新たに観察された「StoatWaffle」マルウェア、開発者への攻撃を自動実行

「StoatWaffle」という名で呼ばれる新たに開示されたマルウェア株が、悪名高い開発者を標的にした「Contagious Interview」脅威キャンペーンに新たな力を与えています。

NTT Securityの調査結果によると、このマルウェアは、長年にわたるキャンペーンのユーザートリガー実行から、開発者ワークフローに直接埋め込まれたほぼ摩擦のない侵害への進化を示しています。攻撃者はブロックチェーンをテーマにしたプロジェクトリポジトリをおとりとして使用し、フォルダが開かれて被害者に信頼されたときにコード実行をトリガーする悪意のあるVS Code設定ファイルを埋め込んでいます。

「StoatWaffleはNode.jsで実装されたモジュール型マルウェアであり、StelarerおよびRATモジュールを備えています」とNTT研究者はブログ投稿で述べ、キャンペーン運営者「WaterPlum」が「継続的に新しいマルウェアを開発し、既存のものを更新している」と付け加えました。

これは、Contagious Interview 活動の追跡が、悪意あるパッケージとインタビュー詐欺だけでなく、武器化された開発環境を含めるために検出努力の範囲を広げる必要があるかもしれないことを意味しています。

フォルダを開くだけで十分です

StoatWaffleは、Visual Studio Code環境内の開発者の信頼を悪用しています。以前の攻撃のように疑わしいスクリプトを実行するようにユーザーに頼る代わりに、攻撃者は正当に見えるプロジェクトリポジトリ内に悪意のある設定を埋め込んでおり、しばしばブロックチェーン開発を中心としたテーマであり、Contagious Interviewキャンペーンと一貫性のある詐欺テーマです。

このトリックは、「runOn: folderOpen」設定が設定された「.vscode/tasks.json」ファイルに依存しています。開発者がプロジェクトを開いて信頼を与えると、ペイロードはさらにクリックすることなく自動的に実行されます。実行されたStoatWaffleマルウェアは、段階的に展開される傾向がある、モジュール式のNode.jsベースのフレームワークを操作しています。これらの段階には、ローダー、認証情報収集コンポーネント、およびシステム全体での永続性とピボットアクセスのために配置されたリモートアクセストロイの木馬(RAT)が含まれます。

macOSを実行している被害者の場合、マルウェアはKeychainデータベースも標的にしていると、彼らは付け加えました。

Contagious Interview、再び検討

StoatWaffleは孤立したキャンペーンではありません。これはContagious Interview攻撃の最新の章であり、WaterPlumとして追跡されている北朝鮮にリンクされた脅威アクターに広く起因されています。

歴史的に、このキャンペーンは偽のインタビュープロセスを通じて開発者と求職者を標的にし、技術的評価の装いの下で悪意のあるコードを実行するよう誘い込んでいます。以前は、キャンペーンはnpmパッケージとXORIndexやHexEvalのようなステージ付きローダーを武器化し、開発者エコシステムに大規模に浸透するために数十の悪意のあるパッケージを配布していました。

グループのサブクラスターの1つであるTeam 8は、以前はOtterCookieなどのマルウェアに頼っており、2025年12月頃にStoatWaffleにシフトしたと、研究者は述べました。

開示はまた、分析中に観察されたC2インフラストラクチャに関連する可能性が高い、IPベースの侵害指標(IOC)のセットを共有し、検出努力をサポートしました。