StoatWaffleマルウェア

Contagious Interview（別名WaterPlum）として追跡されている北朝鮮の脅威クラスターは、StoatWaffleと呼ばれる高度なマルウェアファミリーと関連付けられています。この攻撃キャンペーンは、悪意のあるMicrosoft Visual Studio Code（VS Code）プロジェクトを武器化することで開発者を標的にしており、ソフトウェア開発エコシステムにおけるサプライチェーン攻撃の危険な進化を示しています。

VS Codeの武器化：tasks.jsonの悪用

今回の攻撃キャンペーンにおける注目すべき革新点は、VS Codeのtasks.json設定ファイルの悪用です。2025年12月以降、攻撃者は「runOn: folderOpen」設定を悪用し、プロジェクトフォルダが開かれるたびに悪意のあるタスクを自動的に実行しています。

この手法は、ユーザーによる明示的な操作を必要とせずに、一貫した実行を保証します。悪意のあるタスクは、Vercel上でホストされているリモートWebアプリケーションからペイロードを取得し、基盤となるオペレーティングシステムとは独立して動作します。分析環境はWindowsに焦点を当てることが多いものの、攻撃ロジックはプラットフォームを問わず一貫しています。

Node.js を介したマルチステージペイロード配信

マルウェアが実行されると、構造化された多段階の感染プロセスが開始されます。

• ペイロードは、ホストシステムにNode.jsがインストールされているかどうかを確認します。
• Node.jsがインストールされていない場合は、公式ソースからダウンロードされ、自動的にインストールされます。
• ダウンローダーコンポーネントが起動され、定期的にリモートサーバーに接続します。
• このダウンローダーは追加のペイロードを取得し、それらはNode.jsコードとして実行され、感染チェーンを次の段階へと継続させます。

この階層的なアプローチは、永続性を高め、セキュリティツールによる検出を困難にする。

StoatWaffleの内部構造：モジュール式マルウェア機能

StoatWaffleはNode.js上に構築されたモジュール型フレームワークとして設計されており、複数の悪意のあるコンポーネントを柔軟に展開できます。主なモジュールは以下のとおりです。

認証情報窃盗マルウェア：ChromiumベースのブラウザおよびMozilla Firefoxから、保存された認証情報や拡張機能データなどの機密データを抽出します。macOSシステムでは、iCloudキーチェーンデータベースも標的となります。収集されたデータはすべて、コマンド＆コントロール（C2）サーバーに送信されます。
リモートアクセス型トロイの木馬（RAT） ：C2サーバーとの永続的な通信を確立し、攻撃者がリモートでコマンドを実行できるようにします。ファイルシステムのナビゲーション、コマンド実行、ファイルアップロード、キーワードによるファイル検索、自己終了などの機能を備えています。
攻撃対象領域の拡大：オープンソースエコシステムの悪用

このキャンペーンは、オープンソースプラットフォームと開発者ワークフローを標的とした、より広範な攻撃パターンと一致しています。注目すべき作戦には以下が含まれます。

• PythonベースのバックドアであるPylangGhostが、悪意のあるnpmパッケージを介して配布された。これは、この経路を通じた拡散が初めて確認された事例となる。
• PolinRiderキャンペーンは、難読化されたJavaScriptを数百ものGitHubリポジトリに注入し、更新されたBeaverTailマルウェアの亜種を拡散させた。
• Neutralinojs GitHub組織内のリポジトリが、権限の高いコントリビューターアカウントを乗っ取られることで侵害されました。悪意のあるコードが強制的にプッシュされ、Tron、Aptos、およびBinance Smart Chainネットワーク上のブロックチェーントランザクションに埋め込まれた暗号化されたペイロードが取得されました。

こうしたケースでは、被害者は多くの場合、改ざんされたVS Code拡張機能や悪意のあるnpmパッケージを介して感染していた。

ソーシャルエンジニアリングの手法：偽のインタビューと開発者の標的化

初期アクセスは、非常に巧妙な採用詐欺によって行われることが多い。攻撃者は正規の技術面接プロセスを模倣し、GitHub、GitLab、Bitbucketなどのプラットフォームにホストされている悪意のあるコードを実行するように標的を誘導する。

標的戦略は、暗号通貨およびWeb3分野の創業者、CTO、上級エンジニアなど、価値の高い個人に焦点を当てている。これらの役職は、重要なインフラストラクチャやデジタル資産へのアクセス権を持つことが多い。記録されている事例の一つでは、偽の面接シナリオを用いてAllSecure.ioの創業者を標的とした攻撃が試みられた。

信頼性を高めるため、攻撃者はLinkedInに偽の企業プロフィールを作成したり、一見正当なGitHubアカウントを維持したりする。その他の手法としては、スキル評価タスクを装ってマルウェア配信を行うソーシャルエンジニアリング手法であるClickFixの使用が挙げられる。

戦略目標：仮想通貨窃盗を超えて

仮想通貨の窃盗が主な動機であるように見えるが、その意図はサプライチェーンの侵害や企業スパイ活動にまで及ぶ。攻撃者は開発者環境に侵入することで、下流のソフトウェアプロジェクトに悪意のあるコードを拡散させたり、組織の機密データにアクセスしたりする機会を得る。

VS Codeのセキュリティ強化

VS Codeタスクの悪用に対応するため、マイクロソフトは重要なセキュリティ強化策を導入しました。

• 2026年1月のアップデート（バージョン1.109）では、task.allowAutomaticTasks設定が導入されました。この設定は、tasks.jsonで定義されたタスクの自動実行を防止するために、デフォルトでは無効になっています。
• この設定はワークスペースレベルでは上書きできないため、悪意のあるリポジトリがユーザー定義のセキュリティ設定を回避することを防ぎます。
• 2026年2月にリリースされたバージョン1.110を含むその後のアップデートでは、新しく開かれたワークスペースで自動実行タスクが検出された際に二次的な警告プロンプトが追加され、ワークスペースの信頼が付与された後でもユーザーの注意喚起が強化されました。

結論：開発者のセキュリティに対する脅威の増大

StoatWaffleキャンペーンは、攻撃者の戦略における大きな変化、すなわち開発環境と信頼できるワークフローへの攻撃に焦点を当てた変化を浮き彫りにしています。攻撃者は、技術的な悪用と高度なソーシャルエンジニアリングを組み合わせることで、正当な活動と悪意のある活動の境界線を曖昧にし続けており、ソフトウェア開発ライフサイクル全体における警戒強化の必要性を強調しています。