Los actores de amenazas norcoreanos asociados con la prolongada Entrevista contagiosa Se ha observado que la campaña utiliza proyectos maliciosos de Microsoft Visual Studio Code (VS Code) como señuelos para ofrecer una puerta trasera a los puntos finales comprometidos.

El último hallazgo demuestra la evolución continua de la nueva táctica que se descubrió por primera vez en diciembre de 2025, según Jamf Threat Labs.

«Esta actividad implicó el despliegue de un implante de puerta trasera que proporciona capacidades de ejecución remota de código en el sistema de la víctima», dijo el investigador de seguridad Thijs Xhaflaire dijo en un informe compartido con The Hacker News.

Primero divulgado realizado por OpenSourceMalware el mes pasado, el ataque consiste básicamente en dar instrucciones a los posibles objetivos para que clonen un repositorio en GitHub, GitLab o Bitbucket y lancen el proyecto en VS Code como parte de una supuesta evaluación del trabajo.

El objetivo final de estos esfuerzos es abusar Archivos de configuración de tareas de VS Code para ejecutar cargas maliciosas organizadas en dominios de Vercel, según el sistema operativo del host infectado. La tarea está configurada de manera que se ejecute cada vez que ese archivo o cualquier otro archivo de la carpeta del proyecto se abra en VS Code mediante la configuración de la opción «RunOn: FolderOpen». En última instancia, esto lleva al despliegue de BeaverTail e InvisibleFerret.

Las iteraciones posteriores de la campaña han sido encontrado para ocultar sofisticados cuentagotas de varias etapas en los archivos de configuración de tareas disfrazando el malware de diccionarios correctores ortográficos inofensivos como mecanismo alternativo en caso de que la tarea no pueda recuperar la carga útil del dominio de Vercel.

Como antes, el JavaScript ofuscado incrustado en estos archivos se ejecuta tan pronto como la víctima abre el proyecto en el entorno de desarrollo integrado (IDE). Establece la comunicación con un servidor remoto («ip-regions-check.vercel [.] app») y ejecuta cualquier código JavaScript que reciba de él. La fase final que se presenta como parte del ataque es otro JavaScript muy ofuscado.

Jamf dijo haber descubierto otro cambio en esta campaña, ya que los actores de amenazas utilizaron un método de infección previamente no documentado para crear una puerta trasera que ofrece capacidades de ejecución remota de código en el host comprometido. El punto de partida de la cadena de ataque no es diferente, ya que se activa cuando la víctima clona y abre un repositorio de Git malintencionado mediante VS Code.

«Cuando se abre el proyecto, Visual Studio Code pide al usuario que confíe en el autor del repositorio», explica Xhaflaire. «Si se concede esa confianza, la aplicación procesa automáticamente el archivo de configuración tasks.json del repositorio, lo que puede provocar la ejecución de comandos arbitrarios incrustados en el sistema».

«En los sistemas macOS, esto resulta en la ejecución de un comando de shell en segundo plano que usa nohup bash -c en combinación con curl -s para recuperar una carga útil de JavaScript de forma remota y canalizarla directamente al tiempo de ejecución de Node.js. Esto permite que la ejecución continúe de forma independiente si finaliza el proceso de Visual Studio Code y, al mismo tiempo, se suprimen todos los resultados de los comandos».

La carga útil de JavaScript, alojada en Vercel, contiene la lógica principal de puerta trasera para establecer un bucle de ejecución persistente que recopila información básica del host y se comunica con un servidor remoto para facilitar la ejecución remota de código, la toma de huellas digitales del sistema y la comunicación continua.

En un caso, la empresa de administración de dispositivos Apple dijo que observó que se ejecutaban más instrucciones de JavaScript aproximadamente ocho minutos después de la infección inicial. El JavaScript recién descargado está diseñado para que llegue al servidor cada cinco segundos, ejecute JavaScript adicional y borre los rastros de su actividad al recibir una señal del operador. Se sospecha que el script puede haberse generado con una herramienta de inteligencia artificial (IA) debido a la presencia de comentarios y frases en línea en el código fuente.

Se sabe que los actores de amenazas vinculados a la República Popular Democrática de Corea (RPDC) persiguen específicamente a los ingenieros de software, en particular a los que trabajan en los sectores de las criptomonedas, la cadena de bloques y la tecnología financiera, ya que suelen tener acceso privilegiado a los activos financieros, las carteras digitales y la infraestructura técnica.

Comprometer sus cuentas y sistemas podría permitir a los atacantes el acceso no autorizado al código fuente, la propiedad intelectual y los sistemas internos y extraer activos digitales. Estos cambios constantes en sus tácticas se consideran un esfuerzo por lograr más éxito en sus objetivos financieros y de ciberespionaje a fin de apoyar a un régimen tan sancionado.

El desarrollo se presenta como Red Asgard detallada su investigación sobre un repositorio malicioso en el que se descubrió que utilizaba una configuración de tareas de VS Code para obtener JavaScript ofuscado diseñado para eliminar una puerta trasera con todas las funciones llamada Tsunami (también conocido como TsunamiKit) junto con un minero de criptomonedas XMRig.

Otro análisis realizado la semana pasada por Security Alliance también ha presentado el abuso de las tareas de VS Code por parte de la campaña en un ataque en el que se abordó a una víctima no especificada en LinkedIn, y los actores de la amenaza afirmaron ser el director de tecnología de un proyecto llamado Meta2140 y compartieron una noción [.] por lo que el enlace contiene una evaluación técnica y una URL a un repositorio de Bitbucket que aloja el código malicioso.

Curiosamente, la cadena de ataque está diseñada para recurrir a otros dos métodos: instalar un dependencia maliciosa de npm denominado» avatar gris «o ejecutar código JavaScript responsable de recuperar un sofisticado controlador Node.js, que, a su vez, ejecuta cinco módulos distintos para registrar las pulsaciones de teclas, tomar capturas de pantalla y escanear el directorio principal del sistema en busca de archivos confidenciales, direcciones de monederos sustitutos se copian al portapapeles, las credenciales de los navegadores web y se establece una conexión persistente con un servidor remoto.

Luego, el malware procede a configurar un entorno Python paralelo mediante un script provisional que permite la recopilación de datos, la minería de criptomonedas mediante XMRig, el registro de teclas y el despliegue de AnyDesk para el acceso remoto. Vale la pena señalar que las capas Node.js y Python se denominan BeaverTail e InvisibleFerret, respectivamente.

Estos hallazgos indican que los actores patrocinados por el estado están experimentando con múltiples métodos de entrega en conjunto para aumentar la probabilidad de éxito de sus ataques.

«Esta actividad pone de relieve la evolución continua de los actores de amenazas vinculados a la RPDC, que adaptan constantemente sus herramientas y mecanismos de entrega para integrarse con los flujos de trabajo legítimos de los desarrolladores», afirma Jamf. «El uso indebido de los archivos de configuración de tareas de Visual Studio Code y de la ejecución de Node.js demuestra cómo estas técnicas siguen evolucionando junto con las herramientas de desarrollo más utilizadas».

¿Te ha parecido interesante este artículo? Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.