Die Sicherheitsforscher von NTT Security haben Anfang des Jahres 2026 ein ausgefeiltes Angriffsschema dokumentiert, bei dem nordkoreanische Hacker die Vertrauenskultur in der Entwickler-Community ausnutzen. Das Kernstück der Attacke sind manipulierte VS-Code-Projekte mit einer speziellen Datei namens „tasks.json”. Diese Konfigurationsdatei enthält eine Auto-Run-Funktion mit der Option „runOn: folderOpen”, die jeden Mal automatisch Code ausführt, wenn ein Entwickler das Projektverzeichnis in VS Code öffnet.
Sofort nach der Ausführung prüft StoatWaffle, ob Node.js auf dem System installiert ist. Fehlt die JavaScript-Laufzeit, installiert die Malware diese eigenständig von den offiziellen Repositories. Danach startet ein mehrstufiger Downloader-Mechanismus, der mit externen Servern kommuniziert und weitere Schadsoftware lädt. Die StoatWaffle-Malware ist modular aufgebaut und wurde in zwei Varianten gefunden: eine Datendieb-Version (Stealer) und ein Remote-Access-Tool (RAT).
Besonders bemerkenswert ist die Zielauswahl der Angreifer. Sie nutzen gefälschte Bewerbungsprozesse auf LinkedIn und anderen Plattformen, um Kontakt zu Top-Entwicklern, Gründern und technischen Leitern herzustellen. Diese hochrangigen Ziele haben üblicherweise Zugriff auf sensible Unternehmensinfrastruktur und Kryptowallet-Verwaltung – ein attraktives Ziel für staatlich gesponserte Hacker. Ein gescheiterter Angriffsversuch zielte beispielsweise auf den Gründer von AllSecure.io.
In der Angriffskette setzen die Hacker eine Vielzahl von Malware-Familien ein: OtterCookie (ein Backdoor für massive Datendiebstähle), InvisibleFerret (ein Python-basierter Backdoor), und FlexibleFerret (ein modulares System in Go und Python, auch als WeaselStore bekannt). Die neuesten Varianten nutzen GitHub Gist statt Vercel für die Payload-Bereitstellung.
Microsoft reagierte mit Sicherheitsmaßnahmen. Die Version 1.109 von VS Code (Januar 2026) führte die Einstellung „task.allowAutomaticTasks” ein, die standardmäßig auf „aus” steht. Zusätzlich warnt Version 1.110 (Februar 2026) Benutzer mit einem Prompt, wenn automatische Tasks erkannt werden. Diese Maßnahmen sollen verhindern, dass böswillige Repositories Auto-Run-Code ausführen können.
Parallel zu den VS-Code-Kampagnen führen nordkoreanische Gruppen auch koordinierte Attacken gegen Kryptofachleute durch, unter Verwendung gefälschter Venture-Capital-Firmen und betrügerischer Video-Konferenz-Links. Das US-Justizministerium verurteilte bereits drei Personen, die beim IT-Worker-Schema Nordkoreas mitgewirkt hatten – ein Beleg für die zunehmende Ernsthaftigkeit dieser Bedrohungen.