Microsoft lanzó el martes parches para un conjunto de 84 nuevas vulnerabilidades de seguridad afectando a varios componentes de software, incluidos dos que han sido catalogados como de conocimiento público.

De estos, ocho están clasificados como Críticos y 76 como Importantes en cuanto a su gravedad. Cuarenta y seis de las vulnerabilidades parcheadas se relacionan con la escalada de privilegios, seguidas de 18 de ejecución remota de código, 10 de divulgación de información, cuatro de suplantación de identidad, cuatro de denegación de servicio y dos fallas de omisión de funciones de seguridad.

Las correcciones se suman a 10 vulnerabilidades que se han solucionado en su navegador Edge basado en Chromium desde el lanzamiento de la actualización del martes de parches de febrero de 2026.

Los dos días cero divulgados públicamente son CVE-2026-26127 (Puntuación CVSS: 7,5), una vulnerabilidad de denegación de servicio en .NET, y CVE-2026-21262 (Puntuación CVSS: 8,8), una vulnerabilidad de elevación de privilegios en SQL Server.

La vulnerabilidad con la puntuación CVSS más alta en la actualización de este mes es una falla crítica de ejecución remota de código en el Programa de precios de dispositivos de Microsoft. CVE-2026-21536 (Puntuación CVSS: 9,8), según Microsoft, se ha mitigado por completo y no se requiere ninguna acción por parte de los usuarios. A la plataforma autónoma de descubrimiento de vulnerabilidades XBOW, impulsada por inteligencia artificial (IA), se le atribuye el mérito de descubrir e informar el problema.

«Este mes, más de la mitad (55%) de todos los CVE de Patch Tuesday fueron errores de escalada de privilegios, y de ellos, seis fueron clasificados como más probables de explotación en el componente de gráficos de Windows, la infraestructura de accesibilidad de Windows, el kernel de Windows, el servidor SMB de Windows y Winlogon», dijo Satnam Narang, ingeniero senior de investigación de Tenable.

«Sabemos que estos errores suelen ser utilizados por actores de amenazas como parte de una actividad posterior al compromiso, una vez que ingresan a los sistemas a través de otros medios (ingeniería social, explotación de otra vulnerabilidad)».

La falla de escalada de privilegios de Winlogon (CVE-2026-25187puntuación CVSS: 7,8), en particular, aprovecha la resolución inadecuada de enlaces para obtener privilegios del SISTEMA. El investigador de Google Project Zero, James Forshaw, ha sido reconocido por informar sobre la vulnerabilidad.

«La falla permite a un atacante autenticado localmente con privilegios bajos explotar una condición de seguimiento de enlace en el proceso Winlogon y escalar a privilegios del SISTEMA», dijo Jacob Ashdown, ingeniero de ciberseguridad de Immersive. «La vulnerabilidad no requiere interacción del usuario y tiene una baja complejidad de ataque, lo que la convierte en un objetivo sencillo una vez que un atacante logra afianzarse».

Otra vulnerabilidad a destacar es CVE-2026-26118 (Puntuación CVSS: 8,8), un error de falsificación de solicitudes del lado del servidor en el servidor Azure Model Context Protocol (MCP) que podría permitir a un atacante autorizado elevar los privilegios en una red.

«Un atacante podría aprovechar este problema enviando entradas especialmente diseñadas a una herramienta de servidor Azure Model Context Protocol (MCP) que acepte parámetros proporcionados por el usuario», dijo Microsoft.

«Si el atacante puede interactuar con el agente respaldado por MCP, puede enviar una URL maliciosa en lugar de un identificador de recurso normal de Azure. Luego, el servidor MCP envía una solicitud saliente a esa URL y, al hacerlo, puede incluir su token de identidad administrado. Esto permite al atacante capturar ese token sin requerir acceso administrativo».

La explotación exitosa de la vulnerabilidad podría permitir a un atacante obtener los permisos asociados con la identidad administrada del servidor MCP. Luego, el atacante podría aprovechar este comportamiento para acceder o realizar acciones en cualquier recurso al que la identidad administrada esté autorizada a acceder.

Entre los errores de gravedad crítica resueltos por Microsoft se encuentra una falla de divulgación de información en Excel. Seguimiento como CVE-2026-26144 (puntuación CVSS de 7,5), se ha descrito como un caso de secuencias de comandos entre sitios que se produce como resultado de una neutralización inadecuada de la entrada durante la generación de la página web.

El fabricante de Windows dijo que un atacante que explotara la deficiencia podría causar que el modo Copilot Agent extraiga datos como parte de un ataque sin clic.

«Las vulnerabilidades de divulgación de información son especialmente peligrosas en entornos corporativos donde los archivos Excel a menudo contienen datos financieros, propiedad intelectual o registros operativos», dijo Alex Vovk, director ejecutivo y cofundador de Action1, en un comunicado.

«Si son explotados, los atacantes podrían extraer silenciosamente información confidencial de los sistemas internos sin activar alertas obvias. Las organizaciones que utilizan funciones de productividad asistidas por IA pueden enfrentar una mayor exposición, ya que los agentes automatizados podrían transmitir involuntariamente datos confidenciales fuera de los límites corporativos».

Los parches llegan cuando Microsoft dijo que está cambiando el comportamiento predeterminado de Windows Autopatch al permitir actualizaciones de seguridad con parches activos para ayudar a proteger los dispositivos a un ritmo más rápido.

«Este cambio en el comportamiento predeterminado llega a todos los dispositivos elegibles en Microsoft Intune y a aquellos que acceden al servicio a través de Microsoft Graph API a partir de la actualización de seguridad de Windows de mayo de 2026», Redmond dicho. «Aplicar correcciones de seguridad sin esperar a que se reinicie puede hacer que las organizaciones alcancen un 90% de cumplimiento en la mitad del tiempo, mientras usted mantiene el control».

Microsoft abordó 83 vulnerabilidades que abarcan su amplia cartera de software empresarial y servicios subyacentes en su última actualización de seguridad. El lanzamiento del martes de parches de la compañía no contenía vulnerabilidades de día cero explotadas activamente y seis defectos que describió como más propensos a ser explotados.

El lote de parches del proveedor marca la primera actualización mensual sin un día cero explotado activamente en seis meses.

La «falta de errores bajo ataque activo es un cambio agradable con respecto al mes pasado», cuando Microsoft informó seis vulnerabilidades explotadas activamente, dijo Dustin Childs, jefe de concientización sobre amenazas en la Iniciativa Día Cero de Trend Micro, en un publicación de blog Martes.

Dos vulnerabilidades abordadas este mes: CVE-2026-21262 y CVE-2026-26127 – figuraban como de conocimiento público en el momento de su publicación. “Estos insectos ladran más que muerden”, dijo Satnam Narang, ingeniero de investigación senior de Tenable.

Más de la mitad de los defectos de la actualización de este mes pueden provocar privilegios elevados, y seis de esas vulnerabilidades… CVE-2026-23668, CVE-2026-24289, CVE-2026-24291, CVE-2026-24294, CVE-2026-25187 y CVE-2026-26132 – fueron calificados como más propensos a ser explotados, añadió Narang.

Un defecto de divulgación de información en Microsoft Excel: CVE-2026-26144 — muestra un escenario de ataque que probablemente ocurra con más frecuencia, según Childs. «Un atacante podría usarlo para hacer que el agente Copilot extraiga datos del objetivo», esencialmente convirtiéndolo en una operación sin clic, escribió.

Los investigadores también se centraron en un par de defectos en Microsoft Office con calificaciones CVSS de 8,4: CVE-2026-26110 y CVE-2026-26113 – que los atacantes pueden activar para ejecutar código arbitrario. El plano de vista previa de Microsoft Office puede servir como vector de ataque para ambas vulnerabilidades.

«Las vulnerabilidades de ejecución remota de código en las aplicaciones de Office plantean riesgos importantes para las organizaciones, ya que los documentos se comparten ampliamente por correo electrónico, archivos compartidos y plataformas de colaboración», dijo en un correo electrónico Mike Walters, presidente y cofundador de Action1.

«Si son explotados, los atacantes podrían hacerse con el control de los sistemas de los usuarios, implementar ransomware, robar datos corporativos o moverse lateralmente a través de redes internas», añadió. «Incluso un solo documento malicioso podría comprometer un punto final y dar a los atacantes un punto de apoyo dentro de la organización».

La lista completa de vulnerabilidades abordadas este mes está disponible en Centro de respuesta de seguridad de Microsoft.

Los grupos de amenazas norcoreanos están utilizando herramientas de inteligencia artificial para acelerar y expandir el plan de larga duración del país para contratar trabajadores técnicos remotos en empresas globales por períodos más prolongados, dijo Microsoft Threat Intelligence en un informe Viernes.

Los servicios de inteligencia artificial están empoderando a los agentes norcoreanos durante todo el ciclo de vida del ataque. Los atacantes han convertido la IA en un “multiplicador de fuerza” que refuerza y ​​automatiza sus esfuerzos para realizar investigaciones sobre objetivos, desarrollar recursos maliciosos, lograr y mantener el acceso, evadir la detección y utilizar herramientas como armas para ataques y actividades posteriores al compromiso, dijeron los investigadores.

Microsoft dijo que un trío de grupos a los que rastrea, como Coral Sleet, Sapphire Sleet y Jasper Sleet, están utilizando IA para acortar el tiempo que lleva crear personajes digitales para roles y mercados laborales específicos. Estos grupos frecuentemente aprovechan oportunidades financieras o señuelos con temas de entrevistas para obtener acceso inicial.

Jasper Sleet está utilizando herramientas de inteligencia artificial generativa para investigar ofertas de trabajo en plataformas como Upwork e identificar habilidades en demanda o requisitos de experiencia para alinear personas falsas con roles específicos, dijo Microsoft en el informe.

Los investigadores advirtieron que los grupos de amenazas también están «mejorando significativamente la escala y la sofisticación de su ingeniería social y sus operaciones de acceso inicial» con la creación de medios impulsada por IA para suplantaciones y modulación de voz en tiempo real.

Los grupos de amenazas norcoreanos han utilizado servicios de inteligencia artificial para generar señuelos que imitan las comunicaciones internas en varios idiomas con fluidez nativa.

«Estas tecnologías permiten a los actores de amenazas crear señuelos y personajes altamente personalizados y convincentes a una velocidad y un volumen sin precedentes, lo que reduce la barrera para que se produzcan ataques complejos y aumenta la probabilidad de un compromiso exitoso», escribieron los investigadores en el informe.

Microsoft ha observado a Jasper Sleet utilizando la aplicación de inteligencia artificial Faceswap para insertar rostros de trabajadores de TI de Corea del Norte en documentos de identidad robados, en algunos casos reutilizando la misma foto generada por inteligencia artificial en varias personas.

Jasper Sleet también se apoya en las comunicaciones habilitadas por IA después de que una organización de víctimas contrató con éxito a un agente para evadir la detección y mantener un empleo a largo plazo. Microsoft ha observado a los trabajadores de TI remotos de Corea del Norte utilizar herramientas de inteligencia artificial para elaborar respuestas profesionales, responder preguntas técnicas o generar fragmentos de código para cumplir con las expectativas de rendimiento en entornos desconocidos.

Los grupos de amenazas norcoreanos están utilizando la IA para perfeccionar las actividades posteriores al compromiso observadas previamente, reduciendo el tiempo y la experiencia necesarios para la toma de decisiones, dijo Microsoft. Estas tareas impulsadas por IA aceleran el análisis de entornos comprometidos desconocidos, identifican rutas viables para el movimiento lateral y permiten a los agentes mezclarse con la actividad legítima.

Los grupos de amenazas norcoreanos también están utilizando IA para escalar privilegios, localizar y robar registros o credenciales confidenciales y minimizar el riesgo de detección mediante el análisis de controles de seguridad.

La IA generativa constituye la mayor parte de las actividades de amenazas relacionadas con la IA, pero Microsoft dijo que está en marcha una transición a la IA agente.

«Para los actores de amenazas, este cambio podría representar un cambio significativo en el oficio al permitir flujos de trabajo semiautónomos que refinen continuamente las campañas de phishing, prueben y adapten la infraestructura, mantengan la persistencia o monitoreen la inteligencia de código abierto en busca de nuevas oportunidades», escribieron los investigadores en el informe.

«Microsoft aún no ha observado el uso a gran escala de IA agente por parte de actores de amenazas, en gran parte debido a la confiabilidad continua y las limitaciones operativas», agregaron los investigadores. Sin embargo, advirtió Microsoft, los experimentos ilustran el potencial que los sistemas de IA agentes representan para actividades más avanzadas y dañinas.

Microsoft reveló el jueves detalles de una nueva campaña generalizada de ingeniería social ClickFix que ha aprovechado la Aplicación de terminal de Windows como una forma de activar una cadena de ataque sofisticada y desplegar el malware Lumma Stealer.

La actividad, observada en febrero de 2026, utiliza el programa emulador de terminal en lugar de indicar a los usuarios que inicien el cuadro de diálogo Ejecutar de Windows y peguen un comando en él.

«Esta campaña instruye a los objetivos a utilizar el acceso directo Windows + X → I para iniciar Windows Terminal (wt.exe) directamente, guiando a los usuarios a un entorno de ejecución de comandos privilegiado que se integra con flujos de trabajo administrativos legítimos y parece más confiable para los usuarios», dijo el equipo de Microsoft Threat Intelligence. dicho en una serie de publicaciones sobre X.

Lo que hace que la última variante sea notable es que elude las detecciones diseñadas específicamente para señalar el abuso en el cuadro de diálogo Ejecutar, sin mencionar el aprovechamiento de la legitimidad de Windows Terminal para engañar a usuarios desprevenidos para que ejecuten comandos maliciosos entregados a través de páginas CAPTCHA falsas, mensajes de solución de problemas u otros señuelos de estilo de verificación.

La cadena de ataque posterior al compromiso también es única: cuando el usuario pega un comando codificado en hexadecimal y comprimido XOR copiado de la página de señuelo ClickFix en una sesión de Terminal de Windows, abarca instancias adicionales de Terminal/PowerShell para finalmente invocar un proceso de PowerShell responsable de decodificar el script.

Esto, a su vez, conduce a la descarga de una carga útil ZIP y un binario 7-Zip legítimo pero renombrado, el último de los cuales se guarda en el disco con un nombre de archivo aleatorio. Luego, la utilidad procede a extraer el contenido del archivo ZIP, lo que desencadena una cadena de ataque de varias etapas que implica los siguientes pasos:

• Recuperando más cargas útiles
• Configurar la persistencia mediante tareas programadas
• Configurar exclusiones de Microsoft Defender
• Exfiltración de datos de la máquina y de la red
• Implementar Lumma Stealer usando una técnica llamada Usuario de colaAPC() inyectando el malware en los procesos «chrome.exe» y «msedge.exe»

«El ladrón apunta a artefactos de navegador de alto valor, incluidos datos web y datos de inicio de sesión, recolectando credenciales almacenadas y exfiltrándolas a la infraestructura controlada por el atacante», dijo Microsoft.

El fabricante de Windows dijo que también detectó una segunda vía de ataque, como parte de la cual, cuando el comando comprimido se pega en la Terminal de Windows, descarga un script por lotes con nombres aleatorios a la carpeta «AppData\Local» mediante «cmd.exe» para escribir un script de Visual Basic en la carpeta Temp (también conocida como %TEMP%).

«El script por lotes luego se ejecuta a través de cmd.exe con el argumento de línea de comando /launched. El mismo script por lotes luego se ejecuta a través de MSBuild.exe, lo que resulta en un abuso de LOLBin», agregó. «El script se conecta a los puntos finales RPC de Crypto Blockchain, lo que indica una técnica de ocultación de ether. También realiza una inyección de código basada en QueueUserAPC() en los procesos chrome.exe y msedge.exe para recolectar datos web y datos de inicio de sesión».

Microsoft advirtió el lunes sobre campañas de phishing que emplean correos electrónicos de phishing y OAuth Mecanismos de redireccionamiento de URL para eludir las defensas de phishing convencionales implementadas en el correo electrónico y los navegadores.

La actividad, dijo la compañía, está dirigida a organizaciones gubernamentales y del sector público con el objetivo final de redirigir a las víctimas a la infraestructura controlada por los atacantes sin robar sus tokens. Describió los ataques de phishing como una amenaza basada en la identidad que aprovecha el comportamiento estándar y por diseño de OAuth en lugar de explotar las vulnerabilidades del software o robar credenciales.

«OAuth incluye una característica legítima que permite a los proveedores de identidad redirigir a los usuarios a una página de destino específica bajo ciertas condiciones, generalmente en escenarios de error u otros flujos definidos», dijo el equipo de investigación de seguridad de Microsoft Defender. dicho.

«Los atacantes pueden abusar de esta funcionalidad nativa creando URL con proveedores de identidad populares, como Entra ID o Google Workspace, que utilizan parámetros manipulados o aplicaciones maliciosas asociadas para redirigir a los usuarios a páginas de destino controladas por el atacante. Esta técnica permite la creación de URL que parecen benignas pero que en última instancia conducen a destinos maliciosos».

El punto de partida del ataque es una aplicación maliciosa creada por el actor de la amenaza en un inquilino bajo su control. La aplicación está configurada con una URL de redireccionamiento que apunta a un dominio fraudulento que aloja malware. Luego, los atacantes distribuyen un enlace de phishing OAuth que indica a los destinatarios que se autentiquen en la aplicación maliciosa utilizando un alcance intencionalmente no válido.

El resultado de esta redirección es que los usuarios descargan e infectan inadvertidamente sus propios dispositivos con malware. Las cargas útiles maliciosas se distribuyen en forma de archivos ZIP que, cuando se descomprimen, dan como resultado la ejecución de PowerShell, la carga lateral de DLL y la actividad previa al rescate o de uso del teclado, dijo Microsoft.

El archivo ZIP contiene un acceso directo de Windows (LNK) que ejecuta un comando de PowerShell tan pronto como se abre. La carga útil de PowerShell se utiliza para realizar un reconocimiento del host mediante la ejecución de comandos de descubrimiento. El archivo LNK extrae del archivo ZIP un instalador MSI, que luego suelta un documento señuelo para engañar a la víctima, mientras que una DLL maliciosa («crashhandler.dll») se descarga utilizando el binario legítimo «steam_monitor.exe».

La DLL procede a descifrar otro archivo llamado «crashlog.dat» y ejecuta la carga útil final en la memoria, lo que le permite establecer una conexión saliente a un servidor externo de comando y control (C2).

Microsoft dijo que los correos electrónicos utilizan solicitudes de firma electrónica, grabaciones de Teams, temas de seguridad social, financieros y políticos como señuelos para engañar a los usuarios para que hagan clic en el enlace. Se dice que los correos electrónicos se enviaron a través de herramientas de envío masivo y soluciones personalizadas desarrolladas en Python y Node.js. Los enlaces se incluyen directamente en el cuerpo del correo electrónico o se colocan dentro de un documento PDF.

«Para aumentar la credibilidad, los actores pasaron la dirección de correo electrónico de destino a través del parámetro de estado utilizando varias técnicas de codificación, lo que permitió que se completara automáticamente en la página de phishing», dijo Microsoft. «El parámetro de estado está destinado a generarse aleatoriamente y usarse para correlacionar los valores de solicitud y respuesta, pero en estos casos se reutilizó para llevar direcciones de correo electrónico codificadas».

Si bien se ha descubierto que algunas de las campañas aprovechan la técnica para distribuir malware, otras envían a los usuarios a páginas alojadas en marcos de phishing como EvilProxy, que actúan como un kit de adversario en el medio (AitM) para interceptar credenciales y cookies de sesión.

Desde entonces, Microsoft eliminó varias aplicaciones OAuth maliciosas que fueron identificadas como parte de la investigación. Se recomienda a las organizaciones que limiten el consentimiento del usuario, revisen periódicamente los permisos de las aplicaciones y eliminen las aplicaciones no utilizadas o con privilegios excesivos.

Una «campaña coordinada dirigida a desarrolladores» utiliza repositorios maliciosos disfrazados de evaluaciones técnicas y proyectos Next.js legítimos para engañar a las víctimas para que los ejecuten y establezcan un acceso persistente a las máquinas comprometidas.

«La actividad se alinea con un grupo más amplio de amenazas que utilizan señuelos con temas laborales para integrarse en los flujos de trabajo rutinarios de los desarrolladores y aumentar la probabilidad de ejecución de código», dijo el equipo de investigación de seguridad de Microsoft Defender. dicho en un informe publicado esta semana.

El gigante tecnológico dijo que la campaña se caracteriza por el uso de múltiples puntos de entrada que conducen al mismo resultado, donde el JavaScript controlado por el atacante se recupera en tiempo de ejecución y se ejecuta para facilitar el comando y control (C2).

Los ataques se basan en que los actores de amenazas establezcan repositorios falsos en plataformas de desarrolladores confiables como Bitbucket, usando nombres como «Cryptan-Platform-MVP1» para engañar a los desarrolladores que buscan trabajos para que se ejecuten como parte de un proceso de evaluación.

Un análisis más profundo de los repositorios identificados ha descubierto tres rutas de ejecución distintas que, si bien se activan de diferentes maneras, tienen el objetivo final de ejecutar un JavaScript controlado por el atacante directamente en la memoria:

• Ejecución del espacio de trabajo de Visual Studio Codedonde los proyectos de Microsoft Visual Studio Code (VS Code) con configuración de automatización del espacio de trabajo se utilizan para ejecutar código malicioso recuperado de un dominio Vercel tan pronto como el desarrollador abre y confía en el proyecto. Esto implica el uso de runOn: «folderOpen» para configurar la tarea.
• Ejecución en tiempo de compilación durante el desarrollo de aplicacionesdonde se ejecuta manualmente el servidor de desarrollo a través de «npm ejecutar desarrollador» es suficiente para activar la ejecución de código malicioso incrustado en bibliotecas de JavaScript modificadas que se hacen pasar por jquery.min.js, lo que hace que busque un cargador de JavaScript alojado en Vercel. Luego, Node.js ejecuta la carga útil recuperada en la memoria.
• Ejecución de inicio del servidor mediante exfiltración del entorno y ejecución dinámica de código remotodonde el inicio del backend de la aplicación provoca que se ejecute una lógica de carga maliciosa oculta dentro de un módulo de backend o un archivo de ruta. El cargador transmite el entorno del proceso al servidor externo y ejecuta JavaScript recibido como respuesta en la memoria dentro del proceso del servidor Node.js.

Microsoft señaló que los tres métodos conducen a la misma carga útil de JavaScript que es responsable de crear perfiles del host y sondear periódicamente un punto final de registro para obtener un identificador «instanceId» único. Este identificador se proporciona posteriormente en encuestas de seguimiento para correlacionar la actividad.

También es capaz de ejecutar JavaScript proporcionado por el servidor en la memoria, lo que en última instancia allana el camino para un controlador de segunda etapa que convierte el punto de apoyo inicial en una vía de acceso persistente para recibir tareas contactando a un servidor C2 diferente y ejecutándolas en la memoria para minimizar dejar rastros en el disco.

Descripción general de la cadena de ataque

«El controlador mantiene la estabilidad y la continuidad de la sesión, publica telemetría de errores en un punto final de informes e incluye lógica de reintento para mayor resistencia», dijo Microsoft. «También rastrea los procesos generados y puede detener la actividad administrada y salir limpiamente cuando se le indique. Más allá de la ejecución de código bajo demanda, la Etapa 2 admite el descubrimiento y la exfiltración impulsados ​​por el operador».

Si bien el fabricante de Windows no atribuyó la actividad a un actor de amenaza específico, el uso de tareas de VS Code y dominios de Vercel para organizar malware es una táctica que ha sido adoptada por piratas informáticos vinculados a Corea del Norte asociados con una campaña de larga duración conocida como Contagious Interview.

El objetivo final de estos esfuerzos es obtener la capacidad de distribuir malware a los sistemas de los desarrolladores, que a menudo contienen datos confidenciales, como código fuente, secretos y credenciales, que pueden brindar oportunidades para profundizar en la red de destino.

Usar las esencias de GitHub en VS Code task.json en lugar de las URL de Vercel

En un informe publicado el miércoles, Abstract Security dicho ha observado un cambio en las tácticas de los actores de amenazas, en particular un aumento en los servidores de preparación alternativos utilizados en los comandos de tareas de VS Code en lugar de las URL de Vercel. Esto incluye el uso de scripts alojados en GitHub gists («gist.githubusercontent[.]com») para descargar y ejecutar cargas útiles de la siguiente etapa. Un enfoque alternativo emplea acortadores de URL como short[.]gy para ocultar las URL de Vercel.

La compañía de ciberseguridad dijo que también identificó un paquete npm malicioso vinculado a la campaña denominada «eslint-validator» que recupera y ejecuta una carga útil ofuscada desde una URL de Google Drive. La carga útil en cuestión es un conocido malware de JavaScript denominado BeaverTail.

Además, se ha descubierto que una tarea maliciosa de VS Code integrada en un repositorio de GitHub inicia una cadena de infección exclusiva de Windows que ejecuta un script por lotes para descargar el tiempo de ejecución de Node.js en el host (si no existe) y aprovecha el programa certutil para analizar un bloque de código contenido en el script. Luego, el script decodificado se ejecuta con el tiempo de ejecución de Node.js obtenido previamente para implementar un malware de Python protegido con PyArmor.

La empresa de ciberseguridad Red Asgard, que también ha sido extensamente rastreando el campaña, dicho Los actores de amenazas han aprovechado proyectos de código VS diseñados que utilizan el disparador runOn: «folderOpen» para implementar malware que, a su vez, consulta la cadena de bloques Polygon para recuperar JavaScript almacenado dentro de un contrato NFT para mejorar la resiliencia. La carga útil final es un ladrón de información que recopila credenciales y datos de navegadores web, billeteras de criptomonedas y administradores de contraseñas.

Distribución de la infraestructura de prueba utilizada por los actores de amenazas norcoreanos en 2025

«Esta campaña dirigida a desarrolladores muestra cómo un ‘proyecto de entrevista’ con tema de reclutamiento puede convertirse rápidamente en un camino confiable hacia la ejecución remota de código al integrarse en flujos de trabajo rutinarios de desarrolladores, como abrir un repositorio, ejecutar un servidor de desarrollo o iniciar un backend», concluyó Microsoft.

Para contrarrestar la amenaza, la compañía recomienda que las organizaciones endurezcan los límites de confianza del flujo de trabajo de los desarrolladores, apliquen una autenticación sólida y un acceso condicional, mantengan una estricta higiene de las credenciales, apliquen el principio de privilegio mínimo a las cuentas de los desarrolladores y creen identidades, y separe la infraestructura de construcción cuando sea posible.

El desarrollo se produce cuando GitLab dijo que prohibió 131 cuentas únicas que participaban en la distribución de proyectos de código malicioso vinculados a la campaña Contagious Interview y el esquema fraudulento de trabajadores de TI conocido como Wagemole.

«Los actores de amenazas normalmente se originaban en VPN de consumidores cuando interactuaban con GitLab.com para distribuir malware; sin embargo, también se originaban de forma intermitente en infraestructuras VPS dedicadas y probablemente en direcciones IP de granjas de portátiles», Oliver Smith de GitLab. dicho. «Los actores de amenazas crearon cuentas utilizando direcciones de correo electrónico de Gmail en casi el 90% de los casos».

En más del 80% de los casos, según la plataforma de desarrollo de software, se dice que los actores de amenazas aprovecharon al menos seis servicios legítimos para alojar cargas útiles de malware, incluidos JSON Keeper, Mocki, npoint.io, Render, Railway.app y Vercel. Entre ellos, Vercel fue el más utilizado, y los actores de amenazas confiaron en la plataforma de desarrollo web no menos de 49 veces en 2025.

«En diciembre, observamos un grupo de proyectos que ejecutaban malware a través de tareas de VS Code, ya sea canalizando contenido remoto a un shell nativo o ejecutando un script personalizado para decodificar malware a partir de datos binarios en un archivo de fuente falso», agregó Smith, corroborando los hallazgos de Microsoft antes mencionados.

Organigrama evaluado de la célula de trabajadores de TI de Corea del Norte

GitLab también descubrió un proyecto privado «casi con certeza» controlado por un ciudadano norcoreano que administra una célula de trabajadores de TI de Corea del Norte que contenía registros financieros y de personal detallados que mostraban ganancias de más de $ 1,64 millones entre el primer trimestre de 2022 y el tercer trimestre de 2025. El proyecto incluía más de 120 hojas de cálculo, presentaciones y documentos que rastreaban el desempeño de los ingresos trimestrales de los miembros individuales del equipo.

«Los registros demuestran que estas operaciones funcionan como empresas estructuradas con objetivos y procedimientos operativos definidos y una estrecha supervisión jerárquica», señaló GitLab. «La capacidad demostrada de esta célula para cultivar facilitadores a nivel mundial proporciona un alto grado de resiliencia operativa y flexibilidad en el lavado de dinero».

Una cuenta de GitHub asociada con un trabajador de TI de Corea del Norte

En un informe publicado a principios de este mes, Okta dijo que la «gran mayoría» de las entrevistas con trabajadores de TI no avanzan hacia una segunda entrevista u oferta de trabajo, pero señaló que están «aprendiendo de sus errores» y que un gran número de ellos buscan trabajo por contrato temporal como desarrolladores de software contratados por empresas de terceros para aprovechar el hecho de que es poco probable que apliquen verificaciones de antecedentes rigurosas.

«Sin embargo, algunos actores parecen ser más competentes a la hora de crear personajes y pasar entrevistas de proyección», afirma. agregado. Está en juego una especie de selección natural del trabajador de TI. Los actores más exitosos son muy prolíficos y programaron cientos de entrevistas cada uno.»