StoatWaffle: Nordkoreanische Hacker nutzen VS Code für Angriffe auf Entwickler

Nordkoreanische Hacker infiltrieren Entwickler-Umgebungen mit einer neuen, hochgefährlichen Malware namens StoatWaffle. Sie missbrauchen dabei eine Standardfunktion in Microsofts Visual Studio Code, um gezielt Mitarbeiter in der Blockchain- und Kryptobranche zu kompromittieren. Die Angriffe markieren eine gefährliche neue Taktik staatlicher Cyber-Akteure.

Die Kampagne wird der nordkoreanischen Hackergruppe WaterPlum zugeschrieben, genauer ihrem Unterarm Team 8. Sicherheitsforscher von NTT Security und anderen Unternehmen beobachteten die Aktivitäten im März 2026. Die Angreifer locken Entwickler über gefälschte Jobangebote in sozialen Netzwerken und laden sie ein, an angeblichen Blockchain-Projekten mitzuarbeiten.

Während staatliche Hacker immer perfidere Methoden wie manipulierte Entwickler-Tools nutzen, sind viele Betriebe technisch noch nicht ausreichend gewappnet. Dieser Experten-Report enthüllt effektive Strategien, wie mittelständische Unternehmen sich ohne Budget-Explosion gegen Cyberkriminelle schützen können. Effektive Strategien gegen Cyberkriminelle entdecken

Doch in den geteilten Code-Repositories versteckt sich der Schadcode. Das Vorgehen stellt eine Weiterentwicklung der seit Jahren aktiven „Contagious Interview“-Kampagne dar, die nun mit der modular aufgebauten StoatWaffle-Malware deutlich gefährlicher geworden ist.

Der perfide Infektionsweg über VS Code

Das Kernstück des Angriffs ist der Missbrauch einer vertrauenswürdigen Funktion in Visual Studio Code, einem der weltweit beliebtesten Entwicklungswerkzeuge. Die Hacker platzieren in ihren Repositories eine manipulierte tasks.json-Konfigurationsdatei.

Öffnet ein Entwickler den Projektordner und erteilt – wie oft üblich – dem Arbeitsbereich sein Vertrauen, startet die Malware automatisch. Über die Eigenschaft runOn: folderOpen wird sofort ein Skript ausgeführt, das die erste Stufe der Schadsoftware von externen Servern nachlädt. Diese sind häufig auf legitimen Plattformen wie Vercel gehostet.

„Die Angreifer nutzen das inhärente Vertrauen aus, das Entwickler in ihre IDEs haben“, erklärt ein Sicherheitsanalyst. Der Infektionsprozess beginnt in dem Moment, in dem der Code betrachtet wird – manuelles Eingreifen ist kaum noch möglich. Auf Windows-Systemen prüft ein Bootstrap-Skript sogar, ob Node.js installiert ist, und lädt es bei Bedarf nach.

Modulare Malware stiehlt Krypto-Daten und öffnet Hintertüren

Sobald der erste Ladeprozess abgeschlossen ist, baut StoatWaffle eine persistente Verbindung zu den Command-and-Control-Servern der Angreifer auf. Die Malware fragt im Fünf-Sekunden-Takt neue Befehle ab. Ihr modularer Aufbau erlaubt es, je nach Zielsystem spezialisierte Komponenten nachzuladen.

Im Fokus steht ein aggressiver Credential-Stealer. Dieses Modul durchsucht Browser wie Chrome und Firefox nach gespeicherten Passwörtern, Cookies und vor allem nach Daten von Krypto-Wallet-Erweiterungen. Auf macOS-Rechnern versucht es, die gesamte Keychain-Datenbank zu erbeuten. Selbst Daten in Windows Subsystem for Linux (WSL)-Umgebungen sind nicht sicher.

Angesichts hochspezialisierter Malware wie StoatWaffle müssen Geschäftsführer ihre IT-Sicherheit heute proaktiv stärken, um teure Konsequenzen zu vermeiden. Dieser kostenlose Leitfaden zeigt Ihnen, wie Sie Ihr Unternehmen mit einfachen Maßnahmen vor aktuellen Cyber-Bedrohungen schützen. Kostenlosen IT-Sicherheits-Leitfaden jetzt herunterladen

Zusätzlich installiert StoatWaffle einen Remote Access Trojan (RAT), der den Hackern eine dauerhafte Hintertür öffnet. So können sie den betroffenen Rechner überwachen, Daten exfiltrieren und sich möglicherweise weiter im Firmennetzwerk ausbreiten. Die Module lassen sich jederzeit austauschen, was eine vollständige Bereinigung der Entwicklungsumgebung extrem schwierig macht.

Wie sich Entwickler und Unternehmen schützen können

Die StoatWaffle-Kampagne unterstreicht die Anfälligkeit moderner Software-Entwicklungsketten. Experten raten zu drastisch erhöhter Vorsicht.

Die wichtigste Maßnahme für Entwickler: Die Workspace-Trust-Funktion in VS Code mit äußerster Zurückhaltung nutzen. Vertrauen sollte nur Repositories bekannter und verifizierter Quellen gewährt werden. In Unternehmen lässt sich das automatische Ausführen von Tasks beim Öffnen eines Ordners über Gruppenrichtlinien global deaktivieren.

Sicherheitsteams sollten die Netzwerkaktivität von Entwickler-Arbeitsplätzen überwachen, insbesondere häufige Abfragen ungewöhnlicher API-Endpunkte oder unautorisierte Installationen von Laufzeitumgebungen. Die Implementierung einer Zero-Trust-Architektur, die Entwicklungsumgebungen von sensiblen Unternehmensdaten isoliert, kann den Schaden bei einem erfolgreichen Angriff begrenzen.

Nordkoreanische Hackergruppen werden die Software-Lieferkette weiterhin als lukratives Angriffsziel sehen. Solange Entwickler auf die nahtlose Automatisierung in ihren IDEs angewiesen sind, bleiben solche Exploits ein beliebtes Einfallstor. Ein „Verify-before-Trust“-Ansatz für Open-Source-Projekte ist für alle im Technologiesektor unerlässlich geworden.

boerse | 68973197 |