StoatWaffle -- Malware greift Entwickler ueber VS Code an

Eine neu entdeckte Malware namens "StoatWaffle" nutzt eine wenig bekannte VS-Code-Funktion aus, um Entwickler zu kompromittieren.

Der Angriff

1. Angreifer erstellen legitim aussehende Projekt-Repositories (oft Blockchain-themed)
2. Im Repository liegt eine .vscode/tasks.json mit runOn: folderOpen
3. Sobald der Entwickler das Projekt in VS Code oeffnet und "Trust" gewaehrt, wird der Payload automatisch ausgefuehrt
4. Kein weiterer Klick noetig

Was StoatWaffle tut

• Stealer-Modul: Stiehlt Browser-Credentials, Browser-Extensions-Daten
• RAT-Modul: Dauerhafter Fernzugriff, Shell-Befehle ausfuehren, Dateien hoch-/runterladen
• macOS: Greift zusaetzlich Keychain-Datenbanken an
• Chromium/Firefox: Stiehlt Extensions-Daten und gespeicherte Zugangsdaten

Schutzmaassnahmen

1. Workspace Trust ernst nehmen: Nicht blind "Trust" fuer unbekannte Repositories vergeben
2. tasks.json pruefen: Vor dem Oeffnen eines fremden Projekts die .vscode/-Konfiguration inspizieren
3. runOn:folderOpen als Red Flag behandeln
4. Repositories von unbekannten Quellen in einer Sandbox oder VM oeffnen

Kontext

StoatWaffle ist Teil der "Contagious Interview"-Kampagne, die Nordkorea zugeschrieben wird. Fruehere Versionen nutzten manipulierte npm-Pakete und Fake-Interviews. Die neue Variante ist gefaehrlicher, weil das Oeffnen eines Ordners genuegt.

Quellen

• New 'StoatWaffle' malware auto-executes attacks on developers | InfoWorld / NTT Security