VS Code自動執行機制遭濫用，北韓駭客企圖部署惡意軟體StoatWaffle

攻擊手法與背景

北韓駭客組織WaterPlum Team 8，長期鎖定開發人員進行Contagious Interview（Dev#Popper）攻擊，近年來手法出現變化，開始濫用Visual Studio Code（VS Code）的自動執行機制，透過惡意專案觸發執行，於受害者的開發環境中部署惡意軟體。

惡意軟體與執行機制

攻擊者偽裝成區塊鏈專案的GitHub儲存庫，誘騙開發者下載惡意檔案。當開發者開啟VS Code專案並信任工作區時，內嵌於.vscode/tasks.json中的設定會觸發「自動執行」機制，進而執行惡意腳本。

惡意軟體功能與影響

• StoatWaffle惡意軟體為模組化Node.js惡意軟體，可偷取瀏覽器憑證。
• 攻擊者透過VS Code自動執行任務，於受害者系統上部署惡意模組，並建立遠端控制能力。
• 此攻擊手法自2025年底開始出現，並持續擴展，引起安全研究人員高度關注。

來源與資訊來源

相關資訊來自多個國際安全媒體與技術平臺，包括iThome、The Hacker News、Security Affairs與LinkedIn。

來源：https://www.ithome.com.tw/news/174664