Hackers norcoreanos usan VS Code para distribuir malware StoatWaffle
Publicado el
Introducción
Actores de amenazas vinculados a Corea del Norte, asociados con la campaña Contagious Interview, han comenzado a utilizar Microsoft Visual Studio Code (VS Code) para distribuir el malware conocido como StoatWaffle. Este nuevo enfoque se centra en la explotación del archivo `tasks.json` para ejecutar código malicioso cada vez que se abre un proyecto.
Técnica de entrega del malware
Desde diciembre de 2025, los atacantes han implementado la opción runOn: folderOpen para activar la ejecución automática del malware al abrir cualquier archivo en la carpeta del proyecto. Según un informe de NTT Security, este mecanismo descarga datos de una aplicación web alojada en Vercel, independientemente del sistema operativo en uso.
El malware primero verifica la presencia de Node.js en el sistema. Si no está instalado, procede a descargarlo desde su sitio oficial y lo instala. Luego, ejecuta un downloader que se conecta periódicamente a un servidor externo para obtener un segundo downloader, que actúa de manera similar, ejecutando el código recibido como código de Node.js.
Funcionalidades de StoatWaffle
StoatWaffle tiene la capacidad de entregar dos módulos distintos: un stealer que captura credenciales y datos almacenados en navegadores basados en Chromium y Mozilla Firefox, y un troyano de acceso remoto (RAT) que permite a los atacantes ejecutar comandos en el sistema comprometido. Estos comandos pueden cambiar el directorio de trabajo actual, enumerar archivos y directorios, ejecutar código Node.js, cargar archivos y realizar búsquedas recursivas.
Además, si el sistema afectado es macOS, el malware roba la base de datos del Keychain de iCloud. Este malware modular, desarrollado principalmente en Node.js, está en constante evolución, lo que indica que los atacantes siguen actualizando y creando nuevas variantes.
Campañas adicionales
Aparte de StoatWaffle, los atacantes han lanzado diversas campañas dirigidas al ecosistema de código abierto. Se han encontrado paquetes npm maliciosos que distribuyen el malware PylangGhost, marcando una nueva fase en la propagación de malware a través de npm. Otra campaña, conocida como PolinRider, ha inyectado un código JavaScript malicioso en cientos de repositorios públicos de GitHub, llevando a la implantación de una nueva versión del malware BeaverTail.
Las intrusiones han afectado a varios repositorios de la organización Neutralinojs, comprometiendo la cuenta de un colaborador con acceso de escritura a nivel organizativo. Estos ataques se han llevado a cabo a través de extensiones maliciosas de VS Code o paquetes npm, lo que aumenta el riesgo para los desarrolladores.
Métodos de ingeniería social
Microsoft ha destacado que los actores de amenazas logran acceso inicial a los sistemas de los desarrolladores mediante procesos de reclutamiento que imitan entrevistas técnicas legítimas. Esto conduce a que las víctimas ejecuten comandos o paquetes maliciosos como parte de la evaluación. Los objetivos suelen ser fundadores, CTOs y ingenieros senior en el sector de criptomonedas o Web3, quienes tienen acceso elevado a la infraestructura tecnológica y carteras de criptomonedas de la empresa.
Un caso reciente involucró un intento de ataque contra el fundador de AllSecure.io a través de una entrevista de trabajo falsa, lo que subraya la sofisticación de estas tácticas.
Conclusión
La evolución constante de las técnicas empleadas por estos actores de amenazas representa un riesgo significativo para la comunidad de desarrolladores. La implementación de malware directamente en herramientas y flujos de trabajo de evaluación confiables permite a los atacantes explotar la confianza inherente de los desarrolladores, lo que hace crucial la concienciación y la educación en ciberseguridad para mitigar estos riesgos.