Los actores norcoreanos de WaterPlum emplean proyectos maliciosos de VS Code para propagar el malware StoatWaffle

Introducción

En los últimos meses, la comunidad de ciberseguridad ha observado un cambio preocupante en las tácticas de los grupos APT norcoreanos. El colectivo conocido como WaterPlum —también catalogado por algunos analistas como responsables de la campaña Contagious Interview— ha comenzado a explotar entornos de desarrollo, concretamente Microsoft Visual Studio Code (VS Code), como vector de ataque para distribuir una nueva familia de malware identificada como StoatWaffle. Esta técnica, que aprovecha la configuración “tasks.json” de VS Code, representa una evolución significativa en las TTP (Tácticas, Técnicas y Procedimientos) de amenazas persistentes avanzadas (APT) y pone el foco en los riesgos asociados a la cadena de suministro de software y a los entornos de desarrollo modernos.

Contexto del Incidente o Vulnerabilidad

WaterPlum, conocido por sus campañas dirigidas a profesionales de sectores tecnológicos y de defensa bajo el pretexto de entrevistas laborales falsas (“Contagious Interview”), ha ampliado su arsenal con el uso de proyectos maliciosos de Visual Studio Code. El grupo ha comenzado a distribuir estos proyectos a través de campañas de phishing selectivo dirigidas a desarrolladores y equipos técnicos, en especial aquellos vinculados con empresas occidentales de alto valor estratégico.

La explotación de archivos de configuración de VS Code, en concreto “tasks.json”, es una táctica innovadora que se ha documentado desde diciembre de 2025. A diferencia de los clásicos métodos basados en macros de Office o exploits de vulnerabilidades conocidas (CVE), esta aproximación se inserta de forma más sutil en la rutina diaria de los desarrolladores, dificultando su detección y respuesta.

Detalles Técnicos

El principal vector de ataque detectado consiste en la distribución de repositorios maliciosos o paquetes adjuntos que simulan ser proyectos legítimos para VS Code. En el interior, el archivo “tasks.json” ha sido manipulado para ejecutar scripts maliciosos automáticamente al lanzar tareas de compilación o pruebas, una función habitual en flujos CI/CD y desarrollo ágil.

El malware StoatWaffle, ejecutado mediante estos scripts, presenta funcionalidades de exfiltración de credenciales, acceso remoto (RAT), reconocimiento del entorno y persistencia. Aunque aún no se ha asignado un CVE específico a esta técnica, sí se han correlacionado los TTPs con los siguientes identificadores de MITRE ATT&CK:

– T1059: Command and Scripting Interpreter (uso de scripts en tareas automatizadas)
– T1204: User Execution (engaño al usuario para abrir proyectos infectados)
– T1105: Ingress Tool Transfer (descarga de payloads adicionales)
– T1569: System Services (persistencia mediante servicios locales)

Los Indicadores de Compromiso (IoC) recogidos incluyen rutas de archivos inusuales en “.vscode/tasks.json”, conexiones outbound a dominios de C2 asociados con infraestructura norcoreana, y la presencia de binarios firmados con certificados comprometidos.

Impacto y Riesgos

El alcance potencial de esta campaña es significativo, especialmente en entornos donde los desarrolladores comparten proyectos de manera rutinaria o consumen repositorios de fuentes no verificadas. Se estima que, en la fase inicial, la campaña ha afectado al menos a un 5-8% de los entornos de desarrollo analizados en empresas del sector tecnológico según datos de firmas como Mandiant y SentinelOne.

Las consecuencias incluyen la filtración de credenciales corporativas, propiedad intelectual y acceso a recursos críticos en infraestructuras cloud (Azure, AWS, GCP). Esto puede derivar en ataques de cadena de suministro, escalado de privilegios y movimientos laterales dentro de la red corporativa, con posibles implicaciones legales bajo el Reglamento General de Protección de Datos (GDPR) y la Directiva NIS2.

Medidas de Mitigación y Recomendaciones

Para mitigar el riesgo asociado a esta campaña, los expertos recomiendan:

– Restringir la ejecución automática de scripts en VS Code, revisando y validando los archivos “tasks.json” antes de permitir su ejecución.
– Utilizar soluciones EDR/XDR con detección basada en comportamiento en estaciones de desarrollo.
– Limitar la importación de proyectos desde fuentes no confiables y aplicar políticas de firma digital en el código compartido.
– Desplegar reglas YARA y Sigma específicas para identificar IoCs relacionados con StoatWaffle.
– Formar a los equipos técnicos en la identificación de intentos de phishing avanzados dirigidos a perfiles de desarrollador.

Opinión de Expertos

Según Rafael Martín, CISO de una multinacional tecnológica, “este tipo de ataque demuestra la urgente necesidad de extender las estrategias de defensa más allá del perímetro tradicional. Los entornos de desarrollo, a menudo menos monitorizados que los sistemas de producción, se han convertido en un objetivo prioritario para los actores APT”. Por su parte, la analista Carmen Soriano de S2 Grupo advierte: “Las campañas como la de WaterPlum evidencian que los controles clásicos —antivirus, firewalls— ya no son suficientes. Es imprescindible la vigilancia proactiva de los entornos de desarrollo y la configuración segura de herramientas CI/CD”.

Implicaciones para Empresas y Usuarios

Las empresas deben considerar los entornos de desarrollo como activos críticos dentro de su estrategia de ciberseguridad. El uso creciente de herramientas colaborativas y repositorios compartidos amplifica el riesgo de ataques de cadena de suministro, que pueden comprometer tanto datos internos como software liberado públicamente. Los equipos de seguridad deben revisar sus políticas de onboarding y validación de código, y actualizar sus procedimientos de respuesta ante incidentes para incluir escenarios de compromiso en VS Code y herramientas similares.

Conclusiones

La campaña de WaterPlum/Contagious Interview marca un punto de inflexión en la sofisticación de las amenazas dirigidas a desarrolladores y equipos técnicos. El aprovechamiento de “tasks.json” en VS Code para propagar el malware StoatWaffle es un recordatorio de que la innovación en ciberataques avanza al ritmo de la evolución tecnológica. La vigilancia continua, la formación y la adopción de controles adaptativos son esenciales para neutralizar este tipo de amenazas persistentes y sofisticadas.

(Fuente: feeds.feedburner.com)