Le malware StoatWaffle cible directement les développeurs via des projets piégés, avec une exécution automatique dès l’ouverture dans Visual Studio Code.
L’attaque repose sur des référentiels frauduleux, souvent liés à la blockchain, intégrant un fichier de configuration malveillant déclenchant du code sans interaction.
Le point critique : un simple ouverture de dossier suffit. Le fichier .vscode/tasks.json est configuré pour exécuter la charge dès que le projet est considéré comme fiable.
StoatWaffle est un malware modulaire basé sur Node.js, combinant des fonctions de vol de données et un accès distant (RAT).
Une fois actif, il peut récupérer des identifiants, explorer les fichiers, exécuter des commandes et maintenir une connexion avec un serveur contrôlé par l’attaquant.
Le malware adapte son comportement selon l’environnement : il cible les navigateurs (Chromium, Firefox) et peut également accéder au Keychain sur macOS.
Cette campagne s’inscrit dans la continuité des attaques Contagious Interview, visant les développeurs via des scénarios crédibles liés à leur activité.
Le changement majeur : l’infection devient quasi instantanée, sans exécution manuelle, en exploitant directement la confiance accordée aux outils de développement.