Se cree que el actor de amenazas norcoreano detrás de la campaña Contagious Interview, también rastreada como WaterPlum, pertenece a la familia de malware rastreada como StoatWaffle, que se distribuye a través de proyectos maliciosos de Microsoft Visual Studio Code (VS Code).
El uso de «tasks.json» de VS Code para distribuir malware es una táctica relativamente nueva empleada por los actores de amenazas desde diciembre de 2025, y el ataque aprovecha la opción «runOn:folderOpen» que activa automáticamente la ejecución cada vez que se abre un archivo en una carpeta de proyecto en VS Code.
«Esta tarea está configurada para descargar datos de aplicaciones web en Vercel, independientemente del sistema operativo que esté ejecutando», dijo NTT Security en un informe publicado la semana pasada. «Este artículo asume que el sistema operativo es Windows, pero el funcionamiento esencial es el mismo para cualquier sistema operativo».
La carga útil descargada primero verifica si Node.js está instalado en el entorno de ejecución. Si Node.js no está presente, el malware descarga e instala Node.js desde el sitio web oficial. Luego procede a iniciar el descargador, sondea periódicamente el servidor externo, se conecta a otro punto final en el mismo servidor y ejecuta la respuesta recibida como código Node.js para obtener la siguiente etapa del descargador que muestra el mismo comportamiento.
Resulta que StoatWaffle ofrece dos módulos diferentes:
Un ladrón que captura credenciales y datos de extensión almacenados en navegadores web (navegadores basados en Chromium y Mozilla Firefox) y los carga en un servidor de comando y control (C2). Si el sistema comprometido se ejecuta en macOS, también se robará la base de datos de iCloud Keychain. Un troyano de acceso remoto (RAT) que se comunica con un servidor C2 para recuperar y ejecutar comandos en hosts infectados. Estos comandos permiten que el malware cambie el directorio de trabajo actual, enumere archivos y directorios, ejecute código Node.js, cargue archivos, busque recursivamente directorios específicos y enumere o cargue archivos que coincidan con palabras clave específicas, ejecute comandos de shell y finalice.
«StoatWaffle es un malware modular implementado en Node.js e incluye un módulo Stealer y un módulo RAT», dijo el proveedor de seguridad japonés. «WaterPlum desarrolla continuamente nuevo malware y actualiza el malware existente».
Este desarrollo coincide con varias campañas lanzadas por actores de amenazas dirigidas al ecosistema de código abierto.
PylangGhost Un conjunto de paquetes npm maliciosos que distribuyen malware. Este es el primer indicio de que se ha propagado malware a través de paquetes npm. La campaña conocida como PolinRider incorporó cargas útiles maliciosas de JavaScript ofuscadas en cientos de repositorios públicos de GitHub, lo que finalmente culminó con la implementación de una nueva versión de BeaverTail, un conocido malware ladrón y descargador atribuido a Contagious Interview. En el compromiso se incluyen cuatro repositorios que pertenecen a la organización Neutralinojs GitHub. El ataque supuestamente comprometió las cuentas de GitHub de contribuyentes de Nuclearinojs desde hace mucho tiempo con acceso de escritura a nivel de organización para recuperar cargas útiles cifradas en transacciones de Tron, Aptos y Binance Smart Chain (BSC) para forzar el envío de código JavaScript que descarga y ejecuta BeaverTail. Se cree que las víctimas han sido infectadas a través de una extensión maliciosa de VS Code o un paquete npm.
Microsoft dijo en un análisis de Contagious Interview de este mes que los atacantes logran acceso inicial a los sistemas de los desarrolladores a través de un «proceso de reclutamiento persuasivo, paso a paso» que refleja una entrevista técnica formal, y en última instancia convence a las víctimas para que ejecuten comandos o paquetes maliciosos alojados en GitHub, GitLab o Bitbucket como parte de su evaluación.
En algunos casos, incluso puedes acercarte a tu objetivo en LinkedIn. Sin embargo, las personas elegidas para este ataque de ingeniería social no son desarrolladores junior, sino fundadores, CTO e ingenieros senior en el espacio criptográfico o Web3, y es probable que tengan un alto acceso a la infraestructura técnica y a las carteras criptográficas de la empresa. En un incidente reciente, los atacantes atacaron sin éxito al fundador de AllSecure.io mediante una entrevista de trabajo falsa.
Las familias de malware clave implementadas como parte de estas cadenas de ataque incluyen OtterCookie (una puerta trasera capaz de robar datos a gran escala), InvisibleFerret (una puerta trasera basada en Python) y FlexibleFerret (una puerta trasera modular implementada tanto en Go como en Python). Se sabe que InvisibleFerret se entrega a través de BeaverTail, pero en intrusiones recientes se ha descubierto que aprovecha el acceso inicial obtenido a través de OtterCookie antes de distribuir malware como cargas útiles posteriores.
Vale la pena mencionar aquí que FlexibleFerret también se conoce como WeaselStore. Sus variantes Go y Python se denominan GolangGhost y PylangGhost, respectivamente.
En una señal de que los actores de amenazas están refinando activamente sus técnicas, una nueva mutación en el proyecto VS Code elude un dominio basado en Vercel para scripts alojados en GitHub Gist para descargar y ejecutar la carga útil de la siguiente etapa que finalmente conduce a la implementación de FlexibleFerret. Estos proyectos de VS Code se organizan en GitHub.
“Al incorporar la entrega de malware dirigido directamente en las herramientas de entrevistas, ejercicios de codificación y flujos de trabajo de evaluación en los que los desarrolladores confían inherentemente, los actores de amenazas explotan la confianza que los solicitantes de empleo depositan en el proceso de contratación en un momento de alta motivación y presión de tiempo para reducir las sospechas y la resistencia”, dijo el gigante tecnológico.
En respuesta a la explotación continua de las tareas de VS Code, Microsoft incluyó mitigaciones en la actualización de enero de 2026 (versión 1.109). Esto introduce una nueva configuración «task.allowAutomaticTasks». Establezca «desactivado» de forma predeterminada para mejorar la seguridad y evitar que las tareas definidas en «tasks.json» se ejecuten involuntariamente cuando se abre un espacio de trabajo.
«Esta actualización también evita que se definan configuraciones a nivel del espacio de trabajo, por lo que los repositorios maliciosos con sus propios archivos .vscode/settings.json no deberían poder anular la configuración (global) de los usuarios», dijo Abstract Security.
«Esta versión y la reciente versión de febrero de 2026 (versión 1.110) también introducen un segundo mensaje para alertar a los usuarios cuando se detecta una tarea de ejecución automática en un espacio de trabajo recién abierto. Esto actúa como una protección adicional después de que el usuario acepta el mensaje de confianza del espacio de trabajo».
En los últimos meses, los actores de amenazas norcoreanos también han participado en campañas coordinadas de malware dirigidas a expertos en criptomonedas a través de ingeniería social de LinkedIn, empresas de capital de riesgo falsas y enlaces de videoconferencias fraudulentos. Este porcentaje de actividad se superpone con los grupos rastreados como GhostCall y UNC1069.
Moonlock Lab de MacPaw dijo: «La cadena de ataque culmina en una página CAPTCHA estilo ClickFix falsa que engaña a la víctima para que ejecute comandos insertados en el portapapeles dentro de la terminal». «Esta campaña es multiplataforma por diseño y ofrece cargas útiles adaptadas tanto para macOS como para Windows».
Los hallazgos se producen cuando el Departamento de Justicia de Estados Unidos (DoJ) anunció la sentencia de Audricus Fagnasay, de 25 años, Jason Salazar, de 30, y Alexander Paul Travis, de 35, por facilitar el programa ilícito de trabajadores de tecnología de la información (TI) de Corea del Norte, en violación de las sanciones internacionales. Los tres se habían declarado culpables previamente en noviembre de 2025.
El Sr. Fagnasay y el Sr. Salazar fueron sentenciados a tres años de libertad condicional y una multa de 2.000 dólares. También se les ordenó renunciar a cualquier producto ilegal obtenido de su participación en la conspiración de fraude electrónico. Travis fue sentenciado a un año de prisión y se le ordenó perder 193.265 dólares, la cantidad que el norcoreano había ganado usando su identidad.
«Estos individuos estaban efectivamente entregando las llaves de su reino en línea a lo que parecían ser trabajadores tecnológicos de Corea del Norte en el extranjero para aumentar los ingresos ilícitos del gobierno de Corea del Norte, todo a cambio de lo que parecía un viaje fácil para ellos», dijo en un comunicado Margaret Heap, fiscal federal para el Distrito Sur de Georgia.
La semana pasada, Flare e IBM X-Force publicaron un estudio en profundidad de las operaciones de los trabajadores de TI y su funcionamiento interno, destacando cómo los trabajadores de TI asisten a las prestigiosas universidades de Corea del Norte y se someten ellos mismos a un riguroso proceso de entrevistas antes de unirse al sistema.
Son «considerados miembros de élite de la sociedad norcoreana y una parte integral de los objetivos estratégicos generales del gobierno norcoreano», dijeron las empresas. «Estos propósitos incluyen, entre otros, generación de ingresos, actividades de empleo remoto, robo de información corporativa o confidencial, extorsión y apoyo a otros grupos norcoreanos».
Source link
