{"id":340,"date":"2026-03-23T21:07:38","date_gmt":"2026-03-23T21:07:38","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/03\/23\/los-piratas-informaticos-norcoreanos-abusan-de-las-tareas-de-ejecucion-automatica-del-codigo-vs-para-implementar-el-malware-stoatwaffle\/"},"modified":"2026-03-23T21:07:38","modified_gmt":"2026-03-23T21:07:38","slug":"los-piratas-informaticos-norcoreanos-abusan-de-las-tareas-de-ejecucion-automatica-del-codigo-vs-para-implementar-el-malware-stoatwaffle","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/03\/23\/los-piratas-informaticos-norcoreanos-abusan-de-las-tareas-de-ejecucion-automatica-del-codigo-vs-para-implementar-el-malware-stoatwaffle\/","title":{"rendered":"Los piratas inform\u00e1ticos norcoreanos abusan de las tareas de ejecuci\u00f3n autom\u00e1tica del c\u00f3digo VS para implementar el malware StoatWaffle"},"content":{"rendered":"<div id=\"articlebody\">\n<p>Los actores de amenazas norcoreanos detr\u00e1s de la campa\u00f1a Contagious Interview, tambi\u00e9n rastreada como WaterPlum, han sido atribuidos a una familia de malware rastreada como <strong>Armi\u00f1oWaffle<\/strong> que se distribuye a trav\u00e9s de proyectos maliciosos de Microsoft Visual Studio Code (VS Code).<\/p>\n<p>El uso de VS Code \u00abtasks.json\u00bb para distribuir malware es una t\u00e1ctica relativamente nueva adoptada por el actor de amenazas desde diciembre de 2025, y los ataques aprovechan la opci\u00f3n \u00abrunOn: folderOpen\u00bb para activar autom\u00e1ticamente su ejecuci\u00f3n cada vez que se abre cualquier archivo en la carpeta del proyecto en VS Code.<\/p>\n<p>\u00abEsta tarea est\u00e1 configurada para que descargue datos de una aplicaci\u00f3n web en Vercel independientemente del sistema operativo que se ejecute. [operating system]\u00bbSeguridad NTT <a href=\"https:\/\/jp.security.ntt\/insights_resources\/tech_blog\/stoatwaffle_malware_en\/\" rel=\"noopener\" target=\"_blank\">dicho<\/a> en un informe publicado la semana pasada. \u00abAunque en este art\u00edculo asumimos que el sistema operativo que lo ejecuta es Windows, los comportamientos esenciales son los mismos para cualquier sistema operativo\u00bb.<\/p>\n<p>La carga \u00fatil descargada primero verifica si Node.js est\u00e1 instalado en el entorno de ejecuci\u00f3n. Si no est\u00e1, el malware descarga Node.js del sitio web oficial y lo instala. Posteriormente, procede a iniciar un descargador, que sondea peri\u00f3dicamente un servidor externo para buscar un descargador de la siguiente etapa que muestra un comportamiento id\u00e9ntico al comunicarse con otro punto final en el mismo servidor y ejecutar la respuesta recibida como c\u00f3digo Node.js.<\/p>\n<div class=\"dog_two clear\">\n<div class=\"cf\"><a href=\"https:\/\/thehackernews.uk\/not-fast-enough-d\" rel=\"nofollow noopener sponsored\" target=\"_blank\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEhlXM830ruQd2xT6M7JNeNRjaFa1onD12WjSCHihTFMTzbyfT9h-irPmXy_h3E1HGSs6sdv7FTmnyNVTM5kmSb7BuUtZe8gKoTQt99P1sSzRcqqXpOJP6eoAOhR3DGb6qHx9kOZ_HBZUMmVnsnd0DM7QfUp81bgzTvvgLww6oqB-EhnDfWXH5pWCYhAsyLs\/s728-e100\/tl-d.jpg\" width=\"729\" height=\"91\"\/><\/a><\/div>\n<\/div>\n<p>Se ha descubierto que StoatWaffle ofrece dos m\u00f3dulos diferentes:<\/p>\n<ul>\n<li>Un ladr\u00f3n que captura credenciales y datos de extensiones almacenados en navegadores web (navegadores basados \u200b\u200ben Chromium y Mozilla Firefox) y los carga en un servidor de comando y control (C2). Si el sistema comprometido se ejecuta en macOS, tambi\u00e9n roba la base de datos de iCloud Keychain.<\/li>\n<li>Un troyano de acceso remoto (RAT) que se comunica con el servidor C2 para buscar y ejecutar comandos en el host infectado. Los comandos permiten que el malware cambie el directorio de trabajo actual, enumere archivos y directorios, ejecute c\u00f3digo Node.js, cargue archivos, busque recursivamente en el directorio dado y enumere o cargue archivos que coincidan con una determinada palabra clave, ejecute comandos de shell y finalice.<\/li>\n<\/ul>\n<div class=\"separator\" style=\"clear: both;\"><a href=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEiNcuWL-9Hpc5iFLjfk2w9Zid8TqxRcOkoMeTjr_lA0GdIRCxF4vSnZJDm69TAkh65svIbIXAmzfUJzI6hjYNXUf0T9CAMO-TT09KDBq9MExubx39fbhp3YOlyoJ85ksyjpBA9nai0MzQqaowtLAtGaDRZLJN_JtReTPAWe7dYxluW5z1oBPs6m109yF6Qt\/s1700-e365\/flow.png\" style=\"clear: left; display: block; float: left;  text-align: center;\"><img decoding=\"async\" src=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEiNcuWL-9Hpc5iFLjfk2w9Zid8TqxRcOkoMeTjr_lA0GdIRCxF4vSnZJDm69TAkh65svIbIXAmzfUJzI6hjYNXUf0T9CAMO-TT09KDBq9MExubx39fbhp3YOlyoJ85ksyjpBA9nai0MzQqaowtLAtGaDRZLJN_JtReTPAWe7dYxluW5z1oBPs6m109yF6Qt\/s1700-e365\/flow.png\" alt=\"\" border=\"0\" data-original-height=\"1855\" data-original-width=\"2795\"\/><\/a><\/div>\n<p>\u00abStoatWaffle es un malware modular implementado por Node.js y tiene m\u00f3dulos Stealer y RAT\u00bb, dijo el proveedor de seguridad japon\u00e9s. \u00abWaterPlum desarrolla continuamente nuevo malware y actualiza los existentes\u00bb.<\/p>\n<p>El desarrollo coincide con varias campa\u00f1as montadas por el actor de amenazas dirigidas al ecosistema de c\u00f3digo abierto:<\/p>\n<ul>\n<li>un conjunto de <a href=\"https:\/\/kmsec.uk\/blog\/pylangghost-npm\/\" rel=\"noopener\" target=\"_blank\">paquetes npm maliciosos<\/a> que distribuyen el malware PylangGhost, lo que marca la primera vez que el malware se propaga a trav\u00e9s de paquetes npm.<\/li>\n<li>Una campa\u00f1a conocida como <a href=\"https:\/\/opensourcemalware.com\/blog\/polinrider-attack\" rel=\"noopener\" target=\"_blank\">PolinRider<\/a> tiene <a href=\"https:\/\/opensourcemalware.com\/?search=%23polinrider\" rel=\"noopener\" target=\"_blank\">implantado<\/a> una carga \u00fatil maliciosa de JavaScript ofuscada en cientos de repositorios p\u00fablicos de GitHub que culmina con la implementaci\u00f3n de una nueva versi\u00f3n de BeaverTail, un conocido malware ladr\u00f3n y descargador atribuido a Contagious Interview.<\/li>\n<li>Entre los compromisos est\u00e1n <a href=\"https:\/\/opensourcemalware.com\/blog\/neutralinojs-compromise\" rel=\"noopener\" target=\"_blank\">cuatro repositorios<\/a> perteneciente a la organizaci\u00f3n Neutralinojs GitHub. Se dice que el ataque comprometi\u00f3 la cuenta de GitHub de un colaborador de neutralinojs desde hace mucho tiempo con acceso de escritura a nivel de organizaci\u00f3n para forzar el c\u00f3digo JavaScript que recupera cargas \u00fatiles cifradas en transacciones de Tron, Aptos y Binance Smart Chain (BSC) para descargar y ejecutar BeaverTail. Se cree que las v\u00edctimas fueron infectadas a trav\u00e9s de una extensi\u00f3n maliciosa de VS Code o un paquete npm.<\/li>\n<\/ul>\n<p>Microsoft, en un <a href=\"https:\/\/www.microsoft.com\/en-us\/security\/blog\/2026\/03\/11\/contagious-interview-malware-delivered-through-fake-developer-job-interviews\/\" rel=\"noopener\" target=\"_blank\">an\u00e1lisis<\/a> de Contagious Interview de este mes, dijo que los actores de amenazas logran acceso inicial a los sistemas de los desarrolladores a trav\u00e9s de \u00abprocesos de reclutamiento organizados de manera convincente\u00bb que reflejan entrevistas t\u00e9cnicas leg\u00edtimas, y en \u00faltima instancia persuaden a las v\u00edctimas para que ejecuten comandos o paquetes maliciosos alojados en GitHub, GitLab o Bitbucket como parte de la evaluaci\u00f3n.<\/p>\n<p>En algunos casos, los objetivos se abordan a trav\u00e9s de LinkedIn. Sin embargo, las personas elegidas para este ataque de ingenier\u00eda social no son desarrolladores junior, sino fundadores, CTO e ingenieros senior en el sector de criptomonedas o Web3, quienes probablemente tengan un acceso elevado a la infraestructura tecnol\u00f3gica y a las billeteras de criptomonedas de la empresa. Un incidente reciente <a href=\"https:\/\/www.allsecure.io\/blog\/lazarus-linkedin-attack\/\" rel=\"noopener\" target=\"_blank\">involucrado<\/a> Los atacantes atacaron sin \u00e9xito al fundador de AllSecure.io a trav\u00e9s de una entrevista de trabajo falsa.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a href=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEglq24c1GgnEb7B4Nqpjwn8srEjmLsOFW__CY4AktuXe6VLZmCwGGLBOuODvoBYhnL4Px_jKTj9HZ6QY5AG1fBBZ_ILQre3r-pmw1yw6FIzyeTqWP5JqskXwk29RcaJ_vuGKrHBrr6DeqJKAoZ7Om5fE2bJyaSBi7rDUobVs_Z4r5QAZMSJu35TDIdanCnH\/s1700-e365\/access.jpg\" style=\"clear: left; display: block; float: left;  text-align: center;\"><img decoding=\"async\" src=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEglq24c1GgnEb7B4Nqpjwn8srEjmLsOFW__CY4AktuXe6VLZmCwGGLBOuODvoBYhnL4Px_jKTj9HZ6QY5AG1fBBZ_ILQre3r-pmw1yw6FIzyeTqWP5JqskXwk29RcaJ_vuGKrHBrr6DeqJKAoZ7Om5fE2bJyaSBi7rDUobVs_Z4r5QAZMSJu35TDIdanCnH\/s1700-e365\/access.jpg\" alt=\"\" border=\"0\" data-original-height=\"428\" data-original-width=\"975\"\/><\/a><\/div>\n<p>Algunas de las familias de malware clave implementadas como parte de estas cadenas de ataque incluyen OtterCookie (una puerta trasera capaz de robar datos en gran escala), InvisibleFerret (una puerta trasera basada en Python) y FlexibleFerret (una puerta trasera modular implementada tanto en Go como en Python). Si bien se sabe que InvisibleFerret generalmente se entrega a trav\u00e9s de BeaverTail, se ha descubierto que intrusiones recientes distribuyen el malware como una carga \u00fatil de seguimiento, despu\u00e9s de aprovechar el acceso inicial obtenido a trav\u00e9s de OtterCookie.<\/p>\n<p>Vale la pena mencionar aqu\u00ed que FlexibleFerret tambi\u00e9n se conoce como WeaselStore. Sus variantes Go y Python reciben los nombres de GolangGhost y PylangGhost, respectivamente.<\/p>\n<p>En una se\u00f1al de que los actores de amenazas est\u00e1n refinando activamente su oficio, las mutaciones m\u00e1s recientes de los proyectos de VS Code han evitado los dominios basados \u200b\u200ben Vercel para que los scripts alojados en GitHub Gist descarguen y ejecuten cargas \u00fatiles de la siguiente etapa que, en \u00faltima instancia, conducen a la implementaci\u00f3n de FlexibleFerret. Estos proyectos de VS Code se organizan en GitHub.<\/p>\n<p>\u00abAl incorporar la entrega de malware dirigido directamente en herramientas de entrevistas, ejercicios de codificaci\u00f3n y flujos de trabajo de evaluaci\u00f3n en los que los desarrolladores conf\u00edan inherentemente, los actores de amenazas explotan la confianza que los solicitantes de empleo depositan en el proceso de contrataci\u00f3n durante per\u00edodos de alta motivaci\u00f3n y presi\u00f3n de tiempo, lo que reduce la sospecha y la resistencia\u00bb, dijo el gigante tecnol\u00f3gico.<\/p>\n<p>En respuesta al abuso continuo de VS Code Tasks, Microsoft ha incluido una mitigaci\u00f3n en la actualizaci\u00f3n de enero de 2026 (<a href=\"https:\/\/code.visualstudio.com\/updates\/v1_109#_automatic-tasks-disabled-by-default\" rel=\"noopener\" target=\"_blank\">versi\u00f3n 1.109<\/a>) que introduce una nueva configuraci\u00f3n \u00abtask.allowAutomaticTasks\u00bb, que de forma predeterminada est\u00e1 \u00abdesactivada\u00bb para mejorar la seguridad y evitar la ejecuci\u00f3n no deseada de tareas definidas en \u00abtasks.json\u00bb al abrir un espacio de trabajo.<\/p>\n<p>\u00abLa actualizaci\u00f3n tambi\u00e9n evita que la configuraci\u00f3n se defina a nivel del espacio de trabajo, por lo que los repositorios maliciosos con su propio archivo .vscode\/settings.json no deber\u00edan poder anular la configuraci\u00f3n del usuario (global)\u00bb, Resumen de Seguridad <a href=\"https:\/\/www.abstract.security\/blog\/contagious-interview-evolution-of-vs-code-and-cursor-tasks-infection-chains-part-2\" rel=\"noopener\" target=\"_blank\">dicho<\/a>. <\/p>\n<p>\u00abEsta versi\u00f3n y la reciente de febrero de 2026 (<a href=\"https:\/\/code.visualstudio.com\/updates\/v1_110\" rel=\"noopener\" target=\"_blank\">versi\u00f3n 1.110<\/a>) tambi\u00e9n introduce un mensaje secundario que advierte al usuario cuando se detecta una tarea de ejecuci\u00f3n autom\u00e1tica en un espacio de trabajo reci\u00e9n abierto. Esto act\u00faa como protecci\u00f3n adicional despu\u00e9s de que un usuario acepta el mensaje de Workspace Trust\u00bb.<\/p>\n<p>En los \u00faltimos meses, los actores de amenazas norcoreanos tambi\u00e9n han estado participando en una campa\u00f1a coordinada de malware dirigida a profesionales de las criptomonedas a trav\u00e9s de ingenier\u00eda social de LinkedIn, empresas de capital de riesgo falsas y enlaces de videoconferencias fraudulentos. Los recursos compartidos de actividad se superponen con los grupos rastreados como GhostCall y UNC1069.<\/p>\n<p>\u00abLa cadena de ataque culmina en una p\u00e1gina CAPTCHA falsa estilo ClickFix que enga\u00f1a a las v\u00edctimas para que ejecuten comandos inyectados en el portapapeles en su Terminal\u00bb, Moonlock Lab de MacPaw. <a href=\"https:\/\/moonlock.com\/fake-vcs-target-crypto-talent-clickfix-campaign\" rel=\"noopener\" target=\"_blank\">dicho<\/a>. \u00abLa campa\u00f1a es multiplataforma por dise\u00f1o y ofrece cargas \u00fatiles personalizadas tanto para macOS como para Windows\u00bb.<\/p>\n<div class=\"dog_two clear\">\n<div class=\"cf\"><a href=\"https:\/\/thehackernews.uk\/attack-stories-xmcyber-d\" rel=\"nofollow noopener sponsored\" target=\"_blank\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEi10JhdzuuQKeU6vIJGPRAeffB5FYR9ajRiOfpp6hmgsP5GCmDcMdEKpiEEUZjkua9Y9R__l-63FpqNwAFgZzIdNR5lPIJcvvyBKIAu_nN7Z1TJoVUXrEvfQcWlJ0QhqMshOARvU3_B94NJNDbp-SiKAVfPFPibh_jcBpTfSPmCFxxJkPqL44kIFXL1WGEo\/s728-e100\/fs-d.png\" width=\"729\" height=\"91\"\/><\/a><\/div>\n<\/div>\n<p>Los hallazgos se producen cuando el Departamento de Justicia de EE. UU. (DoJ) <a href=\"https:\/\/www.justice.gov\/usao-sdga\/pr\/three-men-sentenced-providing-computer-access-foreign-workers-potential-espionage-plot\" rel=\"noopener\" target=\"_blank\">anunciado<\/a> la sentencia de tres hombres, Audricus Phagnasay, de 25 a\u00f1os, Jason Salazar, de 30, y Alexander Paul Travis, de 35, por su papel en la promoci\u00f3n del plan fraudulento de trabajadores de tecnolog\u00eda de la informaci\u00f3n (TI) de Corea del Norte, en violaci\u00f3n de las sanciones internacionales. Los tres individuos se declararon culpables previamente en noviembre de 2025.<\/p>\n<p>Phagnasay y Salazar fueron sentenciados a tres a\u00f1os de libertad condicional y una multa de 2.000 d\u00f3lares. Tambi\u00e9n se les orden\u00f3 renunciar a las ganancias il\u00edcitas obtenidas al participar en la conspiraci\u00f3n de fraude electr\u00f3nico. Travis fue sentenciado a un a\u00f1o de prisi\u00f3n y se le orden\u00f3 perder 193.265 d\u00f3lares, la cantidad ganada por los norcoreanos al usar su identidad.<\/p>\n<p>\u00abEstos hombres pr\u00e1cticamente dieron las llaves del reino en l\u00ednea a probables trabajadores norcoreanos de tecnolog\u00eda en el extranjero que buscaban recaudar ingresos il\u00edcitos para el gobierno de Corea del Norte, todo a cambio de lo que les parec\u00eda dinero f\u00e1cil\u00bb, dijo en un comunicado Margaret Heap, fiscal estadounidense para el Distrito Sur de Georgia.<\/p>\n<p>La semana pasada, Flare e IBM X-Force publicaron una descripci\u00f3n detallada del <a href=\"https:\/\/kudelskisecurity.com\/research\/inside-the-dprk-fake-it-worker-network-ip-ranges-proxies-and-internal-coordination\" rel=\"noopener\" target=\"_blank\">trabajador de TI<\/a> <a href=\"https:\/\/kudelskisecurity.com\/research\/dprk-fake-it-workers-fraud-playbook\" rel=\"noopener\" target=\"_blank\">operaci\u00f3n<\/a> y su <a href=\"https:\/\/kudelskisecurity.com\/research\/inside-the-cyber-infrastructure-behind-dprk-fake-it-worker-operations\" rel=\"noopener\" target=\"_blank\">estructura interna<\/a>al tiempo que destaca c\u00f3mo los trabajadores de TI asisten a prestigiosas universidades en Corea del Norte y pasan por un riguroso proceso de entrevistas antes de unirse al plan.<\/p>\n<p>Son \u00abconsiderados miembros de \u00e9lite de la sociedad norcoreana y se han convertido en una parte indispensable de los objetivos estrat\u00e9gicos generales del gobierno norcoreano\u00bb, se\u00f1alaron las empresas. \u00abEstos objetivos incluyen, entre otros, generaci\u00f3n de ingresos, actividad laboral remota, robo de informaci\u00f3n corporativa y patentada, extorsi\u00f3n y apoyo a otros grupos norcoreanos\u00bb.<\/p>\n<\/div>\n","protected":false},"excerpt":{"rendered":"<p>Los actores de amenazas norcoreanos detr\u00e1s de la campa\u00f1a Contagious Interview, tambi\u00e9n rastreada como WaterPlum, han sido atribuidos a una familia de malware rastreada como Armi\u00f1oWaffle que se distribuye a trav\u00e9s de proyectos maliciosos de Microsoft Visual Studio Code (VS Code). El uso de VS Code \u00abtasks.json\u00bb para distribuir malware es una t\u00e1ctica relativamente nueva [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":108,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[25,5],"tags":[1193,1195,376,70,766,530,540,95,52,60,274,36,539,1196,1194],"class_list":["post-340","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-noticias","category-trending","tag-abusan","tag-automatica","tag-codigo","tag-del","tag-ejecucion","tag-implementar","tag-informaticos","tag-las","tag-los","tag-malware","tag-norcoreanos","tag-para","tag-piratas","tag-stoatwaffle","tag-tareas"],"_links":{"self":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/340","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/comments?post=340"}],"version-history":[{"count":0,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/340\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media\/108"}],"wp:attachment":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media?parent=340"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/categories?post=340"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/tags?post=340"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}