VS Code自動執行機制遭濫用，北韓駭客企圖部署惡意軟體StoatWaffle

日本電信公司NTT旗下資安部門NTT Security Japan揭露，與北韓有關的APT駭客團體WaterPlum，旗下組織Team 8（又稱Moralis或Modilus）於2025年12月開始，導入新型惡意程式StoatWaffle，並透過Visual Studio Code（VS Code）的專案自動執行機制發動攻擊，鎖定與區塊鏈相關的開發環境與人員。

駭客透過偽裝成區塊鏈專案的GitHub儲存庫，誘騙受害者下載惡意檔案。當開發者開啟VS Code專案並信任工作區時，內嵌於.vscode/tasks.json中的設定會觸發「runOn: folderOpen」，使惡意程式自動執行而無需額外操作。

攻擊流程採多階段下載機制，初始惡意程式會從遠端伺服器下載後續酬載，並檢查開發環境是否安裝Node.js，若非如此，則自動下載並執行，之後持續與C2伺服器通訊並取得進一步指令，最終於開發環境部署StoatWaffle。

StoatWaffle為模組化惡意程式，同時具備竊資軟體（Infostealer）與RAT木馬的功能。其中，竊資功能可擷取瀏覽器儲存的帳密與擴充套件資料，涵蓋Chromium與Firefox等主流瀏覽器；RAT則可執行指令、檔案操作，以及資料上傳等行為，讓攻擊者持續控制受害系統。