡意軟件家族StoatWaffle。

自2025年12月起，該組織開始采用VS Code “tasks.json”配置分發(fā)惡意軟件這一新戰(zhàn)術(shù)。攻擊利用”runOn: folderOpen”選項，每當項目文件夾在VS Code中打開時即自動觸發(fā)執(zhí)行。

NTT Security在上周發(fā)布的報告中指出：”該任務(wù)配置會從Vercel上的Web應(yīng)用下載數(shù)據(jù)，與操作系統(tǒng)無關(guān)。本文雖以Windows環(huán)境為例，但核心行為在各系統(tǒng)上基本一致。”

下載的載荷首先檢查執(zhí)行環(huán)境是否安裝Node.js，若未安裝則從官網(wǎng)下載并安裝。隨后啟動下載器，定期輪詢外部服務(wù)器獲取下一階段下載器，該下載器行為相同——訪問同一服務(wù)器的另一端點，將接收到的響應(yīng)作為Node.js代碼執(zhí)行。

StoatWaffle兩大功能模塊：

• 竊密模塊：竊取Chromium內(nèi)核瀏覽器和Mozilla Firefox中存儲的憑證及擴展數(shù)據(jù)，并上傳至C2服務(wù)器。若受感染系統(tǒng)為macOS，還會竊取iCloud鑰匙串數(shù)據(jù)庫。

• 遠控木馬（RAT）：與C2服務(wù)器通信，獲取并在受感染主機執(zhí)行命令。支持切換工作目錄、枚舉文件目錄、執(zhí)行Node.js代碼、上傳文件、遞歸搜索指定目錄并列出或上傳匹配關(guān)鍵詞的文件、運行shell命令及自我終止。

這家日本安全廠商表示：”StoatWaffle是基于Node.js的模塊化惡意軟件，具備竊密和遠控兩大模塊。WaterPlum持續(xù)開發(fā)新惡意軟件并更新現(xiàn)有工具�！�

與此同時，該組織針對開源生態(tài)的多次攻擊活動也被曝光：

• 惡意npm包：分發(fā)PylangGhost惡意軟件，系該 malware 首次通過npm包傳播。

• PolinRider行動：在數(shù)百個公共GitHub倉庫中植入混淆的惡意JavaScript載荷，最終部署B(yǎng)eaverTail新版本——這是Contagious Interview關(guān)聯(lián)的知名竊密下載器。其中包括Neutralinojs GitHub組織的四個倉庫。攻擊者疑似通過惡意VS Code擴展或npm包感染受害者后，篡奪了該組織長期貢獻者的GitHub賬戶（擁有組織級寫入權(quán)限），強制推送從Tron、Aptos和幣安智能鏈（BSC）交易中獲取加密載荷的JavaScript代碼，以下載運行BeaverTail。

微軟本月對Contagious Interview的分析顯示，攻擊者通過”精心偽裝的招聘流程”實現(xiàn)初始訪問——模擬真實技術(shù)面試，最終說服受害者在評估環(huán)節(jié)運行托管于GitHub、GitLab或Bitbucket的惡意命令或包。

部分情況下，攻擊者通過LinkedIn接觸目標。但被選中的并非初級開發(fā)者，而是加密貨幣或Web3領(lǐng)域的創(chuàng)始人、CTO及高級工程師——這些人很可能擁有公司技術(shù)基礎(chǔ)設(shè)施和加密錢包的高級訪問權(quán)限。近期一起事件中，攻擊者試圖通過虛假面試接觸AllSecure.io創(chuàng)始人，但未得逞。

這些攻擊鏈部署的主要惡意軟件家族包括：OtterCookie（具備廣泛數(shù)據(jù)竊取能力的后門）、InvisibleFerret（Python后門）和FlexibleFerret（Go和Python雙版本模塊化后門）。InvisibleFerret通常通過BeaverTail投遞，但近期入侵中也發(fā)現(xiàn)通過OtterCookie獲取初始訪問后直接作為后續(xù)載荷分發(fā)。

值得注意的是，F(xiàn)lexibleFerret又稱WeaselStore，其Go和Python變體分別被稱為GolangGhost和PylangGhost。

攻擊者正積極改進戰(zhàn)術(shù)：新版VS Code項目已棄用Vercel域名，改用GitHub Gist托管腳本下載執(zhí)行下一階段載荷，最終部署FlexibleFerret。這些項目同樣托管于GitHub。

微軟指出：”通過將惡意軟件投遞嵌入開發(fā)者信任的面試工具、編程練習和評估流程，攻擊者利用求職者在高動機和時間壓力期間對招聘流程的信任，降低其警惕性和抵抗力。”

針對VS Code任務(wù)功能的持續(xù)濫用，微軟在2026年1月更新（1.109版本）中引入緩解措施：新增”task.allowAutomaticTasks”設(shè)置，默認關(guān)閉，防止打開工作區(qū)時自動執(zhí)行”tasks.json”中定義的任務(wù)。

Abstract Security表示：”該更新還禁止在工作區(qū)級定義此設(shè)置，因此惡意倉庫自帶的.vscode/settings.json文件無法覆蓋用戶全局設(shè)置。1.109版本及2026年2月更新（1.110版本）還引入二次提示，在新打開的工作區(qū)檢測到自動運行任務(wù)時警告用戶，作為用戶接受工作區(qū)信任提示后的額外防護。”

近月來，朝鮮黑客還通過LinkedIn社交工程、虛假風投公司和欺詐視頻會議鏈接，對加密貨幣從業(yè)者發(fā)起協(xié)同惡意軟件攻擊。該活動與GhostCall和UNC1069等集群存在重疊。

MacPaw旗下Moonlock Lab表示：”攻擊鏈最終導(dǎo)向ClickFix式虛假驗證碼頁面，誘騙受害者在終端執(zhí)行剪貼板注入命令。該行動跨平臺設(shè)計，針對macOS和Windows分別投遞定制載荷。”

美國司法部（DoJ）近日宣布對三名男子判刑——25歲的Audricus Phagnasay、30歲的Jason Salazar和35歲的Alexander Paul Travis，三人因協(xié)助朝鮮欺詐性IT工作者計劃、違反國際制裁而認罪，此前均于2025年11月認罪。

Phagnasay和Salazar均被判三年緩刑及2000美元罰款，并被沒收參與電信詐騙所得非法收益。Travis被判一年監(jiān)禁，并沒收19.3265萬美元——這是朝鮮人員冒用其身份所獲金額。

佐治亞州南區(qū)聯(lián)邦檢察官Margaret Heap在聲明中表示：”這些人實際上把網(wǎng)絡(luò)王國的鑰匙交給了疑似朝鮮海外技術(shù)工作者——他們試圖為朝鮮政府籌集非法資金，而這些人只是為了看似輕松的金錢回報。”

上周，F(xiàn)lare和IBM X-Force詳細披露了該IT工作者計劃的內(nèi)部結(jié)構(gòu)，并指出這些工作者在加入計劃前需就讀朝鮮頂尖大學(xué)并通過嚴格面試。

兩家公司指出：”他們被視為朝鮮社會精英成員，已成為朝鮮政府戰(zhàn)略目標不可或缺的部分。這些目標包括但不限于：創(chuàng)收、遠程就業(yè)活動、竊取企業(yè)和專有信息、勒索，以及為其他朝鮮組織提供支持�！�

安全圈

網(wǎng)羅圈內(nèi)熱點 專注網(wǎng)絡(luò)安全

實時資訊一手掌握！

好看你就分享 有用就點個贊

支持「安全圈」就點個三連吧！