Los actores de amenazas norcoreanos detrás de la campaña Contagious Interview, también rastreada como WaterPlum, han sido atribuidos a una familia de malware rastreada como ArmiñoWaffle que se distribuye a través de proyectos maliciosos de Microsoft Visual Studio Code (VS Code).
El uso de VS Code «tasks.json» para distribuir malware es una táctica relativamente nueva adoptada por el actor de amenazas desde diciembre de 2025, y los ataques aprovechan la opción «runOn: folderOpen» para activar automáticamente su ejecución cada vez que se abre cualquier archivo en la carpeta del proyecto en VS Code.
«Esta tarea está configurada para descargar datos de una aplicación web en Vercel independientemente del sistema operativo (sistema operativo) que se ejecute», dijo NTT Security en un informe publicado la semana pasada. «Aunque en este artículo asumimos que el sistema operativo que lo ejecuta es Windows, los comportamientos esenciales son los mismos para cualquier sistema operativo».
La carga útil descargada primero verifica si Node.js está instalado en el entorno de ejecución. Si no está, el malware descarga Node.js del sitio web oficial y lo instala. Posteriormente, procede a iniciar un descargador, que sondea periódicamente un servidor externo para buscar un descargador de la siguiente etapa que muestra un comportamiento idéntico al comunicarse con otro punto final en el mismo servidor y ejecutar la respuesta recibida como código Node.js.
Se ha descubierto que StoatWaffle ofrece dos módulos diferentes:
- Un ladrón que captura credenciales y datos de extensiones almacenados en navegadores web (navegadores basados en Chromium y Mozilla Firefox) y los carga en un servidor de comando y control (C2). Si el sistema comprometido se ejecuta en macOS, también roba la base de datos de iCloud Keychain.
- Un troyano de acceso remoto (RAT) que se comunica con el servidor C2 para buscar y ejecutar comandos en el host infectado. Los comandos permiten que el malware cambie el directorio de trabajo actual, enumere archivos y directorios, ejecute código Node.js, cargue archivos, busque recursivamente en el directorio dado y enumere o cargue archivos que coincidan con una determinada palabra clave, ejecute comandos de shell y finalice.
«StoatWaffle es un malware modular implementado por Node.js y tiene módulos Stealer y RAT», dijo el proveedor de seguridad japonés. «WaterPlum desarrolla continuamente nuevo malware y actualiza los existentes».
El desarrollo coincide con varias campañas montadas por el actor de amenazas dirigidas al ecosistema de código abierto:
- Un conjunto de paquetes npm maliciosos que distribuyen el malware PylangGhost, lo que marca la primera vez que el malware se propaga a través de paquetes npm.
- Una campaña conocida como PolinRider ha implantado una carga útil maliciosa de JavaScript ofuscada en cientos de repositorios públicos de GitHub que culmina con la implementación de una nueva versión de BeaverTail, un conocido malware ladrón y descargador atribuido a Contagious Interview.
- Entre los compromisos se encuentran cuatro repositorios pertenecientes a la organización Neutralinojs GitHub. Se dice que el ataque comprometió la cuenta de GitHub de un colaborador de neutralinojs desde hace mucho tiempo con acceso de escritura a nivel de organización para forzar el código JavaScript que recupera cargas útiles cifradas en transacciones de Tron, Aptos y Binance Smart Chain (BSC) para descargar y ejecutar BeaverTail. Se cree que las víctimas fueron infectadas a través de una extensión maliciosa de VS Code o un paquete npm.
Microsoft, en un análisis de Contagious Interview de este mes, dijo que los actores de amenazas logran acceso inicial a los sistemas de los desarrolladores a través de «procesos de reclutamiento organizados de manera convincente» que reflejan entrevistas técnicas legítimas, y en última instancia persuaden a las víctimas para que ejecuten comandos o paquetes maliciosos alojados en GitHub, GitLab o Bitbucket como parte de la evaluación.
En algunos casos, los objetivos se abordan a través de LinkedIn. Sin embargo, las personas elegidas para este ataque de ingeniería social no son desarrolladores junior, sino fundadores, CTO e ingenieros senior en el sector de criptomonedas o Web3, quienes probablemente tengan un acceso elevado a la infraestructura tecnológica y a las billeteras de criptomonedas de la empresa. En un incidente reciente, los atacantes atacaron sin éxito al fundador de AllSecure.io a través de una entrevista de trabajo falsa.
Algunas de las familias de malware clave implementadas como parte de estas cadenas de ataque incluyen OtterCookie (una puerta trasera capaz de robar datos en gran escala), InvisibleFerret (una puerta trasera basada en Python) y FlexibleFerret (una puerta trasera modular implementada tanto en Go como en Python). Si bien se sabe que InvisibleFerret generalmente se entrega a través de BeaverTail, se ha descubierto que intrusiones recientes distribuyen el malware como una carga útil de seguimiento, después de aprovechar el acceso inicial obtenido a través de OtterCookie.
Vale la pena mencionar aquí que FlexibleFerret también se conoce como WeaselStore. Sus variantes Go y Python reciben los nombres de GolangGhost y PylangGhost, respectivamente.
En una señal de que los actores de amenazas están refinando activamente su oficio, las mutaciones más recientes de los proyectos de VS Code han evitado los dominios basados en Vercel para que los scripts alojados en GitHub Gist descarguen y ejecuten cargas útiles de la siguiente etapa que, en última instancia, conducen a la implementación de FlexibleFerret. Estos proyectos de VS Code se organizan en GitHub.
«Al incorporar la entrega de malware dirigido directamente en herramientas de entrevistas, ejercicios de codificación y flujos de trabajo de evaluación en los que los desarrolladores confían inherentemente, los actores de amenazas explotan la confianza que los solicitantes de empleo depositan en el proceso de contratación durante períodos de alta motivación y presión de tiempo, lo que reduce la sospecha y la resistencia», dijo el gigante tecnológico.
En respuesta al abuso continuo de VS Code Tasks, Microsoft ha incluido una mitigación en la actualización de enero de 2026 (versión 1.109) que introduce una nueva configuración «task.allowAutomaticTasks», que de forma predeterminada está «desactivada» para mejorar la seguridad y evitar la ejecución no deseada de tareas definidas en «tasks.json» al abrir un espacio de trabajo.
«La actualización también evita que la configuración se defina a nivel del espacio de trabajo, por lo que los repositorios maliciosos con su propio archivo .vscode/settings.json no deberían poder anular la configuración (global) del usuario», dijo Abstract Security.
«Esta versión y la reciente versión de febrero de 2026 (versión 1.110) también introducen un mensaje secundario que advierte al usuario cuando se detecta una tarea de ejecución automática en un espacio de trabajo recién abierto. Esto actúa como una protección adicional después de que un usuario acepta el mensaje de confianza en el espacio de trabajo».
En los últimos meses, los actores de amenazas norcoreanos también han estado participando en una campaña coordinada de malware dirigida a profesionales de las criptomonedas a través de ingeniería social de LinkedIn, empresas de capital de riesgo falsas y enlaces de videoconferencias fraudulentos. Los recursos compartidos de actividad se superponen con los grupos rastreados como GhostCall y UNC1069.
«La cadena de ataque culmina en una página CAPTCHA falsa estilo ClickFix que engaña a las víctimas para que ejecuten comandos inyectados en el portapapeles en su Terminal», dijo Moonlock Lab de MacPaw. «La campaña es multiplataforma por diseño y ofrece cargas útiles personalizadas tanto para macOS como para Windows».
Los hallazgos se producen cuando el Departamento de Justicia de Estados Unidos (DoJ) anunció la sentencia de tres hombres -Audricus Phagnasay, de 25 años, Jason Salazar, de 30, y Alexander Paul Travis, de 35- por su papel en la promoción del plan fraudulento de trabajadores de tecnología de la información (TI) de Corea del Norte, en violación de las sanciones internacionales. Los tres individuos se declararon culpables previamente en noviembre de 2025.
Phagnasay y Salazar fueron sentenciados a tres años de libertad condicional y una multa de 2.000 dólares. También se les ordenó renunciar a las ganancias ilícitas obtenidas al participar en la conspiración de fraude electrónico. Travis fue sentenciado a un año de prisión y se le ordenó perder 193.265 dólares, la cantidad ganada por los norcoreanos al usar su identidad.
«Estos hombres prácticamente dieron las llaves del reino en línea a probables trabajadores norcoreanos de tecnología en el extranjero que buscaban recaudar ingresos ilícitos para el gobierno de Corea del Norte, todo a cambio de lo que les parecía dinero fácil», dijo en un comunicado Margaret Heap, fiscal estadounidense para el Distrito Sur de Georgia.
La semana pasada, Flare e IBM X-Force publicaron una visión detallada de la operación de los trabajadores de TI y su estructura interna, al tiempo que destacan cómo los trabajadores de TI asisten a prestigiosas universidades en Corea del Norte y pasan por un riguroso proceso de entrevistas antes de unirse al plan.
Son «considerados miembros de élite de la sociedad norcoreana y se han convertido en una parte indispensable de los objetivos estratégicos generales del gobierno norcoreano», señalaron las empresas. «Estos objetivos incluyen, entre otros, generación de ingresos, actividad laboral remota, robo de información corporativa y patentada, extorsión y apoyo a otros grupos norcoreanos».