Ciberdelincuentes norcoreanos usan GitHub y VS Code para robar criptomonedas a desarrolladores

Introducción

En un contexto de amenazas cada vez más sofisticadas y dirigidas, Proofpoint ha reportado la existencia de un nuevo clúster de actividad maliciosa identificado como UNK_DeadDrop, atribuido con alta probabilidad a actores alineados con intereses de Corea del Norte. La campaña, activa desde al menos principios de 2024, se dirige de forma específica a desarrolladores de software, empleando técnicas avanzadas como repositorios fraudulentos en GitHub, flujos de trabajo manipulados en Visual Studio Code y extensiones maliciosas. El objetivo principal es el robo de activos digitales, especialmente criptomonedas, explotando la confianza inherente en los ecosistemas de desarrollo colaborativos.

Contexto del Incidente

El sector de las criptomonedas y el desarrollo de software han sido históricamente blancos de amenazas persistentes avanzadas (APT), particularmente por parte de grupos auspiciados por estados, como el conocido Lazarus Group. Sin embargo, la campaña identificada por Proofpoint representa una evolución significativa en los métodos de acceso inicial y persistencia en entornos de desarrollo. UNK_DeadDrop ha enfocado sus operaciones en plataformas ampliamente adoptadas por la comunidad de desarrolladores, como GitHub y Visual Studio Code, aumentando la superficie de ataque y dificultando la detección temprana.

Esta campaña se caracteriza por una ingeniería social muy elaborada, dirigida a desarrolladores individuales y pequeños equipos, simulando colaboraciones legítimas en proyectos de código abierto. Las invitaciones a colaborar o la inclusión de dependencias de repositorios maliciosos han demostrado ser vectores efectivos para comprometer los entornos de desarrollo y, a partir de ahí, acceder a billeteras de criptomonedas o credenciales sensibles.

Detalles Técnicos

La campaña utiliza varios vectores de ataque y técnicas de compromiso:

– **Repositorios maliciosos en GitHub**: Los actores crean y mantienen proyectos que simulan ser herramientas útiles para desarrolladores, insertando código malicioso o scripts de post-instalación que ejecutan payloads en el entorno de la víctima.
– **Flujos de trabajo comprometidos en Visual Studio Code**: Mediante la manipulación de archivos de configuración (`tasks.json`, `launch.json`), los atacantes logran la ejecución automática de código malicioso cuando los desarrolladores abren o compilan proyectos clonados.
– **Extensiones maliciosas de VS Code**: Se han detectado extensiones aparentemente legítimas que, tras su instalación, habilitan la ejecución de scripts remotos o el exfiltrado de información sensible, como credenciales de acceso a exchanges o seed phrases de wallets.
– **CVE y TTPs**: Aunque no se han identificado CVEs específicos asociados a esta campaña, se observan tácticas alineadas con MITRE ATT&CK como Spearphishing via Service (T1194), Supply Chain Compromise (T1195) y Exfiltration Over C2 Channel (T1041).
– **IoC**: Los indicadores de compromiso registrados incluyen URLs específicas de GitHub, hashes de extensiones maliciosas y direcciones IP asociadas a infraestructura controlada por los atacantes. Además, se han detectado conexiones C2 cifradas hacia dominios recientemente registrados y poco reputados.

Impacto y Riesgos

Se estima que, hasta la fecha, la campaña ha alcanzado a decenas de desarrolladores en Europa y Norteamérica, con pérdidas documentadas superiores a los 2 millones de euros en activos digitales. La naturaleza de los ataques permite a los ciberdelincuentes escalar privilegios rápidamente y moverse lateralmente hacia otros sistemas corporativos, comprometiendo no solo billeteras personales, sino también infraestructuras de desarrollo CI/CD y repositorios privados.

El riesgo se amplifica debido a la confianza existente en los ecosistemas de código abierto y la dificultad para auditar exhaustivamente todas las dependencias y extensiones. Además, una brecha de seguridad en entornos de desarrollo puede derivar en incumplimientos de normativas como el GDPR o la inminente NIS2, con sanciones económicas que pueden superar los 10 millones de euros o el 2 % de la facturación anual.

Medidas de Mitigación y Recomendaciones

Para contener y mitigar el impacto de esta campaña, se recomienda:

– Auditar todas las dependencias de proyectos y verificar la integridad de los repositorios antes de integrarlos en entornos productivos.
– Limitar el uso de extensiones de VS Code a aquellas verificadas y publicadas por desarrolladores o empresas de confianza.
– Implantar soluciones EDR y DLP con capacidades de monitorización de conexiones salientes y detección de comportamiento anómalo en entornos de desarrollo.
– Formación periódica en ciberseguridad dirigida a equipos de desarrollo, enfatizando la detección de intentos de phishing y supply chain attacks.
– Implementar políticas de doble autenticación (MFA) en plataformas de desarrollo y wallets de criptomonedas.
– Actualizar y reforzar la segmentación de redes para aislar entornos de desarrollo de sistemas críticos y productivos.

Opinión de Expertos

Analistas de Threat Intelligence de empresas líderes como Mandiant y Kaspersky coinciden en que las campañas de supply chain targeting a desarrolladores van en aumento, aprovechando la confianza y la falta de procedimientos rigurosos de verificación en proyectos de código abierto. Según Proofpoint, “este tipo de campañas demuestran una madurez operativa creciente por parte de actores patrocinados por estados, que emplean técnicas de living-off-the-land y manipulación de herramientas legítimas, dificultando su detección por soluciones tradicionales”.

Implicaciones para Empresas y Usuarios

Las organizaciones que desarrollan o gestionan activos digitales deben revisar sus políticas de seguridad en el ciclo de vida del software, incluyendo auditorías periódicas de código y dependencias, análisis de comportamiento en entornos de desarrollo y el refuerzo de medidas de seguridad en la gestión de claves y contraseñas. Para los usuarios individuales, la principal recomendación es desconfiar de proyectos desconocidos y emplear wallets hardware para la custodia de criptomonedas.

Conclusiones

La campaña UNK_DeadDrop evidencia la sofisticación creciente de las amenazas dirigidas al sector del desarrollo de software y las criptomonedas, con actores estatales empleando técnicas avanzadas y persistentes. La colaboración entre equipos de seguridad, desarrolladores y plataformas como GitHub y VS Code será clave para mitigar estos riesgos y proteger la cadena de suministro de software.

(Fuente: www.cybersecuritynews.es)