VS Code自動執行機制遭濫用，北韓駭客企圖部署惡意軟體StoatWaffle

攻擊手法與背景

北韓駭客組織WaterPlum Team 8，長期鎖定開發人員進行Contagious Interview（Dev#Popper）攻擊，近年來手法出現變化，開始濫用Visual Studio Code（VS Code）的自動執行機制，透過惡意專案觸發執行，於受害者的開發環境中部署惡意軟體。

惡意軟體與執行機制

攻擊者偽裝成區塊鏈專案的GitHub儲存庫，誘騙開發者下載惡意檔案。當開發者開啟VS Code專案並信任工作區時，內嵌於.vscode/tasks.json中的設定會觸發「自動執行」機制，進而執行惡意腳本。

惡意軟體名為StoatWaffle，屬於模組化Node.js惡意軟體，可偷取瀏覽器憑證，並建立遠端控制通道，實現資料竊取與遠端指令執行。

相關來源與資訊

• iThome – 北韓駭客長期鎖定開發人員的攻擊行動
• The Hacker News – North Korean Hackers Abuse VS Code Auto-Run
• Security Affairs – North Korea-linked threat actors abuse VS Code auto-run
• LinkedIn – The Cyber Security Hub
• X – TweetThreatNews
• X – Undercode News

來源：https://www.ithome.com.tw/news/174664