글로벌 北 해커 조직, 비주얼 스튜디오 코드 자동 실행 악용해 스토트와플 악성코드 유포

북한 연계 해킹 조직이 마이크로소프트 비주얼 스튜디오 코드(VS코드)의 자동실행 기능을 악용해 암호화폐·웹3 개발자를 노린 악성코드 공격을 지속하고 있다. IT 보안 매체 더 해커 뉴스(The Hacker News)에 따르면 '전염성 인터뷰(Contagious Interview)' 캠페인으로 알려진 북한 연계 위협 행위자 워터플럼(WaterPlum)은 악성 VS코드 프로젝트를 통해 '스토트와플(StoatWaffle)'로 명명된 악성코드를 유포하고 있다. 이들은 2025년 12월부터 VS코드 설정 파일인 'tasks.json'의 'runOn: folderOpen' 옵션을 활용해 프로젝트 폴더를 열 때마다 악성 작업이 자동 실행되도록 하는 새로운 전술을 구사하고 있다. 일본 보안업체 엔티티티 시큐리티(NTT Security)에 따르면 다운로드된 페이로드는 실행 환경에 노드제이에스(Node.js)가 없을 경우 이를 공식 웹사이트에서 설치한 뒤 외부 서버에 주기적으로 접속하는 다운로더를 실행하는 방식으로 다음 단계 악성 모듈을 순차적으로 내려받는다. 최종적으로 설치되는 스토트와플은 크로미움 기반 브라우저와 파이어폭스에 저장된 계정 정보를 탈취하는 정보 수집 모듈과

• 구서경 기자
• 2026-03-25 15:55