Una «campaña coordinada dirigida a desarrolladores» utiliza repositorios maliciosos disfrazados de proyectos Next.js legítimos y evaluaciones técnicas para engañar a las víctimas para que ejecuten los proyectos y establezcan acceso permanente a las máquinas comprometidas.
«Esta actividad es consistente con un grupo más amplio de amenazas que utilizan señuelos con temas laborales para integrarse en los flujos de trabajo diarios de los desarrolladores y aumentar la probabilidad de ejecución de código», dijo el equipo de investigación de seguridad de Microsoft Defender en un informe publicado esta semana.
El gigante tecnológico dijo que la campaña presentaba el uso de múltiples puntos de entrada que conducían al mismo resultado, con JavaScript controlado por el atacante capturado en tiempo de ejecución y ejecutado para facilitar el comando y control (C2).
Este ataque se basa en que un atacante configure un repositorio falso en una plataforma de desarrollador confiable como Bitbucket, usando un nombre como «Cryptan-Platform-MVP1» para engañar a los desarrolladores que buscan trabajo para que lo ejecuten como parte de su proceso de evaluación.
Un análisis más detallado de los repositorios identificados revela tres rutas de ejecución distintas que se activan de diferentes maneras, pero con el objetivo final de ejecutar JavaScript controlado por el atacante directamente en la memoria.
Ejecutar un espacio de trabajo de Visual Studio Code. Utiliza un proyecto de Microsoft Visual Studio Code (VS Code) con una configuración de automatización del espacio de trabajo para ejecutar código malicioso recuperado del dominio Vercel tan pronto como el desarrollador abre y confía en el proyecto. Esto incluye configurar la tarea con runOn: «folderOpen». Ejecución en tiempo de compilación durante el desarrollo de la aplicación. Simplemente ejecutar el servidor de desarrollo manualmente a través de ‘npm run dev’ activa la ejecución de código malicioso incrustado dentro de una biblioteca de JavaScript modificada disfrazada de jquery.min.js, que recupera el cargador de JavaScript alojado en Vercel. Node.js ejecuta la carga útil recuperada en la memoria. Exponer el entorno y realizar el inicio del servidor mediante la ejecución dinámica de código remoto. Al iniciar el backend de la aplicación se ejecuta una lógica de carga maliciosa oculta dentro del módulo backend o del archivo raíz. El cargador envía el entorno del proceso a un servidor externo y ejecuta el JavaScript recibido en respuesta en la memoria dentro del proceso del servidor Node.js.
Microsoft señaló que los tres métodos conducen a la misma carga útil de JavaScript que es responsable de crear perfiles del host y sondear periódicamente el punto final de registro para obtener un identificador «instanceId» único. Este identificador se proporciona en encuestas posteriores para correlacionar la actividad posterior.
También puede ejecutar JavaScript proporcionado por el servidor en la memoria, allanando el camino para un controlador de segunda etapa que eventualmente convierte el punto de apoyo inicial en una ruta de acceso persistente para conectarse a otro servidor C2 para recibir tareas y ejecutar tareas en la memoria para minimizar cualquier rastro dejado en el disco.
Descripción general de la cadena de ataque
«Este controlador mantiene la estabilidad y la continuidad de la sesión, publica telemetría de errores en los puntos finales de informes e incluye lógica de reintento para mayor resiliencia», dijo Microsoft. «También puede rastrear los procesos generados, detener las actividades administradas y finalizarlas elegantemente cuando se lo ordene. La etapa 2 va más allá de la ejecución de código bajo demanda para respaldar el descubrimiento y la extracción impulsados por el operador».
Aunque el fabricante de Windows no atribuyó esta actividad a un atacante específico, el uso de tareas de VS Code y dominios de Vercel para preparar malware es una táctica empleada por piratas informáticos vinculados a Corea del Norte asociados con una campaña de larga duración conocida como «Entrevistas contagiosas».
El objetivo final de estos esfuerzos es lograr la capacidad de distribuir malware a los sistemas de los desarrolladores. Los sistemas de desarrollador suelen contener datos confidenciales, como código fuente, secretos y credenciales, que pueden brindar la oportunidad de penetrar más profundamente en la red de destino.
Utilice GitHub gist con VS Code task.json en lugar de la URL de Vercel
Abstract Security dijo en un informe publicado el miércoles que ha observado un cambio en las tácticas de los actores de amenazas, en particular la proliferación de servidores de prueba alternativos utilizados en los comandos de tareas de VS Code en lugar de las URL de Vercel. Esto implica el uso de un script alojado en GitHub gists (‘gist.githubusercontent(.)com’) para descargar y ejecutar la carga útil de la siguiente etapa. Otro enfoque es utilizar un acortador de URL como short(.)gy para ocultar la URL de Vercel.
La firma de ciberseguridad dijo que también identificó un paquete npm malicioso vinculado a una campaña llamada «eslint-validator» que recupera y ejecuta una carga útil ofuscada desde una URL de Google Drive. La carga útil en cuestión es un conocido malware de JavaScript llamado BeaverTail.
Además, se descubrió que una tarea maliciosa de VS Code integrada en un repositorio de GitHub inicia una cadena de infección exclusiva de Windows que ejecuta un script por lotes para descargar el tiempo de ejecución de Node.js (si no está presente) en el host y utiliza el programa certutil para analizar bloques de código contenidos en el script. El script decodificado se ejecuta en el tiempo de ejecución de Node.js obtenido previamente para implementar el malware Python protegido por PyArmor.
La empresa de ciberseguridad Red Asgard, que también ha seguido ampliamente la campaña, dijo que los atacantes aprovecharon un proyecto VS Code diseñado que utiliza un activador runOn: «folderOpen» para implementar el malware, consultando así la cadena de bloques Polygon y recuperando JavaScript almacenado dentro del contrato NFT para mejorar la resiliencia. La carga útil final es un ladrón de información que recopila credenciales y datos de navegadores web, billeteras de criptomonedas y administradores de contraseñas.
Distribución de la infraestructura de prueba utilizada por los actores de amenazas norcoreanos en 2025
«Esta campaña centrada en los desarrolladores muestra cómo el ‘proyecto de entrevista’ con temática de contratación puede convertirse en un camino confiable hacia la ejecución remota de código al integrarse en los flujos de trabajo cotidianos de los desarrolladores, como abrir repositorios, ejecutar servidores de desarrollo y lanzar backends», concluye Microsoft.
Para combatir esta amenaza, la compañía recomienda que las organizaciones fortalezcan los límites de confianza para los flujos de trabajo de los desarrolladores, apliquen una autenticación sólida y un acceso condicional, utilicen una higiene de credenciales estricta, apliquen principios de privilegio mínimo al crear cuentas e identidades de desarrolladores y aíslen la infraestructura cuando sea posible.
El desarrollo se produce después de que GitLab anunciara que había prohibido 131 cuentas únicas que estaban involucradas en la distribución de proyectos de código malicioso relacionados con la campaña Contagious Interview y el esquema de trabajadores de TI deshonestos conocido como Wagemole.
«Los actores de amenazas generalmente se originan en VPN de consumidores cuando se comunican con GitLab.com para distribuir malware, pero de manera intermitente pueden originarse en direcciones IP en infraestructuras VPS dedicadas o tal vez en granjas de computadoras portátiles», dijo Oliver Smith de GitLab. «En casi el 90% de los casos, el atacante utilizó una dirección de correo electrónico de Gmail para crear la cuenta».
En más del 80% de los casos por plataforma de desarrollo de software, los atacantes supuestamente aprovecharon al menos seis servicios legítimos para alojar sus cargas útiles de malware, incluidos JSON Keeper, Mocki, npoint.io, Render, Railway.app y Vercel. De estos, Vercel fue el más utilizado, y los actores de amenazas confiaron en la plataforma de desarrollo web al menos 49 veces en 2025.
«En diciembre, observamos un grupo de proyectos que ejecutaban malware a través de tareas de VS Code canalizando contenido remoto a un shell nativo o ejecutando scripts personalizados que decodificaban el malware a partir de datos binarios en archivos de fuentes falsos», agregó Smith, corroborando los hallazgos de Microsoft antes mencionados.
Evaluación del organigrama de las células de trabajadores de TI de Corea del Norte
GitLab también descubrió proyectos privados «muy probablemente» controlados por norcoreanos que controlan las células de trabajadores de TI de Corea del Norte, incluidos registros financieros y de personal detallados que muestran más de 1,64 millones de dólares en ingresos desde el primer trimestre de 2022 hasta el tercer trimestre de 2025. El proyecto incluía más de 120 hojas de cálculo, presentaciones y documentos que rastreaban el desempeño de los ingresos trimestrales de los miembros individuales del equipo.
«Los registros demuestran que estas operaciones operan como empresas estructuradas con objetivos y procedimientos operativos definidos y una estrecha supervisión jerárquica», señaló GitLab. «La capacidad comprobada de esta célula para desarrollar facilitadores en todo el mundo proporciona un alto grado de resiliencia operativa y flexibilidad en el lavado de dinero».
Cuentas de GitHub asociadas con trabajadores de TI de Corea del Norte
En un informe publicado a principios de este mes, Okta dijo que la «gran mayoría» de las entrevistas con empleados de TI no avanzan a segundas entrevistas u ofertas, pero señaló que «aprenden de sus errores» y aprovechan el hecho de que es menos probable que muchos de ellos realicen verificaciones de antecedentes rigurosas para buscar trabajo por contrato temporal como desarrolladores de software contratados por empresas de terceros.
«Sin embargo, algunos actores parecen ser más competentes a la hora de crear personajes y pasar entrevistas de proyección», añadió. Existe una especie de selección natural en el trabajo de los trabajadores de TI. Los actores más exitosos son extremadamente prolíficos y cada uno programa cientos de entrevistas. «
Source link
