VS Code自動執行機制遭濫用，北韓駭客企圖部署惡意軟體StoatWaffle

攻擊手法與背景

北韓駭客組織WaterPlum Team 8，長期鎖定開發人員，透過「Contagious Interview（Dev#Popper）」攻擊手法進行網路徵才與視訊會議的假裝，以誘騙開發者參與專案。

近年來，這些駭客開始濫用Visual Studio Code（VS Code）的自動執行機制，透過偽裝成區塊鏈專案的GitHub儲存庫，誘騙受害者下載惡意檔案。

惡意軟體運作機制

當開發者開啟VS Code專案並信任工作區時，內嵌於.vscode/tasks.json中的設定會觸發自動執行機制，進而執行惡意腳本。

該惡意軟體名為StoatWaffle，會在受害者系統上部署模組化Node.js惡意軟體，用以竊取瀏覽器憑證，並實現遠端控制。

相關來源與分析

• iThome – 北韓駭客長期鎖定開發人員的攻擊行動出現變化
• The Hacker News – North Korean Hackers Abuse VS Code Auto-Run
• Security Affairs – North Korea-linked threat actors abuse VS Code auto-run
• Facebook – 駭客組織WaterPlum Team 8最新使用的惡意軟體StoatWaffle
• LinkedIn – The Cyber Security Hub™
• X – TweetThreatNews
• X – Undercode News

來源：https://www.ithome.com.tw/news/174664