22 de enero de 2026

Evelyn Stealer: El nuevo malware que convierte a VS Code en un arma contra los desarrolladores

Evelyn Stealer: El nuevo malware que convierte a VS Code en un arma contra los desarrolladores

Investigadores de la firma Trend Micro han emitido una alerta crítica sobre una nueva campaña de malware denominada "Evelyn Stealer". Este sofisticado infostealer está diseñado específicamente para atacar a la comunidad de desarrolladores de software, utilizando el ecosistema de extensiones de Microsoft Visual Studio Code (VS Code) como vector principal de infección.

El desarrollador como objetivo de alto valor

A diferencia de los ataques masivos genéricos, Evelyn Stealer tiene un enfoque quirúrgico. Según el análisis publicado este lunes, los atacantes buscan comprometer entornos de desarrollo porque estos suelen ser "puntos de entrada dorados" hacia la infraestructura profunda de las organizaciones, incluyendo sistemas de producción, recursos en la nube y activos digitales.

Capacidades del malware: Mucho más que robo de contraseñas

Evelyn Stealer destaca por su capacidad técnica para operar de forma sigilosa mientras extrae una cantidad masiva de datos sensibles. Entre sus funciones principales se encuentran:

  • Exfiltración de credenciales: Robo de tokens y cookies almacenadas en navegadores como Google Chrome y Microsoft Edge.

  • Ataque a activos digitales: Identificación y robo de billeteras de criptomonedas y datos relacionados.

  • Espionaje de entorno: Capturas de pantalla del escritorio, monitoreo de procesos en ejecución, robo del contenido del portapapeles y obtención de credenciales de redes Wi-Fi guardadas.

  • Sigilo avanzado: El ejecutable utiliza una técnica de inyección de código en memoria, insertando su carga maliciosa dentro de un proceso legítimo de Windows (grpconv.exe), lo que dificulta enormemente su detección por antivirus tradicionales.

El mecanismo de exfiltración

Una vez que el malware ha recolectado la información, la empaqueta en un archivo ZIP y la envía a un servidor remoto bajo el control de los atacantes (server09.mentality[.]cloud) a través del protocolo FTP.

Investigadores de la firma CYFIRMA también han vinculado variantes de este ataque con el uso de webhooks de Discord para la salida de datos, una técnica que aprovecha servicios legítimos para pasar desapercibida ante los firewalls de red.

Recomendaciones para equipos de ingeniería

El auge de Evelyn Stealer refleja una preocupante tendencia de "industrialización" de ataques contra desarrolladores. Los expertos recomiendan:

  1. Auditoría de extensiones: Verificar estrictamente el origen y la reputación de cualquier extensión de VS Code antes de su instalación.

  2. Higiene de credenciales: Evitar almacenar claves de API o secretos en archivos de texto plano o variables de entorno locales sin cifrar dentro del IDE.

  3. Monitoreo de red: Vigilar conexiones salientes inusuales hacia protocolos como FTP o dominios no reconocidos desde estaciones de trabajo de desarrollo.

Este incidente subraya que, en el panorama actual de la ciberseguridad, el eslabón más fuerte de la cadena técnica —el desarrollador— se ha convertido en el objetivo más codiciado por el cibercrimen.

Fuente: https://thehackernews.com/2026/01/evelyn-stealer-malware-abuses-vs-code.html
← Anterior Investigación revela crisis de seguridad...
Escrito por:
Luis Carreón
📰 Otras noticias del día
Cloudflare corrige una vulnerabilidad crítica que permitía saltar el WAF y acceder a servidores de origen
Investigación revela crisis de seguridad: más de 42,000 "secretos" expuestos en paquetes de JavaScript
📧 Suscríbete

Recibe las últimas noticias de ciberseguridad directamente en tu email.

← Volver al inicio