StoatWaffle Malware

Los actores de amenazas norcoreanos detrás de la campaña Contagious Interview, también rastreados como WaterPlum, han sido atribuidos a una familia de malware rastreada como Waffle Stoat que se distribuye a través de proyectos maliciosos de Microsoft Visual Studio Code (VS Code).

El uso de VS Code «tasks.json» para distribuir malware es un táctica relativamente nueva adoptado por el actor de la amenaza desde diciembre de 2025 , y los ataques aprovechan la opción «RunOn: FolderOpen» para activar automáticamente su ejecución cada vez que se abre un archivo de la carpeta del proyecto en VS Code.

«Esta tarea está configurada para que descargue datos de una aplicación web en Vercel independientemente del sistema operativo en ejecución», NTT Security dijo en un informe publicado la semana pasada. «Aunque en este artículo asumimos que el sistema operativo que ejecuta es Windows, los comportamientos esenciales son los mismos para cualquier sistema operativo».

La carga útil descargada comprueba primero si Node.js está instalado en el entorno de ejecución. Si está ausente, el malware descarga Node.js del sitio web oficial y lo instala. Posteriormente, lanza un programa de descarga, que sondea periódicamente un servidor externo para buscar un programa de descarga de la siguiente etapa que muestre un comportamiento idéntico al llegar a otro punto final del mismo servidor y ejecutar la respuesta recibida como código Node.js.

adsense

Se ha descubierto que StoatWaffle ofrece dos módulos diferentes:

  • Un ladrón que captura las credenciales y los datos de extensión almacenados en los navegadores web (navegadores basados en Chromium y Mozilla Firefox) y los carga en un servidor de comando y control (C2). Si el sistema infectado funciona en macOS, también roba la base de datos del llavero de iCloud.
  • Un troyano de acceso remoto (RAT) que se comunica con el servidor C2 para buscar y ejecutar comandos en el host infectado. Los comandos permiten al malware cambiar el directorio de trabajo actual, enumerar archivos y directorios, ejecutar el código Node.js, cargar archivos, buscar de forma recursiva en el directorio dado y mostrar o cargar archivos que coincidan con una palabra clave determinada, ejecutar comandos de shell y terminar automáticamente.

«StoatWaffle es un malware modular implementado por Node.js y tiene los módulos Stealer y RAT», dijo el proveedor de seguridad japonés. «WaterPlum desarrolla continuamente nuevos programas maliciosos y actualiza los existentes».

El desarrollo coincide con varias campañas organizadas por el actor de amenazas dirigidas al ecosistema de código abierto -

  • Un conjunto de paquetes npm maliciosos que distribuyen el Fantasma de Pylang malware, que marca la primera vez que el malware se propaga a través de paquetes npm.
  • Una campaña conocida como Piloto de Polin ha implantado una carga de JavaScript malintencionada y ofuscada en cientos de repositorios públicos de GitHub que culmina con el despliegue de una nueva versión de Cola de castor , un conocido malware para robar y descargar atribuido a Contagious Interview.
  • Entre los compromisos están cuatro repositorios perteneciente a la organización Neutralinojs GitHub. Se dice que el ataque puso en peligro la cuenta de GitHub de un colaborador de Neutralinojs que desde hacía mucho tiempo tenía acceso de escritura a nivel organizativo a código JavaScript de inserción forzada que recupera cargas cifradas en transacciones de Tron, Aptos y Binance Smart Chain (BSC) para descargar y ejecutar BeaverTail. Se cree que las víctimas se infectaron mediante una extensión maliciosa de VS Code o un paquete npm.

Microsoft, en un análisis de Contagious Interview de este mes, dijo que los actores de amenazas logran el acceso inicial a los sistemas de los desarrolladores a través de «procesos de contratación organizados de manera convincente» que reflejan entrevistas técnicas legítimas y, en última instancia, persuaden a las víctimas de que ejecuten comandos o paquetes maliciosos alojados en GitHub, GitLab o Bitbucket como parte de la evaluación.

En algunos casos, los objetivos se abordan en LinkedIn. Sin embargo, las personas elegidas para este ataque de ingeniería social no son desarrolladores jóvenes, sino fundadores, directores de tecnología e ingenieros sénior del sector de las criptomonedas o Web3, quienes probablemente tengan un acceso elevado a la infraestructura tecnológica y a las carteras de criptomonedas de la empresa. ¿Un incidente reciente implicado los atacantes atacaron sin éxito al fundador de AllSecure.io mediante una entrevista de trabajo falsa.

Algunas de las principales familias de malware implementadas como parte de estas cadenas de ataque incluyen: Galleta de nutria (una puerta trasera capaz de robar datos a gran escala), Hurón invisible (una puerta trasera basada en Python) y Hurón flexible (una puerta trasera modular implementada tanto en Go como en Python). Si bien se sabe que InvisibleFerret se entrega normalmente a través de BeaverTail, se han descubierto intrusiones recientes que distribuyen el malware como una carga útil posterior, tras aprovechar el acceso inicial obtenido a través de OtterCookie.

Vale la pena mencionar aquí que Hurón flexible también se conoce como WeaselStore. Sus variantes de Go y Python se conocen con los nombres GolangGhost y PylangGhost, respectivamente.

En señal de que los actores de amenazas están perfeccionando activamente su oficio, las mutaciones más recientes de los proyectos VS Code han evitado los dominios basados en Vercel para que los scripts alojados en GitHub GIST descarguen y ejecuten cargas útiles de próxima etapa que, en última instancia, conducen al despliegue de FlexibleFerret. Estos proyectos de VS Code se organizan en GitHub.

«Al integrar el envío de malware dirigido directamente a las herramientas de entrevista, los ejercicios de codificación y los flujos de trabajo de evaluación en los que los desarrolladores confían intrínsecamente, los actores de amenazas explotan la confianza que los solicitantes de empleo depositan en el proceso de contratación durante los períodos de gran motivación y presión de tiempo, lo que reduce las sospechas y la resistencia», afirma el gigante tecnológico.

En respuesta al abuso continuo de VS Code Tasks, Microsoft ha incluido una mitigación en la actualización de enero de 2026 ( versión 1.109 ) que introduce una nueva configuración «task.allowAutomaticTasks», cuyo valor predeterminado es «desactivado» para mejorar la seguridad y evitar la ejecución involuntaria de las tareas definidas en «tasks.json» al abrir un espacio de trabajo.

«La actualización también impide que la configuración se defina a nivel del espacio de trabajo, por lo que los repositorios malintencionados con su propio archivo .vscode/settings.json no deberían poder anular la configuración del usuario (global)», Abstract Security dijo .

«Esta versión y la reciente de febrero de 2026 ( versión 1.110 ) también introduce un mensaje secundario que avisa al usuario cuando se detecta una tarea de ejecución automática en un espacio de trabajo recién abierto. Esto actúa como una protección adicional cuando un usuario acepta la solicitud de Workspace Trust».

En los últimos meses, los actores de amenazas norcoreanos también han participado en una campaña coordinada de malware dirigida a los profesionales de las criptomonedas a través de la ingeniería social de LinkedIn, firmas de capital riesgo falsas y enlaces de videoconferencia fraudulentos. Los porcentajes de actividad se superponen con los clústeres registrados como GhostCall y UNC1069 .

«La cadena de ataques culmina con una página CAPTCHA falsa al estilo de Clickfix que engaña a las víctimas para que ejecuten comandos inyectados en el portapapeles en su terminal», dijo Moonlock Lab de MacPaw dijo . «La campaña tiene un diseño multiplataforma y ofrece cargas útiles personalizadas tanto para macOS como para Windows».

enlaces

Los hallazgos llegan cuando el Departamento de Justicia de los Estados Unidos (DoJ) anunciado la condena de tres hombres —Audricus Phagnasay, de 25 años, Jason Salazar, de 30, y Alexander Paul Travis, de 35— por su papel en la promoción del fraudulento plan de trabajadores de la tecnología de la información (TI) de Corea del Norte, en violación de las sanciones internacionales. Las tres personas previamente se declaró culpable en noviembre de 2025.

Tanto Phagnasay como Salazar fueron sentenciados a tres años de libertad condicional y a una multa de 2.000 dólares. También se les ordenó perder las ganancias ilícitas obtenidas al participar en la conspiración de fraude electrónico. Travis fue sentenciado a un año de prisión y se le ordenó perder 193.265 dólares, la cantidad que ganan los norcoreanos al usar su identidad.

«Estos hombres prácticamente entregaron las llaves del reino de Internet a probables trabajadores tecnológicos norcoreanos en el extranjero que buscaban recaudar ingresos ilícitos para el gobierno norcoreano, todo a cambio de lo que para ellos parecía dinero fácil», dijo Margaret Heap, fiscal federal para el Distrito Sur de Georgia, en un comunicado.

La semana pasada, Flare e IBM X-Force publicado una mirada detallada a la Trabajador de TI operación y su estructura interna , al tiempo que destaca cómo los trabajadores de TI asisten a prestigiosas universidades de Corea del Norte y pasan por un riguroso proceso de entrevistas antes de unirse al programa.

Son «considerados miembros de élite de la sociedad norcoreana y se han convertido en una parte indispensable de los objetivos estratégicos generales del gobierno norcoreano», señalaron las empresas. «Estos objetivos incluyen, entre otros, la generación de ingresos, la actividad laboral a distancia, el robo de información empresarial y privada, la extorsión y la prestación de apoyo a otros grupos norcoreanos».

¿Te ha parecido interesante este artículo? Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.