La persistente campaña vinculada a Corea del Norte conocida como Entrevista contagiosa ha extendido sus tentáculos publicando paquetes maliciosos dirigidos a los ecosistemas Go, Rust y PHP.

«Los paquetes del actor de amenazas fueron diseñados para hacerse pasar por herramientas de desarrollador legítimas. […]mientras funcionan silenciosamente como cargadores de malware, extendiendo el manual establecido de Contagious Interview a una operación coordinada de cadena de suministro entre ecosistemas», dijo el investigador de seguridad de Socket Kirill Boychenko. dicho en un informe del martes.

La lista completa de paquetes identificados es la siguiente:

• npm: dev-log-core, logger-base, logkitx, pino-debugger, debug-fmt, debug-glitz
• PyPI: logutilkit, apachelicense, fluxhttp, licencia-utils-kit
• Ir: github[.]es/golangorg/formstash, github[.]es/aokisasakidev/mit-license-pkg
• Óxido: rastro log
• Empaquetador: golangorg/logkit

Estos cargadores están diseñados para recuperar cargas útiles de segunda etapa específicas de la plataforma, que resultan ser una pieza de malware con capacidades de robo de información y troyano de acceso remoto (RAT). Se centra principalmente en recopilar datos de navegadores web, administradores de contraseñas y billeteras de criptomonedas.

Sin embargo, una versión de Windows del malware entregada a través de «license-utils-kit» incorpora lo que Socket describe como un «implante completo posterior al compromiso» que está equipado para ejecutar comandos de shell, registrar pulsaciones de teclas, robar datos del navegador, cargar archivos, cerrar navegadores web, implementar AnyDesk para acceso remoto, crear un archivo cifrado y descargar módulos adicionales.

«Eso hace que este grupo sea notable no sólo por su alcance en todos los ecosistemas, sino también por la profundidad de la funcionalidad posterior al compromiso incorporada en al menos parte de la campaña», añadió Boychenko.

Lo que hace que el último conjunto de bibliotecas sea digno de mención es que el código malicioso no se activa durante la instalación, sino que está integrado en funciones aparentemente legítimas que se alinean con el propósito anunciado del paquete. Por ejemplo, en el caso de «logtrace», el código está oculto dentro de «Logger::trace(i32)», un método que probablemente no despertará sospechas en un desarrollador.

La expansión de Contagious Interview en cinco ecosistemas de código abierto es una señal más de que la campaña es una amenaza persistente a la cadena de suministro con buenos recursos y diseñada para infiltrarse sistemáticamente en estas plataformas como vías de acceso inicial para violar los entornos de los desarrolladores con fines de espionaje y ganancias financieras.

En total, Socket dijo que ha identificado más de 1.700 paquetes maliciosos vinculado a la actividad desde principios de enero de 2025.

El descubrimiento es parte de una campaña más amplia de compromiso de la cadena de suministro de software emprendida por grupos de hackers norcoreanos. Esto incluye el envenenamiento del popular paquete npm de Axios para distribuir un implante llamado WAVESHAPER.V2 después de tomar el control de la cuenta npm del mantenedor del paquete a través de una campaña de ingeniería social personalizada.

El ataque se ha atribuido a un actor de amenazas con motivación financiera conocido como UNC1069, que se superpone con BlueNoroff, Sapphire Sleet y Stardust Chollima. Security Alliance (SEAL), en un informe publicado hoy, dijo que bloqueó 164 dominios vinculados a UNC1069 que se hacían pasar por servicios como Microsoft Teams y Zoom entre el 6 de febrero y el 7 de abril de 2026.

«UNC1069 opera campañas de ingeniería social de baja presión durante varias semanas en Telegram, LinkedIn y Slack, ya sea haciéndose pasar por contactos conocidos o marcas creíbles o aprovechando el acceso a cuentas individuales y de empresas previamente comprometidas, antes de entregar un enlace fraudulento a una reunión de Zoom o Microsoft Teams», SEAL dicho.

Estos enlaces de reuniones falsos se utilizan para servir señuelos similares a ClickFix, lo que resulta en la ejecución de malware que contacta a un servidor controlado por un atacante para robar datos y realizar actividades posteriores a la explotación dirigidas en Windows, macOS y Linux.

«Los operadores deliberadamente no actúan inmediatamente después del acceso inicial. El implante queda inactivo o pasivo durante un período después del compromiso», añadió SEAL. «El objetivo normalmente reprograma la llamada fallida y continúa con las operaciones normales, sin darse cuenta de que el dispositivo está comprometido. Esta paciencia extiende la ventana operativa y maximiza el valor extraído antes de que se active cualquier respuesta al incidente».

En una declaración compartida con The Hacker News, Microsoft dijo que los actores de amenazas norcoreanos con fines financieros están evolucionando activamente su conjunto de herramientas e infraestructura, utilizando dominios que se hacen pasar por instituciones financieras con sede en EE. UU. y aplicaciones de videoconferencia para ingeniería social.

«Lo que estamos viendo constantemente es una evolución continua en la forma en que operan los actores motivados financieramente y vinculados a la RPDC, cambios en las herramientas, la infraestructura y los objetivos, pero con una clara continuidad en el comportamiento y la intención», dijo Sherrod DeGrippo, gerente general de inteligencia de amenazas de Microsoft.

Se ha descubierto que tres campañas diferentes de ClickFix actúan como vector de entrega para la implementación de un ladrón de información de macOS llamado MacSync.

«A diferencia de los ataques tradicionales basados ​​en exploits, este método se basa completamente en la interacción del usuario, generalmente en forma de copia y ejecución de comandos, lo que lo hace particularmente efectivo contra usuarios que pueden no apreciar las implicaciones de ejecutar comandos de terminal desconocidos y ofuscados», afirman los investigadores de Sophos Jagadeesh Chandraiah, Tonmoy Jitu, Dmitry Samosseiko y Matt Wixey. dicho.

Actualmente no se sabe si las campañas son obra del mismo actor de amenazas. Jamf Threat Labs también señaló el uso de señuelos ClickFix para distribuir el malware en diciembre de 2025. Los detalles de las tres campañas son los siguientes:

• Noviembre de 2025: una campaña que utilizó el navegador OpenAI Atlas como cebo, entregada a través de resultados de búsqueda patrocinados en Google, para dirigir a los usuarios a una URL falsa de Google Sites con un botón de descarga que, al hacer clic, mostraba instrucciones para abrir la aplicación Terminal y pegarle un comando. Esta acción descargó un script de shell, que solicita al usuario que ingrese la contraseña del sistema y ejecuta MacSync con permisos de nivel de usuario.
• Diciembre de 2025: A campaña de publicidad maliciosa que aprovechó enlaces patrocinados vinculados a búsquedas de consultas como «cómo limpiar tu Mac» en Google para llevar a los usuarios a conversaciones compartidas en el sitio legítimo OpenAI ChatGPT para dar la impresión de que los enlaces eran seguros. Las conversaciones de ChatGPT redireccionaban a las víctimas a páginas de inicio maliciosas con temas de GitHub que engañaban a los usuarios para que ejecutaran comandos maliciosos en la aplicación Terminal.
• Febrero de 2026: una campaña dirigida a Bélgica, India y partes de América del Norte y del Sur que distribuyó una nueva variante de MacSync entregada a través de señuelos ClickFix. La última versión admite cargas útiles dinámicas de AppleScript y ejecución en memoria para evadir el análisis estático, evitar detecciones de comportamiento y complicar la respuesta a incidentes.

El script de shell que se inicia después de ejecutar el comando Terminal está diseñado para contactar a un servidor codificado y recuperar la carga útil del ladrón de información AppleScript, al mismo tiempo que toma medidas para eliminar evidencia de robo de datos. El ladrón está equipado para recopilar una amplia gama de datos de hosts comprometidos, incluida la exfiltración de credenciales, archivos, bases de datos de llaveros y frases iniciales de billeteras de criptomonedas.

Los últimos hallazgos sugieren que los actores de amenazas están adaptando la fórmula para estar un paso por delante de las herramientas de seguridad, mientras utilizan como arma la confianza asociada con las conversaciones ChatGPT para convencer a los usuarios de que ejecuten comandos maliciosos.

La nueva variante observada en la campaña más reciente «probablemente representa que el desarrollador de malware se ajusta al sistema operativo y a las medidas de seguridad del software para mantener la efectividad», dijo Sophos. «Por lo tanto, las mejoras en las tácticas típicas de ingeniería social de ClickFix son una forma en que este tipo de campañas pueden seguir evolucionando en el futuro».

En los últimos meses, las campañas de ClickFix han utilizado plataformas legítimas como Cloudflare Pages (pages.dev), Squarespace y Tencent EdgeOne para albergar instrucciones falsas para instalar herramientas de desarrollo como Claude Code de Anthropic. Las URL se distribuyen a través de anuncios maliciosos en motores de búsqueda.

Las instrucciones, como antes, engañan a las víctimas haciéndoles instalar malware de robo de información como Amatera Stealer en su lugar. El ataque de ingeniería social tiene un nombre en clave InstalarReparar o GoogleReparar. Según Nati Tal, directora de Guardio Labs, cadenas de infección similares conducen a la implementación de Alien infostealer en Windows y Atomic Stealer en macOS.

El comando de PowerShell ejecutado después de pegar y ejecutar el supuesto comando de instalación de Claude Code recupera un paquete de extensión de Chrome legítimo dentro de un archivo de aplicación HTML (HTA) malicioso, que luego inicia un cargador .NET ofuscado para Alien en la memoria, según Tal.

«Mientras que los ataques tradicionales de ClickFix necesitan crear una razón para que el usuario ejecute un comando: un CAPTCHA falso, un mensaje de error inventado, un aviso del sistema falso, InstallFix no necesita nada de eso», dijo Push Security. «El pretexto es simplemente que el usuario quiere instalar software legítimo».

Según Pillar Security, ha habido al menos 20 campañas de malware distintas dirigidas a inteligencia artificial (IA) y herramientas de codificación de vibraciones entre febrero y marzo de 2026. Estas incluyen editores de código, agentes de IA, plataformas de modelos de lenguaje grandes (LLM), extensiones de navegador con tecnología de IA, generadores de video de IA y herramientas comerciales de IA. De estos, se ha descubierto que nueve se dirigen tanto a Windows como a macOS, y otros siete afectan exclusivamente a los usuarios de macOS.

«La razón es clara: los usuarios de herramientas de codificación AI/vibe se inclinan en gran medida hacia macOS, y los usuarios de macOS tienden a tener credenciales de mayor valor (claves SSH, tokens de nube, billeteras de criptomonedas)», Eilon Cohen, investigador de Pillar Security dicho.

«La técnica ClickFix/InstallFix (engañar a los usuarios para que peguen comandos en la Terminal) es excepcionalmente efectiva contra los desarrolladores porque curl | sh es un patrón de instalación legítimo. Homebrew, Rust, nvm y muchas otras herramientas de desarrollo usan este patrón exacto. Los comandos maliciosos se esconden a plena vista».

No hace falta decir que la ventaja que plantea ClickFix (y sus variantes) ha llevado a que múltiples actores y grupos de amenazas adopten la táctica. Esto incluye un sistema de distribución de tráfico malicioso (TDS) llamado KongTuke (también conocido como 404 TDS, Chaya_002, LandUpdate808 y TAG-124), que utiliza sitios web de WordPress comprometidos y señuelos CAPTCHA falsos para entregar un troyano basado en Python llamado ModeloRAT.

Los atacantes inyectan JavaScript malicioso en sitios web legítimos de WordPress que solicitan a los usuarios que ejecuten un comando de PowerShell responsable de iniciar un proceso de infección de varias etapas para implementar el troyano.

«El grupo continúa utilizando este método junto con la nueva técnica CrashFix, que engaña a los usuarios para que instalen una extensión de navegador maliciosa para iniciar la infección», dijo Trend Micro. «El malware comprueba específicamente si un sistema es parte de un dominio corporativo e identifica las herramientas de seguridad instaladas antes de continuar, lo que sugiere centrarse en entornos empresariales en lugar de infecciones oportunistas».

Eso no es todo. También se han realizado campañas de KongTuke. manchado utilizando registros DNS TXT en su script ClickFix. Estos registros TXT de DNS presentan un comando para recuperar y ejecutar un script de PowerShell.

Otros ataques de secuestro de pasta estilo ClickFix que se han detectado en la naturaleza se enumeran a continuación:

• Usando sitios web comprometidos para mostrar señuelos para páginas ClickFix que imiten el mensaje «¡Aw Snap!» de Google. errores o actualizaciones del navegador para distribuir droppers, descargadores y extensiones de navegador maliciosas.
• Usando Señuelos ClickFix servido a través de enlaces de publicidad maliciosa/phishing para dirigir a los usuarios a páginas maliciosas que conducen a la implementación de Remcos RAT.
• Usando un señuelo de verificación CAPTCHA falso en un sitio web falso que promociona una estafa de lanzamiento aéreo de $TEMU para desencadenar la ejecución de un comando de PowerShell que ejecuta código Python arbitrario recuperado de un servidor.
• Usando un Publicidad falsa en sitios web CleanMyMac para engañar a los usuarios para que ejecuten un comando de Terminal malicioso para implementar un ladrón de macOS llamado SHub Stealer y billeteras de criptomonedas de puerta trasera como Exodus, Atomic Wallet, Ledger Wallet y Ledger Live para robar las frases iniciales.
• Usando un señuelo de verificación CAPTCHA falso en sitios web comprometidos para ejecutar un script de PowerShell que entrega un cuentagotas MSI, que luego instala el tiempo de ejecución de JavaScript de Deno para ejecutar código ofuscado que finalmente instala CastleRAT en la memoria mediante un cargador de Python llamado CastleLoader.

En un informe publicado la semana pasada, Rapid7 reveló que los sitios web de WordPress de alta confianza están siendo comprometidos como parte de una campaña generalizada y en curso diseñada para inyectar un implante ClickFix que se hace pasar por un desafío de verificación humana de Cloudflare. La actividad está activa desde diciembre de 2025.

Se han identificado más de 250 sitios web infectados en al menos 12 países, incluidos Australia, Brasil, Canadá, Chequia, Alemania, India, Israel, Singapur, Eslovaquia, Suiza, el Reino Unido y Estados Unidos. Los sitios web han sido identificados como medios de comunicación regionales y empresas locales.

El objetivo final de estos señuelos es comprometer los sistemas Windows con diferentes familias de malware ladrón: Ladrón StealCuna versión mejorada de Vidar Stealer, un ladrón de .NET denominado Impure Stealer y un ladrón de C++ denominado VodkaStealer. Los datos robados pueden actuar como plataforma de lanzamiento para robos financieros o ataques posteriores.

Actualmente se desconoce el método exacto mediante el cual se piratean los sitios de WordPress. Sin embargo, se sospecha que implica la explotación de fallas de seguridad reveladas recientemente en complementos y temas de WordPress, credenciales de administrador previamente robadas o interfaces de administración de wp de acceso público.

Para contrarrestar la amenaza, se recomienda a los administradores de sitios que mantengan sus sitios actualizados, utilicen contraseñas seguras para el acceso administrativo, configuren la autenticación de dos factores (2FA) y busquen cuentas de administrador sospechosas.

«La mejor defensa para las personas que navegan por la web es ser cautelosos, mantener una mentalidad de confianza cero, utilizar software de seguridad confiable y mantenerse actualizados con las últimas tácticas de phishing y ClickFix utilizadas por actores maliciosos», dijo Rapid7. «Una conclusión importante de este informe debería ser que incluso los sitios web confiables pueden verse comprometidos y utilizados como armas contra visitantes desprevenidos».

Los actores de amenazas están atrayendo a usuarios desprevenidos para que ejecuten utilidades de juegos troyanizadas que se distribuyen a través de navegadores y plataformas de chat para distribuir un troyano de acceso remoto (RAT).

«Un descargador malicioso organizó un tiempo de ejecución de Java portátil y ejecutó un archivo Java (JAR) malicioso llamado jd-gui.jar», informó el equipo de Microsoft Threat Intelligence. dicho en una publicación en X. «Este descargador usó PowerShell y binarios que viven de la tierra (LOLBins) como cmstp.exe para una ejecución sigilosa».

La cadena de ataque también está diseñada para evadir la detección eliminando el descargador inicial y configurando exclusiones de Microsoft Defender para los componentes RAT.

La persistencia se logra mediante una tarea programada y un script de inicio de Windows llamado «world.vbs», antes de que se implemente la carga útil final en el host comprometido. El malware, según Microsoft, es un «malware multipropósito» que actúa como cargador, ejecutor, descargador y RAT.

Una vez iniciado, se conecta a un servidor externo en «79.110.49[.]15» para comunicaciones de comando y control (C2), lo que le permite filtrar datos y desplegar cargas útiles adicionales.

Como forma de defenderse contra la amenaza, se recomienda a los usuarios que auditen las exclusiones y tareas programadas de Microsoft Defender, eliminen tareas maliciosas y scripts de inicio, aíslen los puntos finales afectados y restablezcan las credenciales de los usuarios activos en hosts comprometidos.

La divulgación se produce cuando BlackFog reveló detalles de una nueva familia de malware RAT para Windows llamada Steaelite que se anunció por primera vez en foros criminales en noviembre de 2025 como el «mejor RAT para Windows» con capacidades «totalmente indetectables» (FUD). Es compatible tanto con Windows 10 como con 11.

A diferencia de otros RAT disponibles en el mercado vendidos a actores criminales, Steaelite agrupa el robo de datos y el ransomware, empaquetándolos en un panel web, con un módulo de ransomware para Android en camino. El panel también incorpora varias herramientas de desarrollador para facilitar el registro de teclas, el chat de cliente a víctima, la búsqueda de archivos, la distribución por USB, la modificación del fondo de pantalla, la omisión de UAC y la funcionalidad de clipper.

Otras características notables incluyen la eliminación de malware de la competencia, la desactivación de Microsoft Defender o la configuración de exclusiones y la instalación de métodos de persistencia.

En cuanto a sus capacidades principales, Steaelite RAT admite ejecución remota de código, administración de archivos, transmisión en vivo, acceso a cámara web y micrófono, administración de procesos, monitoreo del portapapeles, robo de contraseñas, enumeración de programas instalados, seguimiento de ubicación, ejecución de archivos arbitrarios, apertura de URL, ataques DDoS y compilación de carga útil VB.NET.

«La herramienta brinda a los operadores control basado en navegador sobre máquinas Windows infectadas, que cubre la ejecución remota de código, robo de credenciales, vigilancia en vivo, exfiltración de archivos e implementación de ransomware desde un solo panel», dijo la investigadora de seguridad Wendy McCague. dicho.

«Un único actor de amenazas puede explorar archivos, extraer documentos, recopilar credenciales e implementar ransomware desde el mismo panel. Esto permite una doble extorsión completa desde una sola herramienta».

En las últimas semanas, los cazadores de amenazas también han descubierto dos nuevas familias de RAT rastreadas como DesckVB RAT y KazakRAT que permiten un control remoto integral sobre los hosts infectados e incluso implementan capacidades de forma selectiva después del compromiso. Según Ctrl Alt Intel, se sospecha que KazakRAT es obra de un grupo sospechoso de estar afiliado al estado que tiene como objetivo entidades kazajas y afganas como parte de una campaña persistente en curso desde al menos agosto de 2022.