Северокорейские хакеры используют автоматический запуск задач VS Code для распространения вредоносного ПО StoatWaffle

Северокорейские хакеры эксплуатируют функцию автоматического запуска tasks.json в VS Code для распространения вредоносного ПО StoatWaffle, что позволяет красть данные и обеспечивать удалённый контроль.

С декабря 2025 года северокорейские хакеры, спонсируемые государством, используют функцию автоматического запуска tasks.json в Visual Studio Code для распространения вредоносного ПО StoatWaffle. Это вредоносное ПО предназначено для кражи конфиденциальных данных и предоставляет злоумышленникам удалённый контроль над скомпрометированными системами.

Цепочка атаки начинается с социальной инженерии, когда жертв обманом заставляют загружать вредоносные пакеты Node.js с GitHub. Эти пакеты содержат скрытые скрипты, которые автоматически выполняются при открытии VS Code, используя функцию автоматического запуска файла tasks.json для распространения StoatWaffle без взаимодействия с пользователем.

StoatWaffle — это сложное вредоносное ПО, способное извлекать учётные данные, финансовую информацию и интеллектуальную собственность. Оно также создаёт бэкдор, позволяя злоумышленникам выполнять команды, загружать дополнительные полезные нагрузки и сохранять устойчивость на заражённых машинах.

Эта кампания подчёркивает растущую тенденцию атак на цепочку поставок программного обеспечения, когда доверенные инструменты, такие как VS Code и репозитории с открытым исходным кодом, используются в качестве оружия. Разработчикам и организациям рекомендуется проверять конфигурации VS Code, избегать ненадёжных пакетов и внедрять меры безопасности для обнаружения и предотвращения таких эксплойтов.

The Hacker News вместе с экспертами по кибербезопасности продолжает отслеживать эту угрозу и предоставлять обновления. Будьте бдительны и обеспечивайте безопасность ваших сред разработки от этих развивающихся тактик.