文章总结： 朝鲜关联组织Team8滥用VSCode自动运行功能传播StoatWaffle恶意软件。攻击通过恶意项目诱饵，利用tasks.json在打开文件夹时触发代码执行。该恶意软件基于Node.js，具备窃密与RAT功能，可窃取浏览器凭据及系统数据并远程控制设备。其跨平台与模块化特性增强了隐蔽性，建议开发人员警惕不明来源的项目代码。 综合评分： 82 文章分类： 恶意软件,威胁情报,漏洞预警

与朝鲜有关联的威胁行为者滥用 VS Code 自动运行功能传播 StoatWaffle 恶意软件

原创

网络安全9527 网络安全9527

安全圈的那点事儿

2026年3月24日 18:21 北京

与朝鲜有关联的网络威胁组织 Team 8 发起了“传染性访谈”（Contagious Interview）攻击活动，并利用恶意 Microsoft Visual Studio Code 项目传播 StoatWaffle 恶意软件。自 2025 年底以来，他们滥用 Microsoft Visual Studio Code 中的“tasks.json”自动运行功能，在每次打开文件夹时执行代码，并通过跨操作系统从网络下载有效载荷，这种策略既隐蔽又有效。

NTT Security发布的报告指出：“在‘传染性访谈’攻击活动中，Team 8主要使用OtterCookie。大约从2025年12月开始，Team 8开始使用一种新的恶意软件。我们将其命名为StoatWaffle。”报告还指出：“Team 8利用一个与区块链相关的项目作为诱饵。这个恶意仓库中包含 .vscode 一个目录，其中包含tasks.json文件。如果用户使用VSCode打开并信任这个恶意仓库，VSCode就会读取这个tasks.json文件。”

该任务从 Vercel 下载有效载荷，并通过 cmd.exe 运行它们，首先运行一个简单的下载器。然后，如果缺少 Node.js，它会进行安装，并获取其他文件，从而能够在不同的操作系统上进一步执行恶意软件。

StoatWaffle恶意软件采用多阶段感染链。它首先使用一个Node.js加载器，该加载器会反复连接到命令与控制（C2）服务器，并执行接收到的任何代码。随后部署第二个下载器，继续与服务器通信，并快速投放其他恶意软件模块。

其中一个模块充当窃取工具，从浏览器中收集凭据、扩展程序数据、已安装软件的详细信息，甚至包括 macOS 钥匙串数据，然后将所有信息发送回攻击者。它还可以通过 WSL 环境访问 Windows 数据。

“窃取模块会窃取存储在网页浏览器中的凭据和指定的浏览器扩展程序数据，并将其上传到C2服务器。如果受害者的浏览器是Chromium系列内核，除了存储的凭据外，它还会窃取浏览器扩展程序数据（见附录）。如果受害者的浏览器是Firefox，它也会窃取浏览器扩展程序数据。它会读取extensions.json文件，获取浏览器扩展程序名称列表，然后检查列表中是否包含指定的关键字。”报告继续说道，“如果受害者的操作系统是macOS，它还会窃取钥匙串数据库。”

另一个模块则充当远程访问木马（RAT），允许攻击者在受感染的系统上运行命令并接收结果。总而言之，该恶意软件能够完全窃取数据并远程控制受感染的设备。

报告总结道：“StoatWaffle 是一款基于 Node.js 实现的模块化恶意软件，它包含窃取器和远程访问木马 (RAT) 模块。WaterPlum 公司不断开发新的恶意软件并更新现有恶意软件。我们认为有必要密切关注他们的活动。”

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈的那点事儿 网络安全9527 网络安全9527《与朝鲜有关联的威胁行为者滥用 VS Code 自动运行功能传播 StoatWaffle 恶意软件》