Los actores de amenazas norcoreanos asociados con el espléndido plazo Entrevista contagiosa Se ha observado que esta campaña utiliza proyectos maliciosos de Microsoft Visual Studio Code (VS Code) como señuelo para rajar una puerta trasera en los puntos finales comprometidos.
El zaguero hallazgo demuestra la desarrollo continua de la nueva táctica que se descubrió por primera vez en diciembre de 2025, dijo Jamf Threat Labs.
“Esta actividad implicó el despliegue de un implante de puerta trasera que proporciona capacidades de ejecución remota de código en el sistema víctima”, dijo el investigador de seguridad Thijs Xhaflaire en un referencia compartido con The Hacker News.
El ataque, revelado por primera vez por OpenSourceMalware el mes pasado, consiste esencialmente en instruir a posibles objetivos para que clonen un repositorio en GitHub, GitLab o Bitbucket y lancen el plan en VS Code como parte de una supuesta evaluación del trabajo.
El objetivo final de estos esfuerzos es aprovecharse de los archivos de configuración de tareas de VS Code para ejecutar cargas maliciosas organizadas en dominios de Vercel, según el sistema activo del host infectado. La tarea está configurada de forma que se ejecuta cada vez que ese archivo o cualquier otro archivo en la carpeta del plan se abre en VS Code configurando la opción “runOn: carpetaAbrir”. En última instancia, esto conduce al despliegue de BeaverTail e InvisibleFerret.
Se ha descubierto que las iteraciones posteriores de la campaña ocultan sofisticados droppers de múltiples etapas en los archivos de configuración de tareas al disfrazar el malware como diccionarios de corrección ortográfica inofensivos como mecanismo alterno en caso de que la tarea no pueda recuperar la carga útil del dominio Vercel.
Como ayer, el JavaScript ofuscado incrustado en estos archivos se ejecuta tan pronto como la víctima abre el plan en el entorno de explicación integrado (IDE). Establece comunicación con un servidor remoto (“ip-regions-check.vercel(.)app”) y ejecuta cualquier código JavaScript recibido de él. La etapa final entregada como parte del ataque es otro JavaScript muy ofuscado.
Jamf dijo que descubrió otro cambio en esta campaña, en el que los actores de amenazas utilizaron un método de infección previamente no documentado para ofrecer una puerta trasera que ofrece capacidades de ejecución remota de código en el host comprometido. El punto de partida de la dependencia de ataque no es diferente ya que se activa cuando la víctima clona y abre un repositorio Git sagaz usando VS Code.
“Cuando se abre el plan, Visual Studio Code solicita al sucesor que confíe en el autor del repositorio”, explicó Xhaflaire. “Si se otorga esa confianza, la aplicación procesa automáticamente el archivo de configuración task.json del repositorio, lo que puede resultar en la ejecución de comandos arbitrarios incrustados en el sistema”.
“En los sistemas macOS, esto da como resultado la ejecución de un comando de shell en segundo plano que usa nohup bash -c en combinación con curl -s para recuperar una carga útil de JavaScript de forma remota y canalizarla directamente al tiempo de ejecución de Node.js. Esto permite que la ejecución continúe de forma independiente si el proceso de Visual Studio Code finaliza, mientras se suprime toda la salida del comando”.
La carga útil de JavaScript, alojada en Vercel, contiene la dialéctica de puerta trasera principal para establecer un rizo de ejecución persistente que recopila información básica del host y se comunica con un servidor remoto para favorecer la ejecución remota de código, la toma de huellas digitales del sistema y la comunicación continua.
En un caso, la empresa de dirección de dispositivos Apple dijo que observó que se ejecutaban más instrucciones de JavaScript aproximadamente ocho minutos posteriormente de la infección auténtico. El JavaScript recién descargado está diseñado para cursar una señal al servidor cada cinco segundos, ejecutar JavaScript adicional y borrar rastros de su actividad al admitir una señal del cámara. Se sospecha que el argumento pudo sobrevenir sido generado utilizando una útil de inteligencia químico (IA) oportuno a la presencia de comentarios y frases en hilera en el código fuente.
Se sabe que los actores de amenazas con vínculos con la República Popular Democrática de Corea (RPDC) persiguen específicamente a los ingenieros de software, en particular aquellos que trabajan en los sectores de criptomonedas, blockchain y fintech, ya que a menudo tienden a tener acercamiento privilegiado a activos financieros, billeteras digitales e infraestructura técnica.
Comprometer sus cuentas y sistemas podría permitir a los atacantes acercamiento no calificado al código fuente, propiedad intelectual, sistemas internos y desvío de activos digitales. Estos cambios constantes en sus tácticas se consideran un esfuerzo por conseguir más éxito en sus objetivos financieros y de ciberespionaje para apoyar al régimen fuertemente sancionado.
El explicación se produce cuando Red Asgard detalló su investigación sobre un repositorio sagaz que se descubrió que utiliza una configuración de tarea de VS Code para recuperar JavaScript ofuscado diseñado para colocar una puerta trasera con todas las funciones señal Tsunami (todavía conocida como TsunamiKit) adyacente con un minero de criptomonedas XMRig.
Otro observación de Security Alliance la semana pasada todavía expuso el atropello de las tareas de VS Code por parte de la campaña en un ataque en el que se acercó a una víctima no especificada en LinkedIn, con los actores de la amenaza afirmando ser el director de tecnología de un plan llamado Meta2140 y compartiendo un Notion(.), por lo que el enlace contiene una evaluación técnica y una URL a un repositorio de Bitbucket que aloja el código sagaz.
Curiosamente, la dependencia de ataque está diseñada para apelar a otros dos métodos: instalar una dependencia npm maliciosa señal “grayavatar” o ejecutar código JavaScript que es responsable de recuperar un sofisticado compensador Node.js, que, a su vez, ejecuta cinco módulos distintos para registrar pulsaciones de teclas, tomar capturas de pantalla, escanear el directorio de inicio del sistema en sondeo de archivos confidenciales, sustituir direcciones de billetera copiadas en el portapapeles, credenciales de navegadores web y establecer una conexión persistente a un servidor remoto.
Luego, el malware procede a configurar un entorno Python paralelo utilizando un script stager que permite la colección de datos, la cuna de criptomonedas mediante XMRig, el registro de teclas y la implementación de AnyDesk para acercamiento remoto. Vale la pena señalar que las capas de Node.js y Python se denominan BeaverTail e InvisibleFerret, respectivamente.
Estos hallazgos indican que los actores patrocinados por el estado están experimentando con múltiples métodos de ejecución en conjunto para aumentar la probabilidad de éxito de sus ataques.
“Esta actividad destaca la desarrollo continua de los actores de amenazas vinculados a la RPDC, que adaptan constantemente sus herramientas y mecanismos de entrega para integrarse con los flujos de trabajo legítimos de los desarrolladores”, dijo Jamf. “El atropello de los archivos de configuración de tareas de Visual Studio Code y la ejecución de Node.js demuestra cómo estas técnicas continúan evolucionando adyacente con las herramientas de explicación comúnmente utilizadas”.
