Cotización de descuento para licencias múltiples
Base de Datos de Amenazas Software malicioso Malware StoatWaffle

Malware StoatWaffle

Por Mezo en Software malicioso, Amenaza persistente avanzada (APT)
Traducir a:

Un grupo de amenazas norcoreanas, conocido como Contagious Interview o WaterPlum, se ha vinculado a una sofisticada familia de malware llamada StoatWaffle. Esta campaña ataca específicamente a los desarrolladores, utilizando proyectos maliciosos de Microsoft Visual Studio Code (VS Code) como arma, lo que indica una peligrosa evolución en los ataques a la cadena de suministro dentro del ecosistema de desarrollo de software.

El uso indebido de VS Code como arma: El abuso de tasks.json

Una innovación destacable en esta campaña es la explotación del archivo de configuración tasks.json de VS Code. Desde diciembre de 2025, los atacantes han aprovechado la configuración 'runOn: folderOpen' para ejecutar automáticamente tareas maliciosas cada vez que se abre una carpeta de proyecto.

Esta técnica garantiza una ejecución consistente sin necesidad de interacción explícita del usuario. La tarea maliciosa recupera las cargas útiles de una aplicación web remota alojada en Vercel, que opera independientemente del sistema operativo subyacente. Si bien los entornos de análisis suelen centrarse en Windows, la lógica del ataque se mantiene constante en todas las plataformas.

Entrega de carga útil en múltiples etapas mediante Node.js

Una vez ejecutado, el malware inicia un proceso de infección estructurado y en varias etapas:

  • La carga útil verifica si Node.js está instalado en el sistema anfitrión.
  • Si no está presente, Node.js se descarga desde su fuente oficial y se instala de forma silenciosa.
  • Se inicia un componente de descarga que se conecta periódicamente a un servidor remoto.
  • Este programa de descarga recupera cargas útiles adicionales, que se ejecutan como código Node.js y continúan la cadena de infección a través de etapas sucesivas.

Este enfoque por capas mejora la persistencia y dificulta la detección por parte de las herramientas de seguridad.

Dentro de StoatWaffle: Capacidades de malware modular

StoatWaffle está diseñado como un marco modular construido sobre Node.js, que permite el despliegue flexible de múltiples componentes maliciosos. Sus módulos principales incluyen:

Ladrón de credenciales : Extrae datos confidenciales de navegadores basados en Chromium y Mozilla Firefox, incluyendo credenciales guardadas y datos de extensiones. En sistemas macOS, también ataca la base de datos del llavero de iCloud. Todos los datos extraídos se envían a un servidor de comando y control (C2).
Troyano de acceso remoto (RAT) : Establece comunicación persistente con el servidor C2, lo que permite a los atacantes ejecutar comandos de forma remota. Sus capacidades incluyen la navegación del sistema de archivos, la ejecución de comandos, la carga de archivos, la búsqueda de archivos por palabras clave y la autodestrucción.
Ampliación de la superficie de ataque : Explotación del ecosistema de código abierto

Esta campaña se enmarca dentro de un patrón más amplio de ataques dirigidos a plataformas de código abierto y flujos de trabajo de desarrolladores. Entre las operaciones más destacadas se incluyen:

  • Distribución de PylangGhost, una puerta trasera basada en Python, a través de paquetes npm maliciosos, lo que supone su primera propagación observada a través de este canal.
  • La campaña PolinRider, que inyectó código JavaScript ofuscado en cientos de repositorios de GitHub, provocó el despliegue de una variante actualizada del malware BeaverTail.
  • Compromiso de los repositorios de la organización Neutralinojs en GitHub mediante el secuestro de una cuenta de colaborador con privilegios elevados. Se forzó la inserción de código malicioso para recuperar cargas útiles cifradas incrustadas en transacciones de blockchain en las redes Tron, Aptos y Binance Smart Chain.

En estos casos, las víctimas solían infectarse a través de extensiones de VS Code comprometidas o paquetes npm maliciosos.

Tácticas de ingeniería social: entrevistas falsas y ataques dirigidos a desarrolladores

El acceso inicial se suele conseguir mediante estafas de reclutamiento muy convincentes. Los atacantes simulan procesos legítimos de entrevistas técnicas y persuaden a las víctimas para que ejecuten código malicioso alojado en plataformas como GitHub, GitLab o Bitbucket.

La estrategia de ataque se centra en personas de alto valor, como fundadores, directores de tecnología (CTO) e ingenieros sénior en los sectores de criptomonedas y Web3. Estos puestos suelen proporcionar acceso a infraestructura crítica y activos digitales. En un caso documentado, se intentó un ataque contra el fundador de AllSecure.io mediante una simulación de entrevista de trabajo.

Para aumentar su credibilidad, los atacantes crean perfiles falsos de empresas en LinkedIn y mantienen cuentas de GitHub aparentemente legítimas. Otras técnicas incluyen el uso de ClickFix, un método de ingeniería social que disfraza la distribución de malware como tareas de evaluación de habilidades.

Objetivos estratégicos: Más allá del robo de criptomonedas

Si bien el robo de criptomonedas parece ser la principal motivación, la intención más amplia abarca la vulneración de la cadena de suministro y el espionaje corporativo. Al infiltrarse en los entornos de desarrollo, los atacantes obtienen oportunidades para propagar código malicioso en proyectos de software posteriores o acceder a datos confidenciales de la organización.

Reforzando la seguridad del código VS

En respuesta al uso indebido de las tareas de VS Code, Microsoft introdujo mejoras de seguridad cruciales:

  • La actualización de enero de 2026 (versión 1.109) introdujo la configuración task.allowAutomaticTasks, que está deshabilitada de forma predeterminada para evitar la ejecución automática de las tareas definidas en tasks.json.
  • Esta configuración no se puede anular a nivel de espacio de trabajo, lo que impide que los repositorios maliciosos eludan las preferencias de seguridad definidas por el usuario.
  • Las actualizaciones posteriores, incluida la versión 1.110 publicada en febrero de 2026, añadieron una advertencia secundaria cuando se detectan tareas de ejecución automática en espacios de trabajo recién abiertos, lo que refuerza la concienciación del usuario incluso después de que se haya concedido la confianza en el espacio de trabajo.

Conclusión: Una amenaza creciente para la seguridad de los desarrolladores.

La campaña StoatWaffle pone de manifiesto un cambio significativo en la estrategia de los atacantes, que ahora se centra en los entornos de desarrollo y los flujos de trabajo de confianza. Al combinar la explotación técnica con técnicas avanzadas de ingeniería social, los ciberdelincuentes siguen difuminando la línea entre la actividad legítima y la maliciosa, lo que subraya la necesidad de una mayor vigilancia a lo largo de todo el ciclo de vida del desarrollo de software.

Tendencias

Campaña de compromiso de la nube UNC4899

Amenaza persistente avanzada (APT)
Una sofisticada ciberintrusión ocurrida en 2025 se ha vinculado al actor de amenazas norcoreano UNC4899, un grupo sospechoso de orquestar una vulneración a gran escala de una organización de criptomonedas que resultó en el robo de millones de dólares en activos digitales. La campaña se ha atribuido con cierta certeza a este adversario patrocinado por el Estado, al que también se le rastrea bajo...

Estafa de factura de devolución de cargo por correo...

Suplantación de identidad (phishing), Correo basura
Los correos electrónicos inesperados, especialmente aquellos que instan a los destinatarios a revisar facturas, confirmar pagos o abrir archivos adjuntos, deben tratarse siempre con precaución. Los ciberdelincuentes suelen aprovecharse de la curiosidad y la urgencia para manipular a los usuarios y conseguir que revelen información confidencial. Un ejemplo es la estafa de correo electrónico de...

Mas Visto

Cargando...