Peretas Korea Utara Manfaatkan Auto-Run VS Code untuk Sebar Malware StoatWaffle

Sejak Desember 2025, peretas yang diduga berasal dari Korea Utara telah menyalahgunakan fitur auto-run pada berkas tasks.json di Microsoft Visual Studio Code (VS Code) untuk menyebarkan malware berbahaya bernama StoatWaffle. Teknik ini memungkinkan eksekusi otomatis setiap kali folder proyek dibuka di VS Code, sehingga memudahkan infeksi dan pengendalian sistem target secara diam-diam.

Modus Operandi Malware StoatWaffle Melalui VS Code

Menurut laporan dari NTT Security, malware ini memanfaatkan opsi "runOn: folderOpen" di file tasks.json yang berjalan otomatis saat folder proyek dibuka di VS Code. Payload pertama akan mengunduh data dari aplikasi web yang dihosting di Vercel, tanpa memandang sistem operasi yang digunakan, meskipun fokus utama adalah pengguna Windows.

Setelah payload diunduh, malware akan memeriksa apakah Node.js sudah terpasang di lingkungan eksekusi. Jika tidak ada, StoatWaffle akan mengunduh dan memasang Node.js dari situs resmi.

Langkah berikutnya adalah menjalankan downloader yang secara berkala menghubungi server eksternal untuk mengunduh modul tahap selanjutnya. Proses ini berulang dengan modul yang sama, yang kemudian mengeksekusi kode Node.js yang diterima.

Fitur Malware Modular: Stealer dan RAT

StoatWaffle terdiri dari dua modul utama:

• Stealer: Mencuri kredensial dan data ekstensi yang tersimpan di browser berbasis Chromium dan Mozilla Firefox. Pada macOS, juga mengincar database iCloud Keychain.
• Remote Access Trojan (RAT): Menghubungkan ke server command-and-control (C2) untuk menerima dan menjalankan perintah seperti mengubah direktori kerja, mengeksekusi perintah Node.js, mengunggah dan mencari file, menjalankan perintah shell, serta menghentikan dirinya sendiri.

Vendor keamanan Jepang menegaskan bahwa StoatWaffle adalah malware modular berbasis Node.js yang terus dikembangkan oleh kelompok yang dikenal dengan nama WaterPlum atau Contagious Interview.

Kampanye Serangan Terintegrasi dan Target Industri Web3

Aktivitas ini bukanlah sesuatu yang berdiri sendiri. Kelompok peretas yang sama juga menjalankan beberapa kampanye lain yang menargetkan ekosistem open-source dan industri kripto/Web3:

• Penyebaran malware PylangGhost melalui paket npm berbahaya.
• Kampanye PolinRider yang menyusupkan kode JavaScript obfuscated di ratusan repositori publik GitHub, memicu deployment malware BeaverTail.
• Peretasan repositori GitHub milik organisasi Neutralinojs dengan akses tingkat organisasi untuk menyisipkan kode berbahaya yang memanfaatkan transaksi di Tron, Aptos, dan Binance Smart Chain (BSC).

Microsoft mengungkap bahwa metode awal masuk ke sistem pengembang adalah melalui social engineering dengan proses wawancara kerja palsu yang sangat meyakinkan, menargetkan CTO, founder, dan insinyur senior di sektor kripto dan Web3, yang biasanya memiliki akses tinggi ke infrastruktur teknologi dan dompet kripto perusahaan.

Respons dan Mitigasi dari Microsoft

Menanggapi eksploitasi ini, Microsoft merilis pembaruan VS Code pada Januari 2026 (versi 1.109) yang memperkenalkan pengaturan task.allowAutomaticTasks dengan default mati, guna mencegah eksekusi otomatis tak terduga dari tugas pada tasks.json saat membuka workspace.

Pembaruan ini juga melarang pengaturan tersebut diubah pada tingkat workspace, sehingga repositori berbahaya tidak bisa mengesampingkan pengaturan global pengguna. Versi terbaru juga menambahkan prompt peringatan ketika mendeteksi auto-run task di workspace baru, sebagai lapisan keamanan tambahan.

Kampanye Sosial Engineering dan Serangan Lintas Platform

Selain serangan berbasis VS Code, kelompok peretas Korea Utara juga menjalankan kampanye tertarget melalui LinkedIn dengan modus penipuan wawancara kerja, menggunakan firma modal ventura palsu dan tautan konferensi video palsu. Kampanye ini menargetkan profesional kripto dan berpotensi menginfeksi perangkat Windows dan macOS dengan payload yang disesuaikan.

Menurut Moonlock Lab dari MacPaw, serangan ini berakhir dengan halaman CAPTCHA palsu yang memanipulasi korban untuk menjalankan perintah berbahaya yang disisipkan ke clipboard mereka.

Penangkapan dan Hukuman atas Operasi IT Palsu Korea Utara

Berbarengan dengan laporan ini, Departemen Kehakiman AS mengumumkan hukuman bagi tiga pria yang terlibat dalam skema pekerja TI palsu Korea Utara, yang melanggar sanksi internasional. Hukuman termasuk masa percobaan, denda, serta perintah penyitaan hasil kejahatan.

Menurut Margaret Heap, jaksa AS, tersangka ini memberikan akses bagi pekerja teknologi Korea Utara yang bekerja dari luar negeri untuk menggalang dana ilegal bagi pemerintah Korea Utara.

Flare dan IBM X-Force menambahkan bahwa para pekerja TI ini adalah anggota elit masyarakat Korea Utara, menjalani proses seleksi ketat, dan memainkan peran penting dalam tujuan strategis pemerintah mereka, termasuk pencurian data dan dukungan aktivitas siber lainnya.

Analisis Redaksi

Menurut pandangan redaksi, pemanfaatan fitur auto-run VS Code oleh kelompok peretas Korea Utara menunjukkan evolusi signifikan dalam metode serangan yang mengincar ekosistem pengembang perangkat lunak. Dengan menyisipkan malware langsung ke dalam workflow coding yang dipercaya para developer, mereka mengeksploitasi kepercayaan dan motivasi tinggi selama proses wawancara kerja.

Hal ini menjadi peringatan serius bagi perusahaan dan pengembang untuk meningkatkan kewaspadaan terhadap paket dan proyek open-source yang mereka gunakan, serta memperketat kebijakan keamanan pada alat pengembangan seperti VS Code.

Ke depan, sangat penting bagi Microsoft dan komunitas open-source untuk terus mengawasi dan memperkuat mitigasi terhadap penyalahgunaan fitur-fitur otomatisasi dan integrasi, sementara para pengguna harus waspada terhadap potensi serangan berbasis social engineering yang semakin canggih dan menargetkan lapisan manajemen tertinggi.

Jangan lewatkan update terbaru seputar ancaman siber ini dengan mengikuti kami di Google News, Twitter, dan LinkedIn.