Giriş
Kuzey Koreli saldırganların “Contagious Interview” kampanyası olarak bilinen malware’leri, StoatWaffle olarak adlandırılan bir malware ailesi tarafından dağıtılmaktadır. Bu gelişme, yazılım geliştiricilerine yönelik artan tehditleri ve siber güvenlik önemini ortaya koymaktadır.
Saldırı Nasıl Çalışıyor?
StoatWaffle, zararlı Microsoft Visual Studio Code (VS Code) projeleri aracılığıyla yayılmaktadır. Aralık 2025 itibarıyla, saldırganlar VS Code’un “tasks.json” dosyasında bulunan “runOn: folderOpen” seçeneğini kullanarak bu saldırıları gerçekleştirmekte ve her dosya açıldığında zararlı yazılımı otomatik olarak çalıştırmaktadır.
- İlk olarak, indirilen payload, çalıştırıldığı ortamda Node.js’in yüklü olup olmadığını kontrol eder. Eğer yüklü değilse, resmi web sitesinden Node.js’i indirip kurar.
- Bunun ardından, dış bir sunucudan bir sonraki aşama indiriciyi (downloader) almak üzere düzenli aralıklarla sorgulama yapar. Bu işlem, alınan yanıtın Node.js kodu olarak çalıştırılmasına yol açar.
Etkilenen Sistemler
StoatWaffle‘ın iki farklı modül ile çalıştığı görülmüştür:
- Bir hırsız (stealer) modülü, web tarayıcılarında (Chromium tabanlı tarayıcılar ve Mozilla Firefox) depolanan kimlik bilgilerini ve uzantı verilerini toplayarak komut ve kontrol (C2) sunucusuna yükler. Eğer etkilenen sistem macOS çalışıyorsa, iCloud Anahtar Zinciri veritabanını da çalar.
- Uzaktan erişim truva atı (RAT) modülü, C2 sunucusu ile iletişim kurarak enfekte olan cihazda komutları yükler ve çalıştırır. Bu komutlar, çalışma dizinini değiştirme, dosya ve dizinleri listeleme, Node.js kodu çalıştırma gibi yetenekler içerir.
Çözüm ve Korunma
Microsoft, VS Code’daki zararlılarla mücadele konusunda bazı adımlar atmıştır. Ocak 2026 güncellemesi ile, “task.allowAutomaticTasks” ayarını “kapalı” olarak varsayılan halde sunarak güvenliği artırmıştır. Bu güncelleme, kötü niyetli repoların kendi ayar dosyalarını kullanıcı ayarlarını geçersiz kılma yeteneğini engellemektedir.
Bunun yanı sıra, yeni açılan bir çalışma alanında otomatik çalıştırma görevleri tespit edildiğinde kullanıcıya ikinci bir uyarı gösterecek şekilde bir önlem eklenmiştir.
Okuyuculara önerimiz, VS Code ile çalışırken güvenilir kaynaklardan gelen dosyaları dikkatle incelemeleri ve mümkünse otomatik görevleri devre dışı bırakmalarıdır. Ayrıca, sistemlerindeki yazılımları düzenli olarak güncelleyerek, bilinen CVE kodları olan zayıflıkları kapatmaları kritik öneme sahiptir.
