Una «campaña coordinada dirigida a los desarrolladores» utiliza repositorios maliciosos disfrazados de proyectos y evaluaciones técnicas legítimos de Next.js para engañar a las víctimas para que las ejecuten y establecer un acceso persistente a las máquinas comprometidas.

«La actividad se alinea con un grupo más amplio de amenazas que utilizan señuelos con temática laboral para integrarse en los flujos de trabajo rutinarios de los desarrolladores y aumentar la probabilidad de ejecución del código», dijo el equipo de investigación de seguridad de Microsoft Defender dijo en un informe publicado esta semana.

El gigante tecnológico dijo que la campaña se caracteriza por el uso de múltiples puntos de entrada que conducen al mismo resultado, donde el JavaScript controlado por el atacante se recupera en tiempo de ejecución y se ejecuta para facilitar el comando y el control (C2).

Los ataques se basan en que los actores de amenazas crean repositorios falsos en plataformas de desarrolladores confiables, como Bitbucket, y utilizan nombres como «Cryptan-Platform-MVP1" para engañar a los desarrolladores que buscan trabajo para que los ejecuten como parte de un proceso de evaluación.

Un análisis más detallado de los repositorios identificados ha descubierto tres rutas de ejecución distintas que, si bien se activan de diferentes maneras, tienen el objetivo final de ejecutar un JavaScript controlado por un atacante directamente en la memoria -

  • Ejecución del espacio de trabajo de Visual Studio Code , donde los proyectos de Microsoft Visual Studio Code (VS Code) con una configuración de automatización del espacio de trabajo se utilizan para ejecutar código malintencionado recuperado de un dominio de Vercel tan pronto como el desarrollador abre el proyecto y confía en él. Esto implica el uso del RunOn: «FolderOpen» para configurar la tarea.
  • Ejecución en tiempo de creación durante el desarrollo de aplicaciones , donde se ejecuta manualmente el servidor de desarrollo mediante» npm run dev «es suficiente para activar la ejecución de código malicioso incrustado en bibliotecas de JavaScript modificadas que se hacen pasar por jquery.min.js, lo que hace que busque un cargador de JavaScript alojado en Vercel. A continuación, Node.js ejecuta en la memoria la carga útil recuperada.
  • Ejecución del inicio del servidor mediante la exfiltración del entorno y la ejecución dinámica de código remoto , donde el inicio del backend de la aplicación hace que se ejecute una lógica de carga maliciosa oculta en un módulo de backend o un archivo de ruta. El cargador transmite el entorno del proceso al servidor externo y ejecuta el JavaScript recibido como respuesta en la memoria dentro del proceso del servidor Node.js.
adsense

Microsoft señaló que los tres métodos conducen a la misma carga útil de JavaScript que se encarga de crear un perfil del host y de sondear periódicamente un punto final de registro para obtener un identificador «instanceID» único. Este identificador se proporciona posteriormente en las encuestas de seguimiento para correlacionar la actividad.

También es capaz de ejecutar JavaScript proporcionado por el servidor en la memoria, lo que, en última instancia, allana el camino para una controladora de segunda etapa que convierte el punto de apoyo inicial en una vía de acceso persistente para recibir tareas al contactar con un servidor C2 diferente y ejecutarlas en la memoria para minimizar el dejar rastros en el disco.

Descripción general de la cadena de ataque

«El controlador mantiene la estabilidad y la continuidad de la sesión, publica la telemetría de errores en un punto final que informa e incluye una lógica de reintento para mayor resiliencia», afirma Microsoft. «También hace un seguimiento de los procesos generados y puede detener la actividad gestionada y salir sin problemas cuando se le indica. Más allá de la ejecución de código bajo demanda, Stage 2 admite el descubrimiento y la exfiltración impulsados por el operador».

Si bien el fabricante de Windows no atribuyó la actividad a un actor de amenazas específico, el uso de tareas de VS Code y dominios de Vercel para organizar el malware es una táctica que han adoptado piratas informáticos vinculados a Corea del Norte en relación con una campaña de larga duración conocida como Entrevista contagiosa .

El objetivo final de estos esfuerzos es lograr la capacidad de entregar malware a los sistemas de los desarrolladores, que a menudo contienen datos confidenciales, como código fuente, secretos y credenciales, que pueden brindar oportunidades para profundizar en la red de destino.

Usar los elementos principales de GitHub en VS Code tasks.json en lugar de las URL de Vercel

En un informe publicado el miércoles, Abstract Security dijo ha observado un cambio en las tácticas de los actores de amenazas, en particular un aumento en los servidores de almacenamiento alternativos utilizados en los comandos de tareas de VS Code en lugar de en las URL de Vercel. Esto incluye el uso de scripts alojados en gists de GitHub («gist.githubusercontent [.] com») para descargar y ejecutar cargas útiles de la siguiente fase. Un enfoque alternativo emplea acortadores de URL como short [.] gy para ocultar las URL de Vercel.

La empresa de ciberseguridad dijo que también identificó un paquete npm malicioso vinculado a la campaña denominada «eslint-validator» que recupera y ejecuta una carga útil ofuscada desde una URL de Google Drive. La carga útil en cuestión es un conocido malware de JavaScript denominado BeaverTail.

Además, se descubrió que una tarea maliciosa de VS Code incrustada en un repositorio de GitHub inicia una cadena de infección exclusiva para Windows que ejecuta un script por lotes para descargar el tiempo de ejecución de Node.js en el host (si no existe) y aprovechar el programa certutil para analizar un bloque de código contenido en el script. A continuación, el script decodificado se ejecuta con el tiempo de ejecución de Node.js obtenido anteriormente para implementar un malware de Python protegido con PyArmor.

La empresa de ciberseguridad Red Asgard, que también ha sido extensamente rastreando el campaña , dijo los actores de amenazas han aprovechado proyectos de código VS diseñados que utilizan el disparador RunOn: «FolderOpen» para implementar malware que, a su vez, consulta la cadena de bloques Polygon para recuperar el JavaScript almacenado en un contrato de NFT para mejorar la resiliencia. La última carga útil es un ladrón de información que recopila credenciales y datos de navegadores web, carteras de criptomonedas y gestores de contraseñas.

Distribución de la infraestructura de preparación utilizada por los actores de amenazas norcoreanos en 2025

«Esta campaña dirigida a desarrolladores muestra cómo un 'proyecto de entrevistas' con el tema de la contratación puede convertirse rápidamente en una vía fiable para la ejecución remota de código al combinarse con los flujos de trabajo rutinarios de los desarrolladores, como abrir un repositorio, ejecutar un servidor de desarrollo o iniciar un backend», concluye Microsoft.

Para contrarrestar la amenaza, la empresa recomienda que las organizaciones refuercen los límites de confianza en el flujo de trabajo de los desarrolladores, impongan una autenticación sólida y un acceso condicional, mantengan una estricta higiene de las credenciales, apliquen el principio de privilegios mínimos a las cuentas de los desarrolladores y creen identidades, y construyan la infraestructura por separado cuando sea posible.

El desarrollo se produce cuando GitLab dijo que prohibió 131 cuentas únicas que se dedicaban a distribuir códigos maliciosos, proyectos vinculados a la campaña Contagious Interview y al fraudulento plan de trabajadores de TI conocido como Mole salarial .

«Los actores de amenazas solían provenir de las VPN de los consumidores cuando interactuaban con Gitlab.com para distribuir malware; sin embargo, también se originaban de forma intermitente en una infraestructura de VPS dedicada y, probablemente, en direcciones IP de granjas de ordenadores portátiles», dijo Oliver Smith, de GitLab dijo . «Los actores de amenazas crearon cuentas con direcciones de correo electrónico de Gmail en casi el 90% de los casos».

enlaces

En más del 80% de los casos, según la plataforma de desarrollo de software, se dice que los actores de amenazas han aprovechado al menos seis servicios legítimos para alojar cargas de malware, incluidos JSON Keeper, Mockie, npoint.io, Render, Railway.app y Vercel. Entre ellos, Vercel fue el más utilizado, y los actores de amenazas confiaron en la plataforma de desarrollo web nada menos que 49 veces en 2025.

«En diciembre, observamos un grupo de proyectos que ejecutaban malware mediante tareas de VS Code, ya sea canalizando contenido remoto a un shell nativo o ejecutando un script personalizado para decodificar el malware a partir de datos binarios en un archivo de fuente falso», añadió Smith, corroborando los hallazgos de Microsoft antes mencionados.

Organigrama evaluado de la célula de trabajadores de TI de Corea del Norte

GitLab también descubrió un proyecto privado «casi con toda seguridad» controlado por un ciudadano norcoreano que administraba un Célula de trabajadores de TI de Corea del Norte que contenía registros financieros y de personal detallados que mostraban ganancias de más de 1,64 millones de dólares entre el primer trimestre de 2022 y el tercer trimestre de 2025. El proyecto incluyó más de 120 hojas de cálculo, presentaciones y documentos que hacían un seguimiento del rendimiento trimestral de los ingresos de los distintos miembros del equipo.

«Los registros demuestran que estas operaciones funcionan como empresas estructuradas con objetivos y procedimientos operativos definidos y una estrecha supervisión jerárquica», señaló GitLab. «La capacidad demostrada de esta célula para cultivar facilitadores a nivel mundial proporciona un alto grado de resiliencia operativa y flexibilidad para el lavado de dinero».

Una cuenta de GitHub asociada a un trabajador de TI norcoreano

En un informe publicado a principios de este mes, Okta dijo que la «gran mayoría» de las entrevistas con Trabajadores de TI no pasan a una segunda entrevista u oferta de trabajo, pero señalaron que están «aprendiendo de sus errores» y que un gran número de ellos buscan trabajo por contrato temporal como desarrolladores de software contratados por empresas de terceros para aprovechar el hecho de que es poco probable que hagan verificaciones de antecedentes rigurosas.

«Sin embargo, algunos actores parecen ser más competentes a la hora de crear personajes y pasar las entrevistas de proyección», dice adicional . Está en juego una especie de selección natural de los trabajadores de TI. Los actores más exitosos son muy prolíficos y han programado cientos de entrevistas cada uno».

¿Te ha parecido interesante este artículo? Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.