Los actores de amenazas norcoreanos asociados con el largo plazo Entrevista contagiosa Se ha observado que esta campaña utiliza proyectos maliciosos de Microsoft Visual Studio Code (VS Code) como señuelo para abrir una puerta trasera en los puntos finales comprometidos.
El último hallazgo demuestra la evolución continua de la nueva táctica que se descubrió por primera vez en diciembre de 2025, dijo Jamf Threat Labs.
«Esta actividad implicó el despliegue de un implante de puerta trasera que proporciona capacidades de ejecución remota de código en el sistema víctima», dijo el investigador de seguridad Thijs Xhaflaire. dicho en un informe compartido con The Hacker News.
Primero revelado realizado por OpenSourceMalware el mes pasado, el ataque esencialmente implica instruir a posibles objetivos para que clonen un repositorio en GitHub, GitLab o Bitbucket y lancen el proyecto en VS Code como parte de una supuesta evaluación del trabajo.
El objetivo final de estos esfuerzos es abusar Archivos de configuración de tareas de VS Code para ejecutar cargas útiles maliciosas organizadas en dominios de Vercel, según el sistema operativo del host infectado. La tarea está configurada de manera que se ejecuta cada vez que ese archivo o cualquier otro archivo en la carpeta del proyecto se abre en VS Code configurando la opción «runOn: carpetaAbrir». En última instancia, esto conduce al despliegue de BeaverTail e InvisibleFerret.
Las iteraciones posteriores de la campaña han sido encontró para ocultar sofisticados droppers de múltiples etapas en los archivos de configuración de tareas disfrazando el malware como diccionarios de corrección ortográfica inofensivos como mecanismo alternativo en caso de que la tarea no pueda recuperar la carga útil del dominio Vercel.
Como antes, el JavaScript ofuscado incrustado en estos archivos se ejecuta tan pronto como la víctima abre el proyecto en el entorno de desarrollo integrado (IDE). Establece comunicación con un servidor remoto («ip-regions-check.vercel[.]app») y ejecuta cualquier código JavaScript recibido de él. La etapa final entregada como parte del ataque es otro JavaScript muy ofuscado.
Jamf dijo que descubrió otro cambio en esta campaña, en el que los actores de amenazas utilizaron un método de infección previamente no documentado para ofrecer una puerta trasera que ofrece capacidades de ejecución remota de código en el host comprometido. El punto de partida de la cadena de ataque no es diferente ya que se activa cuando la víctima clona y abre un repositorio Git malicioso usando VS Code.
«Cuando se abre el proyecto, Visual Studio Code solicita al usuario que confíe en el autor del repositorio», explicó Xhaflaire. «Si se otorga esa confianza, la aplicación procesa automáticamente el archivo de configuración task.json del repositorio, lo que puede resultar en la ejecución de comandos arbitrarios incrustados en el sistema».
«En los sistemas macOS, esto da como resultado la ejecución de un comando de shell en segundo plano que usa nohup bash -c en combinación con curl -s para recuperar una carga útil de JavaScript de forma remota y canalizarla directamente al tiempo de ejecución de Node.js. Esto permite que la ejecución continúe de forma independiente si el proceso de Visual Studio Code finaliza, mientras se suprime toda la salida del comando».
La carga útil de JavaScript, alojada en Vercel, contiene la lógica de puerta trasera principal para establecer un bucle de ejecución persistente que recopila información básica del host y se comunica con un servidor remoto para facilitar la ejecución remota de código, la toma de huellas digitales del sistema y la comunicación continua.
En un caso, la empresa de gestión de dispositivos Apple dijo que observó que se ejecutaban más instrucciones de JavaScript aproximadamente ocho minutos después de la infección inicial. El JavaScript recién descargado está diseñado para enviar una señal al servidor cada cinco segundos, ejecutar JavaScript adicional y borrar rastros de su actividad al recibir una señal del operador. Se sospecha que el guión pudo haber sido generado utilizando una herramienta de inteligencia artificial (IA) debido a la presencia de comentarios y frases en línea en el código fuente.
Se sabe que los actores de amenazas con vínculos con la República Popular Democrática de Corea (RPDC) persiguen específicamente a los ingenieros de software, en particular aquellos que trabajan en los sectores de criptomonedas, blockchain y fintech, ya que a menudo tienden a tener acceso privilegiado a activos financieros, billeteras digitales e infraestructura técnica.
Comprometer sus cuentas y sistemas podría permitir a los atacantes acceso no autorizado al código fuente, propiedad intelectual, sistemas internos y desvío de activos digitales. Estos cambios constantes en sus tácticas se consideran un esfuerzo por lograr más éxito en sus objetivos financieros y de ciberespionaje para apoyar al régimen fuertemente sancionado.
El desarrollo llega como Red Asgard. detallado su investigación sobre un repositorio malicioso que se ha descubierto que utiliza una configuración de tarea de VS Code para recuperar JavaScript ofuscado diseñado para eliminar una puerta trasera con todas las funciones llamada tsunami (también conocido como TsunamiKit) junto con un minero de criptomonedas XMRig.
Otro análisis de Security Alliance la semana pasada también ha presentado el abuso de la campaña de las tareas de VS Code en un ataque en el que se acercó a una víctima no especificada en LinkedIn, y los actores de la amenaza afirmaron ser el director de tecnología de un proyecto llamado Meta2140 y compartían una noción.[.]por lo tanto, el enlace contiene una evaluación técnica y una URL a un repositorio de Bitbucket que aloja el código malicioso.
Curiosamente, la cadena de ataque está diseñada para recurrir a otros dos métodos: instalar un dependencia maliciosa de npm llamado «avatargris» o ejecutar código JavaScript que es responsable de recuperar un sofisticado controlador Node.js, que, a su vez, ejecuta cinco módulos distintos para registrar pulsaciones de teclas, tomar capturas de pantalla, escanear el directorio de inicio del sistema en busca de archivos confidenciales, direcciones de billetera sustitutas copiar al portapapeles, las credenciales de los navegadores web y establecer una conexión persistente a un servidor remoto.
Luego, el malware procede a configurar un entorno Python paralelo utilizando un script stager que permite la recopilación de datos, la extracción de criptomonedas mediante XMRig, el registro de teclas y la implementación de AnyDesk para acceso remoto. Vale la pena señalar que las capas de Node.js y Python se denominan BeaverTail e InvisibleFerret, respectivamente.
Estos hallazgos indican que los actores patrocinados por el estado están experimentando con múltiples métodos de ejecución en conjunto para aumentar la probabilidad de éxito de sus ataques.
«Esta actividad destaca la evolución continua de los actores de amenazas vinculados a la RPDC, que adaptan constantemente sus herramientas y mecanismos de entrega para integrarse con los flujos de trabajo legítimos de los desarrolladores», dijo Jamf. «El abuso de los archivos de configuración de tareas de Visual Studio Code y la ejecución de Node.js demuestra cómo estas técnicas continúan evolucionando junto con las herramientas de desarrollo comúnmente utilizadas».
Fuente