Devis de remise multi-licences
Données concernant les menaces Logiciels malveillants Logiciel malveillant StoatWaffle

Logiciel malveillant StoatWaffle

Par Mezo en Logiciels malveillants, Menace persistante avancée (APT)
Se traduisent par :

Un groupe de menaces nord-coréen, identifié sous les noms de Contagious Interview et WaterPlum, a été associé à une famille de logiciels malveillants sophistiquée appelée StoatWaffle. Cette campagne cible spécifiquement les développeurs en exploitant des projets Microsoft Visual Studio Code (VS Code) malveillants, ce qui témoigne d'une évolution inquiétante des attaques ciblant la chaîne d'approvisionnement au sein de l'écosystème du développement logiciel.

Utiliser VS Code comme une arme : l’abus du fichier tasks.json

Une innovation notable de cette campagne réside dans l'exploitation du fichier de configuration tasks.json de VS Code. Depuis décembre 2025, les attaquants exploitent le paramètre « runOn: folderOpen » pour exécuter automatiquement des tâches malveillantes à chaque ouverture d'un dossier de projet.

Cette technique garantit une exécution cohérente sans nécessiter d'interaction explicite de l'utilisateur. La tâche malveillante récupère des charges utiles depuis une application web distante hébergée sur Vercel, indépendamment du système d'exploitation sous-jacent. Bien que les environnements d'analyse se concentrent souvent sur Windows, la logique d'attaque reste identique quelle que soit la plateforme.

Livraison de charge utile en plusieurs étapes via Node.js

Une fois exécuté, le logiciel malveillant initie un processus d'infection structuré en plusieurs étapes :

  • La charge utile vérifie si Node.js est installé sur le système hôte.
  • Si Node.js est absent, il est téléchargé depuis sa source officielle et installé silencieusement.
  • Un module de téléchargement est lancé et contacte périodiquement un serveur distant.
  • Ce programme de téléchargement récupère des charges utiles supplémentaires, qui s'exécutent sous forme de code Node.js et poursuivent la chaîne d'infection à travers des étapes successives.

Cette approche par couches renforce la persistance et complique la détection par les outils de sécurité.

À l’intérieur de StoatWaffle : Capacités modulaires en matière de logiciels malveillants

StoatWaffle est conçu comme un framework modulaire basé sur Node.js, permettant le déploiement flexible de plusieurs composants malveillants. Ses principaux modules sont les suivants :

Voleur d'identifiants : extrait des données sensibles des navigateurs basés sur Chromium et de Mozilla Firefox, notamment les identifiants enregistrés et les données des extensions. Sur les systèmes macOS, il cible également la base de données du Trousseau iCloud. Toutes les données collectées sont exfiltrées vers un serveur de commande et de contrôle (C2).
Cheval de Troie d'accès à distance (RAT) : établit une communication permanente avec le serveur C2, permettant aux attaquants d'exécuter des commandes à distance. Ses fonctionnalités incluent la navigation dans le système de fichiers, l'exécution de commandes, le téléchargement de fichiers, la recherche de fichiers par mots-clés et l'autodestruction.
Élargissement de la surface d'attaque : exploitation de l'écosystème open source

Cette campagne s'inscrit dans un schéma plus large d'attaques ciblant les plateformes open source et les processus de développement. Parmi les opérations notables, on peut citer :

  • Distribution de PylangGhost, une porte dérobée basée sur Python, via des paquets npm malveillants, marquant sa première propagation observée par ce canal.
  • La campagne PolinRider, qui a injecté du JavaScript obscurci dans des centaines de dépôts GitHub, a conduit au déploiement d'une variante mise à jour du logiciel malveillant BeaverTail.
  • Compromission des dépôts au sein de l'organisation GitHub Neutralinojs suite au détournement d'un compte contributeur disposant de privilèges élevés. Du code malveillant a été injecté de force afin de récupérer des données chiffrées intégrées à des transactions blockchain sur les réseaux Tron, Aptos et Binance Smart Chain.

Dans ces cas de figure, les victimes étaient souvent infectées par le biais d'extensions VS Code compromises ou de packages npm malveillants.

Techniques d’ingénierie sociale : faux entretiens et ciblage des développeurs

L'accès initial est souvent obtenu grâce à des arnaques au recrutement très convaincantes. Les attaquants simulent des processus d'entretien technique légitimes, persuadant leurs victimes d'exécuter du code malveillant hébergé sur des plateformes telles que GitHub, GitLab ou Bitbucket.

La stratégie de ciblage vise des personnes clés, notamment des fondateurs, des directeurs techniques et des ingénieurs seniors dans les secteurs des cryptomonnaies et du Web3. Ces fonctions donnent souvent accès à des infrastructures critiques et à des actifs numériques. Dans un cas documenté, une tentative d'attaque a ciblé le fondateur d'AllSecure.io au moyen d'un faux entretien d'embauche.

Pour renforcer leur crédibilité, les attaquants créent de faux profils d'entreprise sur LinkedIn et gèrent des comptes GitHub d'apparence légitime. Parmi les autres techniques employées figure ClickFix, une méthode d'ingénierie sociale qui consiste à dissimuler la diffusion de logiciels malveillants sous forme d'évaluations de compétences.

Objectifs stratégiques : au-delà du vol de cryptomonnaies

Bien que le vol de cryptomonnaies semble être la principale motivation, l'objectif plus large s'étend à la compromission de la chaîne d'approvisionnement et à l'espionnage industriel. En infiltrant les environnements de développement, les attaquants peuvent propager du code malveillant dans les projets logiciels en aval ou accéder à des données sensibles de l'organisation.

Renforcement de la sécurité de VS Code

En réponse à l'utilisation abusive des tâches VS Code, Microsoft a introduit des améliorations de sécurité critiques :

  • La mise à jour de janvier 2026 (version 1.109) a introduit le paramètre task.allowAutomaticTasks, qui est désactivé par défaut pour empêcher l'exécution automatique des tâches définies dans tasks.json.
  • Ce paramètre ne peut pas être modifié au niveau de l'espace de travail, empêchant ainsi les dépôts malveillants de contourner les préférences de sécurité définies par l'utilisateur.
  • Les mises à jour ultérieures, notamment la version 1.110 publiée en février 2026, ont ajouté un message d'avertissement secondaire lorsque des tâches à exécution automatique sont détectées dans les espaces de travail nouvellement ouverts, renforçant ainsi la vigilance de l'utilisateur même après l'octroi de la confiance à l'espace de travail.

Conclusion : Une menace croissante pour la sécurité des développeurs

La campagne StoatWaffle met en lumière un changement significatif dans la stratégie des attaquants, qui ciblent désormais les environnements de développement et les processus de confiance. En combinant exploitation technique et ingénierie sociale avancée, les acteurs malveillants brouillent de plus en plus la frontière entre activité légitime et activité malveillante, soulignant ainsi la nécessité d'une vigilance accrue tout au long du cycle de vie du développement logiciel.

Tendance

Campagne de compromission du cloud UNC4899

Menace persistante avancée (APT)
Une cyberattaque sophistiquée survenue en 2025 a été attribuée au groupe de cybercriminels nord-coréen UNC4899, soupçonné d'avoir orchestré une intrusion massive dans une organisation de cryptomonnaies, entraînant le vol de millions de dollars en actifs numériques. Cette campagne a été attribuée avec un degré de certitude modéré à cet adversaire étatique, également connu sous plusieurs autres...

Arnaque par e-mail à la fausse facture de remboursement

Hameçonnage, Courrier indésirable
Les courriels inattendus, en particulier ceux incitant les destinataires à vérifier des factures, à confirmer des paiements ou à ouvrir des pièces jointes, doivent toujours être traités avec prudence. Les cybercriminels exploitent fréquemment la curiosité et l'urgence pour manipuler les utilisateurs et leur soutirer des informations sensibles. L'escroquerie par courriel aux fausses factures de...

Le plus regardé

Chargement...