概要

北朝鮮の脅威アクターであるContagious Interviewキャンペーンの背後にあるWaterPlumと呼ばれるグループが、VS Codeプロジェクトを通じてStoatWaffleという新しいマルウェアファミリーを配布していることが明らかになりました。

攻撃手法

この脅威アクターは、「tasks.json」ファイルを使用してマルウェアを配布する新たな戦術を採用し、VS Codeの「runOn: folderOpen」オプションを利用してプロジェクトフォルダ内の任意のファイルが開かれた際に自動的に実行されるようにしています。

StoatWaffleの動作

ダウンロードされたペイロードは、最初にNode.jsがインストールされているかどうかをチェックします。インストールされていない場合、公式サイトからNode.jsをダウンロードしてインストールします。

マルウェアの機能

• Stealerモジュール：ブラウザ（ChromiumベースやMozilla Firefox）に保存された認証情報と拡張機能データを盗み、コマンド＆コントロール(C2)サーバーにアップロードします。macOSの場合、iCloud Keychainデータも盗む。
• RATモジュール： C2サーバーとの通信を通じて、インストールされたシステム上で様々な命令を実行できます。

対策と更新情報

Microsoftは、VS Codeの最新バージョン1.109で「task.allowAutomaticTasks」設定を導入し、デフォルトではオフにすることでセキュリティを強化しています。これにより、「tasks.json」ファイル内のタスクがワークスペースを開いた際に自動的に実行される可能性を防ぎます。

最近の攻撃事例

北朝鮮の脅威アクターは、LinkedInを通じたソーシャルエンジニアリング攻撃や、仮想ベンチャーキャピタル企業を装ったフィッシングリンクなどを用いて、暗号通貨プロフェッショナルに対して一連のマルウェアキャンペーンを展開しています。

法的対応

米国司法省は、北朝鮮のIT労働者スchemesに関与した3人の男が判決を受けたと発表しました。彼らは、制裁違反で有罪を認めた後、罰金や没収命令などの刑罰を受けています。

まとめ

これらの脅威アクターは、開発者が信頼しているツールやワークフローにターゲットを絞り、ハッキングの成功率を高めています。ユーザーは常に最新のセキュリティ情報を確認し、適切な対策を講じることが重要です。

---

元記事: https://thehackernews.com/2026/03/north-korean-hackers-abuse-vs-code-auto.html