Los investigadores de ciberseguridad han descubierto 36 paquetes maliciosos en el registro npm que están disfrazados de complementos de Strapi CMS pero vienen con diferentes cargas útiles para facilitar la explotación de Redis y PostgreSQL, implementar shells inversos, recopilar credenciales y colocar un implante persistente.

«Cada paquete contiene tres archivos (paquete.json, index.js, postinstall.js), no tiene descripción, repositorio ni página de inicio, y utiliza la versión 3.6.8 para aparecer como un complemento comunitario maduro de Strapi v3», SafeDep dicho.

Todos los paquetes npm identificados siguen la misma convención de nomenclatura, comenzando con «strapi-plugin-» y luego frases como «cron», «base de datos» o «servidor» para engañar a los desarrolladores desprevenidos para que los descarguen. Vale la pena señalar que los complementos oficiales de Strapi tienen su alcance en «@strapi/».

Los paquetes, subidos por cuatro cuentas de títeres de calcetines «umarbek1233», «kekylf12», «tikeqemif26» y «umar_bektembiev1» durante un período de 13 horas, se enumeran a continuación:

• strapi-plugin-cron
• strapi-plugin-config
• servidor-plugin-strapi
• base de datos-plugin-strapi
• strapi-plugin-núcleo
• ganchos-plugin-strapi
• monitor-plugin-strapi
• eventos-plugin-strapi
• registrador-plugin-strapi
• strapi-plugin-salud
• sincronización-plugin-strapi
• semilla-plugin-strapi
• correa-plugin-locale
• formulario-plugin-strapi
• strapi-plugin-notificar
• strapi-plugin-api
• strapi-plugin-sitemap-gen
• complemento-strapi-herramientas-nordicas
• strapi-plugin-nordica-sync
• strapi-plugin-nordica-cms
• complemento-strapi-nordica-api
• complemento-strapi-nordica-recon
• strapi-plugin-nordica-stage
• complemento-strapi-nordica-vhost
• complemento-strapi-nordica-deep
• complemento-strapi-nordica-lite
• complemento-strapi-nordica
• complemento-strapi-finseven
• strapi-plugin-hextest
• complemento-strapi-cms-herramientas
• strapi-plugin-sincronización-de-contenido
• herramientas-depuración-plugin-strapi
• control-de-estado-del-plugin-strapi
• strapi-plugin-guardarian-ext
• complemento-strapi-uuid-avanzado
• complemento-strapi-blurhash

Un análisis de los paquetes revela que el código malicioso está incrustado en el enlace del script postinstalación, que se ejecuta en «npm install» sin requerir ninguna interacción por parte del usuario. Se ejecuta con los mismos privilegios que los del usuario instalador, lo que significa que abusa del acceso raíz dentro de entornos CI/CD y contenedores Docker.

La evolución de las cargas útiles distribuidas como parte de la campaña es la siguiente:

• Utilice una instancia de Redis accesible localmente para la ejecución remota de código inyectando una entrada crontab (también conocida como tabla cron) para descargar y ejecutar un script de shell desde un servidor remoto cada minuto. El script de shell escribe un shell web PHP y un shell inverso de Node.js a través de SSH en el directorio de cargas públicas de Strapi. También intenta escanear el disco en busca de secretos (por ejemplo, Elasticsearch y frases iniciales de billeteras de criptomonedas) y extraer un módulo API Guardarian.
• Combine la explotación de Redis con el escape del contenedor Docker para escribir cargas útiles del shell en el host fuera del contenedor. También inicia un shell inverso directo de Python en el puerto 4444 y escribe un activador de shell inverso en el directorio node_modules de la aplicación a través de Redis.
• Implemente un shell inverso, escriba un descargador de shell a través de Redis y ejecute el archivo resultante.
• Escanee el sistema en busca de variables de entorno y cadenas de conexión de bases de datos PostgreSQL.
• Un recolector de credenciales ampliado y una carga útil de reconocimiento para recopilar volcados de entorno, configuraciones de Strapi, extracción de bases de datos de Redis mediante la ejecución de los comandos INFO, DBSIZE y KEYS, mapeo de topología de red y secretos de Docker/Kubernetes, claves criptográficas y archivos de billetera de criptomonedas.
• Lleve a cabo la explotación de la base de datos PostgreSQL conectándose a la base de datos PostgreSQL del objetivo utilizando credenciales codificadas y consultando tablas específicas de Strapi en busca de secretos. También descarta patrones coincidentes relacionados con criptomonedas (por ejemplo, billetera, transacción, depósito, retiro, activo, frío y saldo) e intenta conectarse a seis bases de datos de Guardarian. Esto indica que el actor de la amenaza ya está en posesión de los datos, obtenidos ya sea mediante un compromiso previo o por algún otro medio.
• Implementar un implante persistente diseñado para mantener el acceso remoto a un nombre de host específico («prod-strapi»).
• Facilite el robo de credenciales escaneando rutas codificadas y generando un shell inverso persistente.

«Las ocho cargas útiles muestran una narrativa clara: el atacante comenzó agresivamente (Redis RCE, Docker escape), descubrió que esos enfoques no funcionaban, giró hacia el reconocimiento y la recopilación de datos, utilizó credenciales codificadas para el acceso directo a la base de datos y finalmente se decidió por el acceso persistente con robo de credenciales dirigido», dijo SafeDep.

La naturaleza de las cargas útiles, combinada con el enfoque en los activos digitales y el uso de credenciales de bases de datos y nombres de host codificados, plantea la posibilidad de que la campaña fuera un ataque dirigido contra una plataforma de criptomonedas. Se recomienda a los usuarios que hayan instalado cualquiera de los paquetes antes mencionados que asuman un compromiso y roten todas las credenciales.

El descubrimiento coincide con el descubrimiento de varios ataques a la cadena de suministro dirigidos al ecosistema de código abierto.

• Una cuenta de GitHub llamada «ezmtebo» ha enviado más de 256 solicitudes de extracción en varios repositorios de código abierto que contienen una carga útil de exfiltración de credenciales. «Roba secretos a través de registros de CI y comentarios de relaciones públicas, inyecta flujos de trabajo temporales para volcar valores secretos, aplica automáticamente etiquetas para evitar las puertas pull_request_target y ejecuta un escáner de fondo/procesamiento durante 10 minutos después de que sale el script principal», dijo SafeDep.
• Un secuestro de «protocolo de desarrollo,» una organización verificada de GitHub, para distribuir robots comerciales maliciosos de Polymarket con dependencias npm con errores tipográficos («ts-bign» y «levex-refa» o «big-nunber» y «lint-builder») que roban claves privadas de billetera, filtran archivos confidenciales y abren una puerta trasera SSH en la máquina de la víctima. Mientras que «levex-refa» funciona como un ladrón de credenciales, «lint-builder» instala el SSH backdoor. Tanto «ts-bign» como «big-nunber» están diseñados para entregar «levex-refa» y «lint-builder», respectivamente, como una dependencia transitiva.
• Un compromiso del popular paquete Emacs «.kubernetes-el/kubernetes-el,» que explotó la vulnerabilidad Pwn Request en su flujo de trabajo de GitHub Actions usando el disparador pull_request_target para robar el GITHUB_TOKEN del repositorio, filtrar secretos de CI/CD, desfigurar el repositorio e inyectar código destructivo para eliminar casi todos los archivos del repositorio.
• Un compromiso de lo legítimo «xygeni/xygeni-acción» Flujo de trabajo de GitHub Actions que utiliza credenciales de mantenedor robadas para colocar una puerta trasera de shell inverso. Desde entonces, Xygeni ha implementaron nuevos controles de seguridad para abordar el incidente.
• Un compromiso del paquete npm legítimo «.mgc,» mediante una apropiación de cuenta para impulsar cuatro versiones maliciosas (1.2.1 a 1.2.4) que contienen un script dropper que detecta el sistema operativo y recupera una carga útil específica de la plataforma (un troyano Python para Linux y una variante de PowerShell para Windows llamada WAVESHAPER.V2) de un Gist de GitHub. El ataque se superpone directamente con el reciente ataque a la cadena de suministro dirigido a Axios, que se ha atribuido a un grupo de amenazas de Corea del Norte rastreado como UNC1069.
• Un paquete npm malicioso llamado «sesión-exprés-js» que escribe «express-session» y contiene un cuentagotas que recupera un troyano de acceso remoto (RAT) de siguiente etapa de JSON Keeper para realizar el robo de datos y el acceso persistente conectándose a «216.126.237[.]71» usando la biblioteca Socket.IO.
• Un compromiso del paquete PyPI legítimo «.billetera-bittensor» (versión 4.0.2), para implementar una puerta trasera que se activa durante una operación de descifrado de billetera para exfiltrar claves de billetera usando HTTPS, túnel DNS y TLS sin formato como canales de exfiltración a un dominio codificado o uno creado usando un algoritmo de generación de dominio (DGA) que se rota diariamente.
• Un paquete PyPI malicioso llamado «pironut» que escribe «pyrogram», un popular marco API de Python Telegram, para incorporar una puerta trasera sigilosa que se activa cada vez que un cliente de Telegram inicia y toma el control de la sesión de Telegram y el sistema host subyacente. «La puerta trasera registra controladores de mensajes ocultos de Telegram que permiten que dos cuentas controladas por atacantes codificadas ejecuten código Python arbitrario (a través del comando /e y la biblioteca meval) y comandos de shell arbitrarios (a través del comando y subproceso /shell) en el servidor de la víctima. máquina», afirmó Endor Labs.
• Un conjunto de tres extensiones maliciosas de Microsoft Visual Studio Code (VS Code) publicadas por «IolitaLabs» – «solidity-macos», «solidity-windows» y «solidity-linux» – que originalmente estaban inactivos desde 2018, pero se actualizaron el 25 de marzo de 2026 para lanzar una puerta trasera de varias etapas dirigida a los sistemas Windows y macOS al iniciar la aplicación para establecer la persistencia. En conjunto, las extensiones tenían 27,500 instalaciones antes de ser eliminadas.
• Múltiples versiones del «KhangNghiem/borrador rápido» Extensión VS Code en Open VSX (0.10.89, 0.10.105, 0.10.106 y 0.10.112) que ejecuta un descargador alojado en GitHub para implementar un Socket.IO RAT de segunda etapa, un ladrón de información, un módulo de exfiltración de archivos y un monitor de portapapeles desde un repositorio de GitHub. Curiosamente, las versiones 0.10.88, 0.10.111 y 0.10.129-135 se han encontrado limpios. «Ese no es el patrón de lanzamiento que se espera de una sola compilación comprometida o de un mantenedor que ha cambiado por completo a un comportamiento malicioso», dijo Aikido. «Parece más bien dos flujos de lanzamiento competitivos que comparten la misma identidad de editor».

En un informe publicado en febrero de 2026, Group-IB reveló que los ataques a la cadena de suministro de software se han convertido en «la fuerza dominante que está remodelando el panorama global de amenazas cibernéticas», y agregó que los actores de amenazas persiguen a proveedores confiables, software de código abierto, plataformas SaaS, extensiones de navegador y proveedores de servicios administrados para obtener acceso heredado a cientos de organizaciones posteriores.

La amenaza a la cadena de suministro puede escalar rápidamente de una sola intrusión localizada a algo que tiene un impacto transfronterizo a gran escala, con atacantes industrializando los compromisos de la cadena de suministro y convirtiéndola en un ecosistema «auto-reforzado», ya que ofrece alcance, velocidad y sigilo.

«Los repositorios de paquetes como npm y PyPI se han convertido en objetivos principales, credenciales de mantenimiento robadas y gusanos de malware automatizados para comprometer bibliotecas ampliamente utilizadas, convirtiendo los canales de desarrollo en canales de distribución a gran escala de código malicioso», Group-IB dicho

Una campaña de phishing en curso se dirige a entornos corporativos de habla francesa con currículums falsos que conducen al despliegue de mineros de criptomonedas y ladrones de información.

«La campaña utiliza archivos VBScript altamente ofuscados disfrazados de documentos de currículum vitae, entregados a través de correos electrónicos de phishing», dijeron los investigadores de Securonix Shikha Sangwan, Akshay Gaikwad y Aaron Beardslee. dicho en un informe compartido con The Hacker News.

«Una vez ejecutado, el malware implementa un conjunto de herramientas multipropósito que combina el robo de credenciales, la exfiltración de datos y la minería de criptomonedas Monero para una máxima monetización».

La actividad ha sido nombrada en código. FAUX#ELEVAR por la empresa de ciberseguridad. La campaña se destaca por el abuso de infraestructura y servicios legítimos, como Dropbox para la preparación de cargas útiles, sitios marroquíes de WordPress para alojar la configuración de comando y control (C2) y el correo.[.]ru Infraestructura SMTP para extraer credenciales de navegador y archivos de escritorio robados.

Este es un ejemplo de un ataque estilo vivir de la tierra que eleva el nivel sobre cómo los atacantes pueden engañar a los mecanismos de defensa y colarse en el sistema del objetivo sin llamar mucho la atención.

El archivo dropper inicial es un Visual Basic Script (VBScript) que, al abrirse, muestra un mensaje de error falso en francés, engañando a los destinatarios del mensaje haciéndoles pensar que el archivo está dañado. Sin embargo, lo que sucede detrás de escena es que el script muy ofuscado ejecuta una serie de comprobaciones para evadir los entornos sandbox y entra en un bucle persistente de Control de cuentas de usuario (UAC) que solicita a los usuarios que lo ejecuten con privilegios de administrador.

En particular, de las 224.471 líneas del script, sólo 266 líneas contienen código ejecutable real. El resto del guión está lleno de comentarios basura con frases aleatorias en inglés, lo que aumenta el tamaño del archivo a 9,7 MB.

«El malware también utiliza una puerta de unión a un dominio mediante WMI [Windows Management Instrumentation]asegurando que las cargas útiles sólo se entreguen en máquinas empresariales y que los sistemas domésticos independientes queden excluidos por completo», dijeron los investigadores.

Tan pronto como el dropper obtiene privilegios administrativos, no pierde tiempo en deshabilitar los controles de seguridad y encubrir sus huellas configurando rutas de exclusión de Microsoft Defender para todas las letras de unidades principales (de C a I), deshabilitando UAC mediante un cambio en el Registro de Windows y eliminándose a sí mismo.

El dropper también es responsable de recuperar dos archivos 7-Zip separados protegidos con contraseña alojados en Dropbox:

• gmail2.7z, que contiene varios ejecutables para robar datos y extraer criptomonedas
• gmail_ma.7z, que contiene utilidades para persistencia y limpieza

Entre las herramientas utilizadas para facilitar el robo de credenciales se encuentra un componente que aprovecha el proyecto ChromElevator para extraer datos confidenciales de los navegadores basados ​​en Chromium eludiendo las protecciones de cifrado vinculado a aplicaciones (ABE). Algunas de las otras herramientas incluyen:

• mozilla.vbs, un malware VBScript para robar el perfil y las credenciales de Mozilla Firefox
• wall.vbs, una carga útil de VBScript para la exfiltración de archivos de escritorio
• mservice.exe, un minero de criptomonedas XMRig que se lanza después de recuperar la configuración de minería de un sitio de WordPress marroquí comprometido
• WinRing0x64.sys, un controlador legítimo del kernel de Windows que se utiliza para desbloquear todo el potencial de minería de la CPU
• RuntimeHost.exe, un componente troyano persistente que modifica las reglas del Firewall de Windows y se comunica periódicamente con un servidor C2

Los únicos datos del navegador se extraen mediante dos correos separados.[.]cuentas de remitente ru («olga.aitsaid@mail.ru» y «3pw5nd9neeyn@mail.ru») que comparten la misma contraseña a través de SMTP con otra dirección de correo electrónico operada por el actor de la amenaza («vladimirprolitovitch@duck.com»).

Una vez que se completan las actividades de robo de credenciales y exfiltración, la cadena de ataque inicia una limpieza agresiva de todas las herramientas caídas en un intento por minimizar la huella forense, dejando atrás solo al minero y al troyano.

«La campaña FAUX#ELEVATE demuestra una operación de ataque de múltiples etapas bien organizada que combina varias técnicas notables en una sola cadena de infección», dijo Securonix.

«Lo que hace que esta campaña sea particularmente peligrosa para los equipos de seguridad empresarial es la velocidad de ejecución, la cadena de infección completa se completa en aproximadamente 25 segundos desde la ejecución inicial de VBS hasta la exfiltración de credenciales, y el objetivo selectivo de las máquinas unidas al dominio, lo que garantiza que cada host comprometido proporcione el máximo valor a través del robo de credenciales corporativas y el secuestro persistente de recursos».

Los actores de amenazas norcoreanos detrás de la campaña Contagious Interview, también rastreada como WaterPlum, han sido atribuidos a una familia de malware rastreada como ArmiñoWaffle que se distribuye a través de proyectos maliciosos de Microsoft Visual Studio Code (VS Code).

El uso de VS Code «tasks.json» para distribuir malware es una táctica relativamente nueva adoptada por el actor de amenazas desde diciembre de 2025, y los ataques aprovechan la opción «runOn: folderOpen» para activar automáticamente su ejecución cada vez que se abre cualquier archivo en la carpeta del proyecto en VS Code.

«Esta tarea está configurada para que descargue datos de una aplicación web en Vercel independientemente del sistema operativo que se ejecute. [operating system]»Seguridad NTT dicho en un informe publicado la semana pasada. «Aunque en este artículo asumimos que el sistema operativo que lo ejecuta es Windows, los comportamientos esenciales son los mismos para cualquier sistema operativo».

La carga útil descargada primero verifica si Node.js está instalado en el entorno de ejecución. Si no está, el malware descarga Node.js del sitio web oficial y lo instala. Posteriormente, procede a iniciar un descargador, que sondea periódicamente un servidor externo para buscar un descargador de la siguiente etapa que muestra un comportamiento idéntico al comunicarse con otro punto final en el mismo servidor y ejecutar la respuesta recibida como código Node.js.

Se ha descubierto que StoatWaffle ofrece dos módulos diferentes:

• Un ladrón que captura credenciales y datos de extensiones almacenados en navegadores web (navegadores basados ​​en Chromium y Mozilla Firefox) y los carga en un servidor de comando y control (C2). Si el sistema comprometido se ejecuta en macOS, también roba la base de datos de iCloud Keychain.
• Un troyano de acceso remoto (RAT) que se comunica con el servidor C2 para buscar y ejecutar comandos en el host infectado. Los comandos permiten que el malware cambie el directorio de trabajo actual, enumere archivos y directorios, ejecute código Node.js, cargue archivos, busque recursivamente en el directorio dado y enumere o cargue archivos que coincidan con una determinada palabra clave, ejecute comandos de shell y finalice.

«StoatWaffle es un malware modular implementado por Node.js y tiene módulos Stealer y RAT», dijo el proveedor de seguridad japonés. «WaterPlum desarrolla continuamente nuevo malware y actualiza los existentes».

El desarrollo coincide con varias campañas montadas por el actor de amenazas dirigidas al ecosistema de código abierto:

• un conjunto de paquetes npm maliciosos que distribuyen el malware PylangGhost, lo que marca la primera vez que el malware se propaga a través de paquetes npm.
• Una campaña conocida como PolinRider tiene implantado una carga útil maliciosa de JavaScript ofuscada en cientos de repositorios públicos de GitHub que culmina con la implementación de una nueva versión de BeaverTail, un conocido malware ladrón y descargador atribuido a Contagious Interview.
• Entre los compromisos están cuatro repositorios perteneciente a la organización Neutralinojs GitHub. Se dice que el ataque comprometió la cuenta de GitHub de un colaborador de neutralinojs desde hace mucho tiempo con acceso de escritura a nivel de organización para forzar el código JavaScript que recupera cargas útiles cifradas en transacciones de Tron, Aptos y Binance Smart Chain (BSC) para descargar y ejecutar BeaverTail. Se cree que las víctimas fueron infectadas a través de una extensión maliciosa de VS Code o un paquete npm.

Microsoft, en un análisis de Contagious Interview de este mes, dijo que los actores de amenazas logran acceso inicial a los sistemas de los desarrolladores a través de «procesos de reclutamiento organizados de manera convincente» que reflejan entrevistas técnicas legítimas, y en última instancia persuaden a las víctimas para que ejecuten comandos o paquetes maliciosos alojados en GitHub, GitLab o Bitbucket como parte de la evaluación.

En algunos casos, los objetivos se abordan a través de LinkedIn. Sin embargo, las personas elegidas para este ataque de ingeniería social no son desarrolladores junior, sino fundadores, CTO e ingenieros senior en el sector de criptomonedas o Web3, quienes probablemente tengan un acceso elevado a la infraestructura tecnológica y a las billeteras de criptomonedas de la empresa. Un incidente reciente involucrado Los atacantes atacaron sin éxito al fundador de AllSecure.io a través de una entrevista de trabajo falsa.

Algunas de las familias de malware clave implementadas como parte de estas cadenas de ataque incluyen OtterCookie (una puerta trasera capaz de robar datos en gran escala), InvisibleFerret (una puerta trasera basada en Python) y FlexibleFerret (una puerta trasera modular implementada tanto en Go como en Python). Si bien se sabe que InvisibleFerret generalmente se entrega a través de BeaverTail, se ha descubierto que intrusiones recientes distribuyen el malware como una carga útil de seguimiento, después de aprovechar el acceso inicial obtenido a través de OtterCookie.

Vale la pena mencionar aquí que FlexibleFerret también se conoce como WeaselStore. Sus variantes Go y Python reciben los nombres de GolangGhost y PylangGhost, respectivamente.

En una señal de que los actores de amenazas están refinando activamente su oficio, las mutaciones más recientes de los proyectos de VS Code han evitado los dominios basados ​​en Vercel para que los scripts alojados en GitHub Gist descarguen y ejecuten cargas útiles de la siguiente etapa que, en última instancia, conducen a la implementación de FlexibleFerret. Estos proyectos de VS Code se organizan en GitHub.

«Al incorporar la entrega de malware dirigido directamente en herramientas de entrevistas, ejercicios de codificación y flujos de trabajo de evaluación en los que los desarrolladores confían inherentemente, los actores de amenazas explotan la confianza que los solicitantes de empleo depositan en el proceso de contratación durante períodos de alta motivación y presión de tiempo, lo que reduce la sospecha y la resistencia», dijo el gigante tecnológico.

En respuesta al abuso continuo de VS Code Tasks, Microsoft ha incluido una mitigación en la actualización de enero de 2026 (versión 1.109) que introduce una nueva configuración «task.allowAutomaticTasks», que de forma predeterminada está «desactivada» para mejorar la seguridad y evitar la ejecución no deseada de tareas definidas en «tasks.json» al abrir un espacio de trabajo.

«La actualización también evita que la configuración se defina a nivel del espacio de trabajo, por lo que los repositorios maliciosos con su propio archivo .vscode/settings.json no deberían poder anular la configuración del usuario (global)», Resumen de Seguridad dicho.

«Esta versión y la reciente de febrero de 2026 (versión 1.110) también introduce un mensaje secundario que advierte al usuario cuando se detecta una tarea de ejecución automática en un espacio de trabajo recién abierto. Esto actúa como protección adicional después de que un usuario acepta el mensaje de Workspace Trust».

En los últimos meses, los actores de amenazas norcoreanos también han estado participando en una campaña coordinada de malware dirigida a profesionales de las criptomonedas a través de ingeniería social de LinkedIn, empresas de capital de riesgo falsas y enlaces de videoconferencias fraudulentos. Los recursos compartidos de actividad se superponen con los grupos rastreados como GhostCall y UNC1069.

«La cadena de ataque culmina en una página CAPTCHA falsa estilo ClickFix que engaña a las víctimas para que ejecuten comandos inyectados en el portapapeles en su Terminal», Moonlock Lab de MacPaw. dicho. «La campaña es multiplataforma por diseño y ofrece cargas útiles personalizadas tanto para macOS como para Windows».

Los hallazgos se producen cuando el Departamento de Justicia de EE. UU. (DoJ) anunciado la sentencia de tres hombres, Audricus Phagnasay, de 25 años, Jason Salazar, de 30, y Alexander Paul Travis, de 35, por su papel en la promoción del plan fraudulento de trabajadores de tecnología de la información (TI) de Corea del Norte, en violación de las sanciones internacionales. Los tres individuos se declararon culpables previamente en noviembre de 2025.

Phagnasay y Salazar fueron sentenciados a tres años de libertad condicional y una multa de 2.000 dólares. También se les ordenó renunciar a las ganancias ilícitas obtenidas al participar en la conspiración de fraude electrónico. Travis fue sentenciado a un año de prisión y se le ordenó perder 193.265 dólares, la cantidad ganada por los norcoreanos al usar su identidad.

«Estos hombres prácticamente dieron las llaves del reino en línea a probables trabajadores norcoreanos de tecnología en el extranjero que buscaban recaudar ingresos ilícitos para el gobierno de Corea del Norte, todo a cambio de lo que les parecía dinero fácil», dijo en un comunicado Margaret Heap, fiscal estadounidense para el Distrito Sur de Georgia.

La semana pasada, Flare e IBM X-Force publicaron una descripción detallada del trabajador de TI operación y su estructura internaal tiempo que destaca cómo los trabajadores de TI asisten a prestigiosas universidades en Corea del Norte y pasan por un riguroso proceso de entrevistas antes de unirse al plan.

Son «considerados miembros de élite de la sociedad norcoreana y se han convertido en una parte indispensable de los objetivos estratégicos generales del gobierno norcoreano», señalaron las empresas. «Estos objetivos incluyen, entre otros, generación de ingresos, actividad laboral remota, robo de información corporativa y patentada, extorsión y apoyo a otros grupos norcoreanos».

Microsoft reveló el jueves detalles de una nueva campaña generalizada de ingeniería social ClickFix que ha aprovechado la Aplicación de terminal de Windows como una forma de activar una cadena de ataque sofisticada y desplegar el malware Lumma Stealer.

La actividad, observada en febrero de 2026, utiliza el programa emulador de terminal en lugar de indicar a los usuarios que inicien el cuadro de diálogo Ejecutar de Windows y peguen un comando en él.

«Esta campaña instruye a los objetivos a utilizar el acceso directo Windows + X → I para iniciar Windows Terminal (wt.exe) directamente, guiando a los usuarios a un entorno de ejecución de comandos privilegiado que se integra con flujos de trabajo administrativos legítimos y parece más confiable para los usuarios», dijo el equipo de Microsoft Threat Intelligence. dicho en una serie de publicaciones sobre X.

Lo que hace que la última variante sea notable es que elude las detecciones diseñadas específicamente para señalar el abuso en el cuadro de diálogo Ejecutar, sin mencionar el aprovechamiento de la legitimidad de Windows Terminal para engañar a usuarios desprevenidos para que ejecuten comandos maliciosos entregados a través de páginas CAPTCHA falsas, mensajes de solución de problemas u otros señuelos de estilo de verificación.

La cadena de ataque posterior al compromiso también es única: cuando el usuario pega un comando codificado en hexadecimal y comprimido XOR copiado de la página de señuelo ClickFix en una sesión de Terminal de Windows, abarca instancias adicionales de Terminal/PowerShell para finalmente invocar un proceso de PowerShell responsable de decodificar el script.

Esto, a su vez, conduce a la descarga de una carga útil ZIP y un binario 7-Zip legítimo pero renombrado, el último de los cuales se guarda en el disco con un nombre de archivo aleatorio. Luego, la utilidad procede a extraer el contenido del archivo ZIP, lo que desencadena una cadena de ataque de varias etapas que implica los siguientes pasos:

• Recuperando más cargas útiles
• Configurar la persistencia mediante tareas programadas
• Configurar exclusiones de Microsoft Defender
• Exfiltración de datos de la máquina y de la red
• Implementar Lumma Stealer usando una técnica llamada Usuario de colaAPC() inyectando el malware en los procesos «chrome.exe» y «msedge.exe»

«El ladrón apunta a artefactos de navegador de alto valor, incluidos datos web y datos de inicio de sesión, recolectando credenciales almacenadas y exfiltrándolas a la infraestructura controlada por el atacante», dijo Microsoft.

El fabricante de Windows dijo que también detectó una segunda vía de ataque, como parte de la cual, cuando el comando comprimido se pega en la Terminal de Windows, descarga un script por lotes con nombres aleatorios a la carpeta «AppData\Local» mediante «cmd.exe» para escribir un script de Visual Basic en la carpeta Temp (también conocida como %TEMP%).

«El script por lotes luego se ejecuta a través de cmd.exe con el argumento de línea de comando /launched. El mismo script por lotes luego se ejecuta a través de MSBuild.exe, lo que resulta en un abuso de LOLBin», agregó. «El script se conecta a los puntos finales RPC de Crypto Blockchain, lo que indica una técnica de ocultación de ether. También realiza una inyección de código basada en QueueUserAPC() en los procesos chrome.exe y msedge.exe para recolectar datos web y datos de inicio de sesión».