Un nuevo ciberataque con los desarrolladores en el punto de mira

Los desarrolladores de software tienen tradicionalmente unos niveles de acceso a los sistemas más altos que los del común de los empleados. Por ello siempre han sido usuarios golosos para los ciberatacantes, que tienen mucho ganado si logran empezar una brecha con este tipo de perfiles. El último ejemplo de ello lo pone Bitdefender, que acaba de publicar una nueva investigación ilustrativa.

Se trata del IDE (entorno de desarrollo integrado) Windsurf, en el que los atacantes han disfrazado una extensión maliciosa como si fuera una extensión de soporte de lenguaje R para Visual Studio Code. Esta extensión recupera un código JavaScript cifrado desde la blockchain Solana y ejecuta la infección, al mismo tiempo que “establece su persistencia con la ayuda de una tarea programada oculta de PowerShell”.

El ataque es bastante sutil. Aparte de utilizar un nombre muy parecido al de una extensión conocida, no empieza a desencriptar su carga maliciosa hasta que no se ha terminado de instalar en un intento de evitar la detección. Además, el hecho de utilizar Solana, en lugar los habituales servidores de comando y control, hace que sea mucho más difícil de tumbar.

Al parecer, la principal funcionalidad del malware es la exfiltración de datos. Al parecer una de las primeras cosas que hace en el sistema es identificar la región. Si considera que está en Rusia, se desactiva. Bitdefender considera que este detalle indica una “salvaguarda típicamente asociada con grupos de cibercrimen con motivación financiera que intenta evitar el escrutinio doméstico”.