Contagious Interview kampanyasını yürüten Kuzey Koreli tehdit aktörü WaterPlum, yeni vektör olarak Microsoft Visual Studio Code'u silah haline getirdi. Zararlı VS Code projeleri, .vscode/tasks.json dosyasındaki auto-run görevleri üzerinden proje açıldığında otomatik olarak StoatWaffle malware ailesini kuruyor.
StoatWaffle, geliştiricilerin ortamından kimlik bilgileri, SSH anahtarları, browser cookie'leri ve kripto cüzdan verilerini çalıyor; C2 iletişimi için meşru bulut servislerini kullanıyor. Saldırı akışı: sahte freelance iş teklifleri → GitHub/Discord üzerinden zararlı proje linki → proje açılır açılmaz auto-run tetiklenir.
Aynı dönemde BleepingComputer, GitHub Discussions'da sahte VS Code güvenlik uyarılarının da geliştiricilere kötü amaçlı uzantı indirttiğini raporladı. Her iki vektör de geliştiricilerin güven ortamını istismar ediyor.
▸ ÖNERİLEN AKSİYONLAR
→VS Code projelerinde .vscode/tasks.json içindeki auto-run görevleri denetleyin
→Bilinmeyen kaynaklardan gelen VS Code projeleri için kısıtlı mod etkinleştirin
→GitHub Discussions'daki güvenlik uyarısı görünümlü yorumları ve linkleri şüpheyle karşılayın
→Geliştirici ekiplerine Contagious Interview / WaterPlum sosyal mühendislik taktikleri konusunda brifing verin
→EDR'ye StoatWaffle davranışsal kuralları ekleyin: tasks.json'dan shell execution, anormal bulut C2