Preiscriviti ora al corso Ethical Hacker! Scopri di più
Cyber Click Day - Richiedi il Voucher Personale per il 16 Aprile Scopri di più
VS Code sotto attacco: StoatWaffle infetta i progetti con tasks.json e ruba credenziali senza clic
Una nuova catena di infezione sta prendendo di mira gli sviluppatori sfruttando Microsoft Visual Studio Code e, in particolare, le attività automatiche definite nel file tasks.json. La tecnica si basa sull’opzione runOn: folderOpen, che permette di avviare un task in modo automatico quando si apre una cartella di progetto in VS Code.
In questo scenario, un progetto apparentemente legittimo contiene una configurazione malevola che esegue codice senza che la vittima lanci manualmente uno script, trasformando un semplice esercizio di coding in un vettore di malware.
Payload: StoatWaffle (malware modulare in Node.js)
Il payload osservato, noto come StoatWaffle, è un malware modulare basato su Node.js distribuito tramite repository e progetti VS Code alterati. Una volta attivato, il primo stadio verifica se Node.js è presente nel sistema. Se non lo trova, scarica Node.js dal sito ufficiale e lo installa, riducendo gli errori di esecuzione e aumentando la compatibilità su più sistemi operativi.
Subito dopo avvia un downloader che interroga periodicamente un server remoto per ottenere un secondo stadio, che a sua volta contatta un altro endpoint ed esegue la risposta come codice Node.js.
Moduli distribuiti
- Stealer: in grado di rubare credenziali e dati delle estensioni dai browser basati su Chromium e da Mozilla Firefox, inviando poi le informazioni a un server di comando e controllo. Su macOS può anche tentare il furto del database iCloud Keychain.
- RAT (Remote Access Trojan): consente agli attaccanti di eseguire comandi sul sistema compromesso, cambiare directory di lavoro, elencare file e cartelle, eseguire codice Node.js, caricare file, cercare ricorsivamente contenuti e lanciare comandi di shell, fino a terminare il processo del malware.
Campagne di social engineering e bersagli
Questa attività si inserisce in campagne di social engineering che imitano colloqui tecnici e processi di selezione credibili, spesso con repository ospitati su piattaforme di sviluppo. I bersagli più appetibili risultano figure senior nel settore criptovalute e Web3, con accessi privilegiati a infrastrutture e wallet.
Mitigazioni introdotte in VS Code
Per ridurre il rischio, Microsoft ha introdotto mitigazioni in VS Code dalla versione 1.109, disabilitando di default i task automatici tramite task.allowAutomaticTasks e aggiungendo ulteriori avvisi quando viene rilevato un auto-run task in un nuovo workspace, impedendo anche override a livello di workspace.