Mối đe dọa mạng nghiêm trọng: StoatWaffle tấn công VSCode

Nhóm tấn công mạng **WaterPlum**, được xác định là có liên kết, gần đây đã triển khai một loại mã độc nguy hiểm mới mang tên **StoatWaffle**. Hoạt động này đánh dấu một **mối đe dọa mạng** đáng chú ý, được thực hiện thông qua việc thỏa hiệp các kho lưu trữ **Visual Studio Code (VSCode)**, ngụy trang thành các dự án phát triển blockchain hợp pháp để xâm nhập máy tính của nhà phát triển một cách thầm lặng.

Chiến dịch này là một phần của chuỗi hoạt động được biết đến với tên gọi “Contagious Interview”, trong đó các nạn nhân bị lôi kéo thông qua các buổi phỏng vấn giả mạo và bị lừa thực thi mã độc hại trên hệ thống của họ.

Nội dung

Mã độc StoatWaffle: Bước tiến mới trong công cụ tấn công của WaterPlum

Phân tích kỹ thuật cơ chế lây nhiễm và hoạt động của StoatWaffle

Phương thức lây nhiễm qua kho lưu trữ VSCode

Quá trình tải xuống và cài đặt mã độc

Kết nối máy chủ C2 và tải payload tiếp theo

Chức năng Stealer và RAT của StoatWaffle

Chỉ số xâm nhập (IOCs) và Biện pháp phòng ngừa nâng cao an ninh mạng

Chỉ số xâm nhập (IOCs)

Khuyến nghị bảo mật

Mã độc StoatWaffle: Bước tiến mới trong công cụ tấn công của WaterPlum

Nhóm **WaterPlum** được chia thành nhiều đội, trong đó **Team 8** — còn được theo dõi dưới các tên **Moralis** và **Modilus** — chịu trách nhiệm cho làn sóng tấn công mới nhất này. Trước đây, **Team 8** chủ yếu sử dụng họ mã độc **OtterCookie** làm công cụ chính.

Bắt đầu từ khoảng tháng 12 năm 2025, **Team 8** đã chuyển đổi chiến thuật, triển khai **StoatWaffle** thay thế cho **OtterCookie**. Sự thay đổi này cho thấy một sự nâng cấp rõ ràng và có chủ đích trong bộ công cụ tấn công của nhóm.

Các nhà phân tích của NTT Security đã phát hiện **StoatWaffle** trong quá trình điều tra các hoạt động gần đây của **Team 8**. Họ nhận định rằng mã độc này đánh dấu một sự thay đổi quan trọng trong cách tiếp cận hoạt động của **WaterPlum**.

Báo cáo của NTT Security, được công bố vào ngày 17 tháng 3 năm 2026, mô tả **StoatWaffle** là một framework hoàn toàn theo module, được xây dựng trên **Node.js** và hoạt động theo nhiều giai đoạn. Mã độc này bao gồm một loader, một module đánh cắp thông tin đăng nhập và một thành phần **Remote Access Trojan (RAT)**. Các thành phần này phối hợp để cung cấp cho kẻ tấn công quyền truy cập sâu vào các hệ thống bị xâm nhập.

Phân tích kỹ thuật cơ chế lây nhiễm và hoạt động của StoatWaffle

Phương thức lây nhiễm qua kho lưu trữ VSCode

Cuộc tấn công bắt đầu bằng một kho lưu trữ được chế tạo cẩn thận và chia sẻ trong cộng đồng nhà phát triển. **Team 8** tạo ra một dự án blockchain có vẻ ngoài hợp pháp, sau đó đặt nó ở những nơi mà các nhà phát triển có khả năng tìm thấy và sử dụng.

Ẩn bên trong dự án này là một thư mục **.vscode**, chứa tập tin **tasks.json** được cấu hình với thiết lập "runOn": "folderOpen".

Ngay khi nhà phát triển mở thư mục trong **VSCode** và cấp quyền tin cậy, trình chỉnh sửa sẽ tự động thực thi một tác vụ đã được cài đặt sẵn mà không yêu cầu thêm bất kỳ hành động nào từ nạn nhân. Điều này khiến cho **rủi ro bảo mật** tăng cao, vì hầu hết các nhà phát triển sẽ không ngờ rằng việc mở một thư mục dự án **VSCode** lại có thể âm thầm kích hoạt một quá trình lây nhiễm mã độc hoàn chỉnh chạy ngầm.

Quá trình tải xuống và cài đặt mã độc

Khi tác vụ độc hại được thực thi, nó sẽ kết nối đến một ứng dụng web được lưu trữ trên **Vercel** và tải xuống một script batch có tên **vscode-bootstrap.cmd**. Script này trước tiên kiểm tra xem **Node.js** đã được cài đặt trên máy hay chưa.

Nếu **Node.js** chưa được cài đặt, script sẽ âm thầm tải xuống và cài đặt nó từ trang web chính thức của **Node.js**. Điều này loại bỏ một rào cản kỹ thuật quan trọng mà không gây chú ý. Sau đó, nó tải về một tập tin JavaScript có tên **env.npl**, đóng vai trò là downloader giai đoạn đầu tiên trong chuỗi lây nhiễm của **StoatWaffle**.

Kết nối máy chủ C2 và tải payload tiếp theo

Tập tin **env.npl** kết nối đến một máy chủ **Command and Control (C2)** tại địa chỉ **147[.]124.202.208** trên cổng **3000** và thăm dò endpoint /api/errorMessage cứ sau năm giây.

Khi máy chủ phản hồi với trạng thái lỗi, loader sẽ chạy mã JavaScript được nhúng trong phản hồi đó, kéo theo payload giai đoạn thứ hai. Khoảng năm phút sau chu kỳ thăm dò này, downloader giai đoạn thứ hai sẽ xuất hiện và bắt đầu vòng lặp thăm dò của riêng nó đối với endpoint /api/handleErrors trên cùng máy chủ, âm thầm tạo ra các tiến trình con ẩn để tránh bị phát hiện. Đây là một kỹ thuật tinh vi để duy trì sự kiểm soát và tiềm ẩn **mối đe dọa mạng** này.

Chức năng Stealer và RAT của StoatWaffle

Khi downloader giai đoạn thứ hai hoạt động, **StoatWaffle** sẽ triển khai đồng thời cả hai module **Stealer** và **RAT** của nó.

Module Stealer: Nhắm mục tiêu vào các thông tin đăng nhập trình duyệt đã lưu và dữ liệu tiện ích mở rộng ví tiền điện tử trên các trình duyệt dựa trên **Chromium** và **Firefox**. Trên **macOS**, nó cũng thu thập cơ sở dữ liệu **Keychain**.
Module RAT: Chờ lệnh từ máy chủ **C2** và có khả năng liệt kê tập tin, chạy lệnh shell, tải lên thư mục và tìm kiếm tập tin khớp với từ khóa. Điều này mang lại cho kẻ tấn công quyền kiểm soát rộng lớn và liên tục đối với host bị nhiễm. Một **hệ thống bị xâm nhập** bởi RAT này có thể bị lợi dụng cho nhiều mục đích độc hại.

Chỉ số xâm nhập (IOCs) và Biện pháp phòng ngừa nâng cao an ninh mạng

Để bảo vệ hệ thống khỏi **mối đe dọa mạng** **StoatWaffle**, các nhà phát triển và đội ngũ **an ninh mạng** cần thực hiện các biện pháp phòng ngừa cần thiết.

Chỉ số xâm nhập (IOCs)

Các chỉ số xâm nhập (IOCs) sau đây cần được chặn hoặc theo dõi để phát hiện và ngăn chặn các cuộc tấn công liên quan đến **StoatWaffle**:

IP C2: 147[.]124.202.208
Các IP liên quan đến cơ sở hạ tầng độc hại: 185[.]163.125.196, 163[.]245.194.216, 66[.]235.168.136, 87[.]236.177.9

Khuyến nghị bảo mật

Các nhà phát triển nên cẩn trọng và tránh tin tưởng các kho lưu trữ **VSCode** không quen thuộc hoặc chưa được xác minh, đặc biệt là những dự án liên quan đến blockchain hoặc tiền điện tử. Để biết thêm thông tin chi tiết về mã độc **StoatWaffle**, tham khảo báo cáo từ NTT Security.

Các thiết lập tin cậy workspace trong **VSCode** cần được xem xét cẩn thận. Chính sách hạn chế hành vi runOn: folderOpen nên được áp dụng nghiêm ngặt để giảm thiểu **rủi ro bảo mật**.

Các đội ngũ bảo mật nên chặn các chỉ số xâm nhập (IOCs) đã được liệt kê ở trên. Việc giám sát các cài đặt **Node.js** bất ngờ hoặc các tiến trình con ẩn được tạo ra từ **VSCode** cũng có thể đóng vai trò như một cảnh báo sớm về việc một **hệ thống bị xâm nhập**.

Việc nâng cao nhận thức về các kỹ thuật tấn công mới như **StoatWaffle** là rất quan trọng để duy trì một môi trường phát triển an toàn và củng cố tổng thể **an ninh mạng**.