Hasta ejecutar un editor de código es peligroso. ¿Qué está pasando con la seguridad en TI?
La prudencia habitual de los profesionales ya no es suficiente.
Un nuevo ataque contra desarrolladores se despliega de forma silenciosa y casi imperceptible: basta abrir un repositorio descargado para ejecutar código malicioso. La campaña, llamada TasksJacker, muestra cómo las herramientas habituales de desarrollo se convierten en un punto de entrada para complejas cadenas de compromiso.
El equipo de OpenSourceMalware descubrió una operación a gran escala vinculada a grupos norcoreanos. En un mes los atacantes introdujeron cambios maliciosos en más de 400 repositorios en GitHub, afectando a decenas de organizaciones, incluida DataStax. El ataque no requiere artimañas habituales como entrevistas falsas: la infección ocurre de forma automática al abrir el proyecto en Visual Studio Code.
El elemento clave del esquema es el archivo .vscode/tasks.json. Normalmente ese archivo ayuda a automatizar la compilación o la configuración del proyecto. En el marco de TasksJacker se añaden comandos que se ejecutan inmediatamente después de abrir la carpeta. Como resultado, el editor ejecuta por sí mismo un script malicioso, descarga componentes adicionales y entrega el control a los atacantes.
Los autores del ataque ocultan cuidadosamente la intervención. Reescriben el historial de git, suplantan autores y fechas de los commits, de modo que los cambios maliciosos parecen parte de ediciones antiguas legítimas. En un caso la cuenta de servicio de DataStax en minuto y medio realizó modificaciones simultáneas en 12 repositorios: la velocidad y la precisión apuntan a la automatización.
El aspecto técnico de la campaña destaca por separado. El control de la infraestructura maliciosa se trasladó a la cadena de bloques: se utilizan las redes TRON, Aptos y Binance Smart Chain. Este enfoque convierte a los servidores de comando en prácticamente inmunes a la desconexión, ya que los datos en la cadena de bloques no se pueden eliminar. Incluso después de bloquear dominios individuales, el ataque se reanuda rápidamente mediante nueva infraestructura.
Tras la infección inicial, el malware recopila credenciales, claves SSH, tokens de servicios en la nube y billeteras de criptomonedas. Paralelamente, se instala una puerta trasera oculta para mantener acceso prolongado. Los datos obtenidos se usan luego en la siguiente fase: el ataque PolinRider, en el que las cuentas ya comprometidas se emplean para introducir código malicioso en proyectos de código abierto populares mediante solicitudes de extracción.
Además, los especialistas señalan la aparición de técnicas similares en otros grupos. La campaña GlassWorm utiliza los mismos métodos —reescritura del historial de commits y control mediante cadena de bloques—, lo que indica la rápida difusión de esas prácticas entre los atacantes.
A pesar de los intentos de bloquear la infraestructura, la operación continúa. Los atacantes añadieron una capa de ocultamiento mediante acortadores de enlaces y desplegaron nuevos servidores. Al momento de la publicación, parte de los repositorios infectados sigue accesible, por lo que el riesgo para los desarrolladores persiste.
TasksJacker evidencia un cambio en la lógica de los ataques a la cadena de suministro: ahora están en riesgo no solo las dependencias y las bibliotecas, sino también las propias herramientas de desarrollo. Abrir un proyecto se convierte en un punto de compromiso y detectar la suplantación resulta cada vez más difícil.