كشفت تقارير أمنية حديثة عن قيام مجموعة قرصنة مرتبطة بكوريا الشمالية، تُعرف باسم “ووتربلوم” (WaterPlum)، بنشر برمجية خبيثة جديدة وخطيرة تُطلق عليها “ستوات وافل” (StoatWaffle). تستهدف هذه البرمجية الجديدة مطوري البرمجيات عبر استغلال مستودعات “فيجوال ستوديو كود” (VSCode) لخلق حملات سلسلة توريد خبيثة.
يأتي هذا التطور ضمن حملة مستمرة تُعرف باسم “إنترفيو كونتيجيوس” (Contagious Interview)، حيث تسعى مجموعة “ووتربلوم” إلى استدراج الضحايا عبر عروض وظيفية وهمية، ثم خداعهم لتشغيل أكواد ضارة على أنظمتهم. وتشير المعلومات إلى أن الفريق المسؤول عن هذه الهجمات، والذي يُعرف أيضاً باسم “فريق 8″ و”موراليس” (Moralis) و”موديليوس” (Modilus)، كان يعتمد سابقاً على عائلة برمجيات خبيثة تُدعى “أوتر كوكي” (OtterCookie).
حملة “ووتربلوم” تطلق برمجية “ستوات وافل” الخبيثة
أظهرت تحقيقات محللي شركة “إن تي تي سيكيوريتي” (NTT Security) أن “ستوات وافل” تمثل تحولاً ملحوظاً في استراتيجيات الهجوم التي تتبعها مجموعة “ووتربلوم”. ووفقاً لتقريرهم المنشور في 17 مارس 2026، فإن “ستوات وافل” هي إطار عمل معياري بالكامل يعمل بلغة Node.js، يتكون من مراحل متعددة تشمل مُحمّلاً، ووحدة لسرقة بيانات الاعتماد، ومكون حصان طروادة للوصول عن بعد (RAT).
وتعمل هذه المكونات معاً لتوفير وصول عميق للمهاجمين إلى الأنظمة المخترقة. ويُعد هذا الإصدار الجديد ارتقاءً واضحاً في مجموعة الأدوات الهجومية للمجموعة، حيث بدأ استخدامه بشكل مكثف منذ ديسمبر 2025.
آلية عمل “ستوات وافل”: استغلال VSCode
يبدأ الهجوم بإنشاء مستودع مطور بعناية، يتم تشاركه بين المطورين. تقوم “فريق 8” بإنشاء مشروع يبدو وكأنه مشروع حقيقي في مجال تكنولوجيا البلوك تشين، وتضعه في أماكن يمكن للمطورين اكتشافها بسهولة. يتضمن المشروع مجلد “.vscode” بداخله ملف “tasks.json” مُعدّ خصيصاً بإعداد “runOn: folderOpen”.
بمجرد أن يفتح المطور المجلد في VSCode ويمنحه الثقة، يقوم المحرر تلقائياً بتنفيذ مهمة مُعدة مسبقاً دون الحاجة إلى أي تفاعل إضافي من الضحية. ما يجعل هذا التهديد خطيراً بشكل خاص هو أن معظم المطورين لا يتوقعون أن مجرد فتح مجلد مشروع في VSCode يمكن أن يؤدي بصمت إلى إصابة خبيثة كاملة تعمل في الخلفية.
سلسلة العدوى لـ “ستوات وافل”
عند تنفيذ المهمة الخبيثة، يقوم البرنامج بالاتصال بتطبيق ويب مستضاف على منصة Vercel، ويقوم بتنزيل نسخة من ملف دفعي يُدعى “vscode-bootstrap.cmd”. يتحقق هذا الملف أولاً مما إذا كانت Node.js مثبتة على الجهاز. إذا لم تكن كذلك، فإنه يقوم بتنزيلها وتثبيتها بهدوء من الموقع الرسمي لـ Node.js، مما يزيل عقبة تقنية رئيسية دون أن يلفت الانتباه.
بعد ذلك، يتم جلب ملف JavaScript يُعرف باسم “env.npl”، والذي يعمل كمُحمّل للمرحلة الأولى في سلسلة عدوى “ستوات وافل”. يتصل ملف “env.npl” بخادم قيادة وتحكم (C2) ويقوم بالاستعلام عن نقطة نهاية محددة كل خمس ثوانٍ. عندما يستجيب الخادم بحالة خطأ، يقوم المُحمّل بتشغيل كود JavaScript المضمن في الاستجابة، مما يؤدي إلى تنزيل حمولة المرحلة الثانية.
بعد حوالي خمس دقائق من بدء دورة الاستعلام، يصل مُحمّل المرحلة الثانية ويبدأ في تنفيذ دورته الخاصة على نفس الخادم، مع تشغيل عمليات فرعية مخفية للحفاظ على سريتها. بمجرد تفعيل المُحمّل الثاني، تقوم “ستوات وافل” بنشر وحدتي “Stealer” و”RAT” في نفس الوقت.
تستهدف وحدة “Stealer” بيانات الاعتماد المخزنة في المتصفحات، بالإضافة إلى بيانات محافظ العملات المشفرة في المتصفحات المبنية على Chromium وFirefox. على أنظمة macOS، تقوم أيضاً بجمع قاعدة بيانات Keychain. بينما تنتظر وحدة RAT الأوامر من خادم القيادة والتحكم، ويمكنها تنفيذ أوامر متعددة مثل عرض الملفات، وتشغيل أوامر shell، وتحميل المجلدات، والبحث عن الملفات التي تطابق كلمة مفتاحية معينة، مما يمنح المهاجم سيطرة واسعة ومستمرة على الجهاز المصاب.
ينصح الخبراء المطورين بتجنب الوثوق في مستودعات VSCode غير المعروفة أو غير الموثوق بها، خاصة تلك المتعلقة بتطوير البلوك تشين أو العملات المشفرة. كما يجب مراجعة إعدادات “VSCode workspace trust” بعناية، وتطبيق سياسات تقيد سلوك “runOn: folderOpen”. يُنصح فرق الأمن بحظر مؤشرات الاختراق المعروفة، والتي تشمل عناوين IP معينة. يمكن أيضاً مراقبة عمليات تثبيت Node.js غير المتوقعة أو العمليات الفرعية المخفية التي تنشأ من VSCode كإنذار مبكر للإصابة.