Se ha observado que los actores de amenazas norcoreanos asociados con la campaña Contagion Interview de larga duración utilizan proyectos maliciosos de Microsoft Visual Studio Code (VS Code) como señuelos que proporcionan puertas traseras a los puntos finales comprometidos.
Según Jamf Threat Labs, los últimos hallazgos demuestran la evolución continua de nuevas tácticas descubiertas por primera vez en diciembre de 2025.
«Esta actividad incluyó el despliegue de un implante de puerta trasera que proporcionaba capacidades de ejecución remota de código en los sistemas de las víctimas», dijo el investigador de seguridad Thijs Xhaflaire en un informe compartido con The Hacker News.
El ataque, revelado por primera vez el mes pasado por OpenSourceMalware, esencialmente implica instruir a objetivos potenciales para que clonen un repositorio en GitHub, GitLab o Bitbucket y lancen un proyecto en VS Code como parte de una supuesta evaluación de trabajo.
El objetivo final de estos esfuerzos es explotar los archivos de configuración de tareas de VS Code para ejecutar cargas maliciosas organizadas en dominios de Vercel, según el sistema operativo del host infectado. Esta tarea está configurada para ejecutarse cada vez que ese archivo o cualquier otro archivo en la carpeta del proyecto se abre en VS Code configurando la opción «runOn:folderOpen». En última instancia, esto conduce al despliegue de BeaverTail e InvisibleFerret.
Las iteraciones posteriores de la campaña revelaron que el malware ocultaba un sofisticado cuentagotas de varias etapas dentro del archivo de configuración de la tarea, disfrazándose de un benigno diccionario de corrección ortográfica como mecanismo alternativo en caso de que la tarea no pudiera recuperar la carga útil del dominio Vercel.
Como antes, el JavaScript ofuscado incrustado en estos archivos se ejecuta tan pronto como la víctima abre el proyecto en un entorno de desarrollo integrado (IDE). Establece comunicación con un servidor remoto (‘ip-regions-check.vercel(.)app’) y ejecuta el código JavaScript recibido de él. La etapa final proporcionada como parte del ataque es otro JavaScript altamente ofuscado.
Jamf dijo que descubrió otro cambio en esta campaña. Los atacantes utilizaron un método de infección no documentado previamente para distribuir una puerta trasera que proporcionaba capacidades de ejecución remota de código en los hosts comprometidos. El punto de partida de la cadena de ataque sigue siendo el mismo: se activa cuando una víctima usa VS Code para clonar y abrir un repositorio Git malicioso.
«Cuando abres un proyecto, Visual Studio Code te pide que confíes en el creador del repositorio», explicó Xhaflaire. «Una vez que se otorga esa confianza, la aplicación procesa automáticamente el archivo de configuración task.json del repositorio, lo que podría resultar en la ejecución de comandos incrustados arbitrarios en el sistema».
«En sistemas macOS, esto ejecuta un comando de shell en segundo plano que usa nohup bash -c junto con curl -s para recuperar de forma remota la carga útil de JavaScript y canalizarla directamente al tiempo de ejecución de Node.js. Esto permite que la ejecución continúe de forma independiente, suprimiendo toda la salida del comando, incluso cuando finaliza el proceso de Visual Studio Code».
La carga útil de JavaScript alojada en Vercel contiene la lógica de puerta trasera principal para recopilar información básica del host y comunicarse con el servidor remoto para establecer un bucle de ejecución persistente que facilita la ejecución remota de código, la toma de huellas digitales del sistema y la comunicación continua.
En un caso, la empresa de gestión de dispositivos Apple dijo que observó que se ejecutaban más instrucciones de JavaScript unos ocho minutos después de la infección inicial. El JavaScript recién descargado está diseñado para enviar una baliza al servidor cada 5 segundos, ejecutar JavaScript adicional y borrar rastros de actividad al recibir una señal del operador. Se sospecha que el script pudo haber sido generado utilizando herramientas de inteligencia artificial (IA) debido a la presencia de comentarios y frases en línea en el código fuente.
Se sabe que los actores de amenazas asociados con la República Popular Democrática de Corea (RPDC) se dirigen específicamente a los ingenieros de software, en particular a aquellos que trabajan en los campos de las criptomonedas, blockchain y fintech. Esto se debe a que los ingenieros de software suelen tener acceso privilegiado a activos financieros, billeteras digitales e infraestructura tecnológica.
Comprometer una cuenta o un sistema puede permitir que un atacante obtenga acceso no autorizado al código fuente, propiedad intelectual, sistemas internos y desvíe activos digitales. Estos cambios constantes en sus tácticas se consideran un esfuerzo por lograr un mayor éxito en el ciberespionaje y objetivos financieros en apoyo de regímenes fuertemente sancionados.
El desarrollo se produce cuando Red Asgard detalla una investigación sobre un repositorio malicioso llamado Tsunami (también conocido como TsunamiKit) que se descubrió que utilizaba configuraciones de tareas de VS Code para obtener JavaScript ofuscado diseñado para eliminar una puerta trasera con todas las funciones y un minero de criptomonedas XMRig.
Un análisis separado publicado la semana pasada por Security Alliance reveló el abuso de las tareas de VS Code por parte de la campaña en ataques en los que se contactó a víctimas no especificadas en LinkedIn. El atacante afirmó ser el director de tecnología de un proyecto llamado Meta2140 y compartió un enlace Notion(.)so que contiene una evaluación técnica y una URL a un repositorio de Bitbucket que aloja el código malicioso.
Curiosamente, esta cadena de ataque está diseñada para recurrir a otros dos métodos. Instala una dependencia npm maliciosa llamada ‘grayavatar’ o ejecuta código JavaScript que obtiene un controlador Node.js avanzado. Este controlador ejecuta cinco módulos diferentes para registrar pulsaciones de teclas, tomar capturas de pantalla, escanear el directorio de inicio del sistema en busca de archivos confidenciales, reemplazar direcciones de billetera copiadas en el portapapeles, credenciales del navegador web y establecer una conexión persistente a un servidor remoto.
Luego, el malware comienza a configurar un entorno Python paralelo con un script stager que permite la recopilación de datos, la extracción de criptomonedas mediante XMRig, el registro de teclas y la implementación de AnyDesk para acceso remoto. Observe que las capas de Node.js y Python se llaman BeaverTail e InvisibleFerret, respectivamente.
Estos hallazgos indican que los atacantes patrocinados por el estado están experimentando con múltiples métodos de entrega en paralelo para aumentar la probabilidad de un ataque exitoso.
«Esta actividad destaca la evolución continua de los actores de amenazas asociados con Corea del Norte, que están adaptando constantemente sus herramientas y mecanismos de entrega para integrarse con flujos de trabajo de desarrolladores legítimos», dijo Jamf. «La explotación de los archivos de configuración de tareas de Visual Studio Code y la ejecución de Node.js muestra que estas tecnologías continúan evolucionando junto con las herramientas de desarrollo comúnmente utilizadas».
Source link
