Hackers norcoreanos usan Visual Studio Code para distribuir malware StoatWaffle

Hackers norcoreanos están utilizando proyectos maliciosos de Microsoft Visual Studio Code (VS Code), un editor de código muy popular entre programadores, para distribuir un programa malicioso llamado StoatWaffle. Esto representa una nueva táctica que pone en riesgo a desarrolladores que usen VS Code sin las debidas precauciones.

Cómo funciona el ataque

El ataque se basa en el uso de la función "tasks.json" de VS Code. Los atacantes configuran esta función para que, al abrir un proyecto infectado en VS Code, se descargue e instale automáticamente un componente malicioso. Este componente, a su vez, descarga e instala Node.js (un entorno para ejecutar JavaScript) si no está presente en el sistema. Finalmente, se descarga un programa (downloader) que se comunica con un servidor externo para recibir y ejecutar código malicioso.

• El malware StoatWaffle tiene dos módulos principales:
• Un ladrón de credenciales (stealer) que roba nombres de usuario y contraseñas guardadas en navegadores como Chrome, Firefox y, en macOS, también la base de datos de iCloud Keychain.
• Un troyano de acceso remoto (RAT), que permite a los atacantes controlar el equipo infectado, ejecutar comandos, buscar archivos, y robar información.

Este grupo de atacantes, conocido como WaterPlum, también ha estado propagando malware a través de paquetes maliciosos en repositorios de código abierto (como npm) e incluso comprometiendo cuentas de GitHub para insertar código malicioso en proyectos legítimos.

A quién afecta

Este ataque está dirigido principalmente a desarrolladores de software, especialmente aquellos que trabajan en el sector de criptomonedas y Web3. Los atacantes suelen utilizar tácticas de ingeniería social, como falsas ofertas de trabajo, para engañar a sus víctimas y persuadirlas de que ejecuten código malicioso en sus sistemas. Las víctimas no suelen ser desarrolladores junior, sino fundadores, CTOs o ingenieros senior con acceso a infraestructura crítica.

Cómo protegerse

Microsoft ha respondido a estos ataques implementando medidas de seguridad en VS Code. A partir de la versión 1.109 (enero de 2026), la ejecución automática de tareas definidas en "tasks.json" está desactivada por defecto. Además, se muestra una advertencia al usuario cuando se detecta una tarea de ejecución automática en un proyecto recién abierto.

• Para protegerte, asegúrate de tener la última versión de VS Code instalada.
• Mantén la configuración "task.allowAutomaticTasks" desactivada.
• Desconfía de proyectos de VS Code que provengan de fuentes desconocidas o sospechosas.
• Examina cuidadosamente los archivos "tasks.json" antes de abrir un proyecto.

Qué significa esto para ti

Si eres desarrollador de software, especialmente en el ámbito de las criptomonedas o Web3, es crucial que estés al tanto de estas amenazas y tomes medidas para protegerte. La ingeniería social y el uso de herramientas de desarrollo como VS Code son vectores de ataque cada vez más comunes. Mantente alerta, verifica las fuentes de tus proyectos y mantén tu software actualizado.