Tu IDE te está espiando: te contamos sobre un "stealer" oculto en extensiones de VS Code
Un diminuto píxel ahora sabe todo sobre ti.
Los desarrolladores siguen siendo uno de los objetivos prioritarios de los ciberdelincuentes: las nuevas campañas de malware utilizan cada vez más herramientas y entornos directamente relacionados con el proceso de creación de software. Una confirmación más de esto fue el ataque detectado que emplea el malware Evelyn Stealer, distribuido mediante extensiones para Visual Studio Code.
Según Trend Micro, Evelyn Stealer está dirigido a robar las credenciales de los desarrolladores, información sobre criptomonedas y otra información sensible. La compromisión del entorno de trabajo del desarrollador también puede convertirse en un punto de entrada para ataques contra sistemas corporativos más amplios, especialmente si los especialistas afectados tienen acceso a recursos en la nube o a entornos de producción.
La campaña está dirigida a quienes usan activamente extensiones de terceros para VS Code. En diciembre, especialistas de Koi Security fueron los primeros en informar sobre los complementos maliciosos BigBlack.bitcoin-black, BigBlack.codo-ai y BigBlack.mrbigblacktheme, los cuales instalaban un archivo DLL llamado Lightshot.dll. Este ejecutaba un comando oculto de PowerShell que, a su vez, descargaba el ejecutable runtime.exe. Ese componente descifraba el módulo principal malicioso e inyectaba ese módulo en un proceso del sistema de Windows de confianza — grpconv.exe. De este modo, Evelyn Stealer podía operar de forma sigilosa y exportar los datos robados al servidor de los atacantes mediante FTP.
Entre la información recopilada están el contenido del portapapeles, la lista de aplicaciones instaladas, datos de monederos de criptomonedas, procesos activos, capturas de pantalla del escritorio, contraseñas Wi‑Fi guardadas, información del sistema y datos de los navegadores Google Chrome y Microsoft Edge, incluidas cookies y contraseñas guardadas. El malware también puede detectar entornos virtuales y herramientas de análisis, y finaliza procesos de navegadores para reducir el riesgo de fallos durante la extracción de datos.
Para un mayor camuflaje se usan parámetros especiales de inicio de los navegadores. Entre ellos están la desactivación de aceleradores gráficos, extensiones y el registro, poner la ventana en segundo plano con un tamaño mínimo de 1x1 píxel, así como eludir las pantallas de configuración. Ese comportamiento dificulta la detección y la intervención por parte de las soluciones de seguridad.
Como medida de protección adicional, el malware utiliza un mecanismo de mutex — un objeto de sincronización que impide ejecutar varias copias del código malicioso simultáneamente en un mismo dispositivo. Según Trend Micro, la campaña con Evelyn Stealer muestra un trabajo cada vez más dirigido de los atacantes contra los desarrolladores, quienes son objetivos especialmente valiosos en el contexto de la seguridad del software.
En medio de estos acontecimientos también se registraron dos nuevas familias de malware escritas en Python: MonetaStealer y SolyxImmortal. El primero puede funcionar, entre otros, en macOS, y el segundo usa las API del sistema y bibliotecas de terceros para recopilar información, enviándola mediante webhooks de Discord. En CYFIRMA señalan que SolyxImmortal apuesta por la discreción y la presencia persistente, evitando acciones destructivas y utilizando activamente plataformas de confianza para comunicarse con el servidor de comando.