enero 20, 2026
keys.jpg

Ravie Lakshmanan20 de enero de 2026Seguridad en la nube/seguridad del desarrollador

Investigadores de ciberseguridad han revelado detalles de una campaña de malware dirigida a desarrolladores de software con un nuevo ladrón de información llamado Evelyn Stealer al utilizar como arma el ecosistema de extensión Microsoft Visual Studio Code (VS Code).

“El malware está diseñado para filtrar información confidencial, incluidas las credenciales de los desarrolladores y los datos relacionados con las criptomonedas. También se puede abusar de los entornos de desarrolladores comprometidos como puntos de acceso a sistemas organizacionales más amplios”, dijo Trend Micro en un análisis publicado el lunes.

La actividad está diseñada para destacar a las organizaciones con equipos de desarrollo de software que dependen de VS Code y extensiones de terceros, así como aquellas con acceso a sistemas de producción, recursos en la nube o activos digitales, agregó.

Vale la pena señalar que los detalles de la campaña fueron documentados por primera vez por Koi Security el mes pasado cuando surgieron detalles de tres extensiones de VS Code: BigBlack.bitcoin-black, BigBlack.codo-ai y BigBlack.mrbigblacktheme, que finalmente eliminaron una DLL de descarga maliciosa (“Lightshot.dll”) responsable de iniciar un comando oculto de PowerShell para recuperar y ejecutar una carga útil de segunda etapa (“runtime.exe”).

Ciberseguridad

El ejecutable, a su vez, descifra la carga útil principal del ladrón y la inyecta en un proceso legítimo de Windows (“grpconv.exe”) directamente en la memoria, lo que permite capturar y filtrar datos confidenciales a través de FTP a un servidor remoto (“server09.mentality(.)cloud”) en forma de un archivo ZIP. La información recopilada por el malware incluye:

  • Contenido del portapapeles
  • Aplicaciones instaladas
  • Carteras de criptomonedas
  • Procesos en curso
  • Capturas de pantalla de escritorio
  • Credenciales WiFi guardadas
  • Información del sistema
  • Credenciales y cookies almacenadas de Google Chrome y Microsoft Edge

Además, implementa medidas de protección para detectar análisis y entornos virtuales y toma medidas para finalizar los procesos activos del navegador para garantizar un proceso de recopilación de datos sin problemas y evitar posibles interrupciones al intentar extraer cookies y credenciales.

Esto se logra iniciando el navegador desde la línea de comando configurando los siguientes indicadores para detección y seguimiento forense:

  • –headless=nuevo para ejecutar en modo sin cabeza
  • –disable-gpu para evitar la aceleración de la GPU
  • –no-sandbox para deshabilitar el entorno limitado de seguridad del navegador
  • –disable-extensions para evitar que las extensiones de seguridad legítimas interfieran
  • –disable-logging para deshabilitar la generación de registros del navegador
  • –silent-launch para suprimir las notificaciones de inicio
  • –no-first-run para omitir los cuadros de diálogo de configuración inicial
  • –disable-popup-blocking para garantizar que se pueda ejecutar contenido malicioso
  • –window-position=-10000,-10000 para colocar la ventana fuera de la pantalla
  • –window-size=1,1 para minimizar la ventana a 1×1 píxeles
Ciberseguridad

“El descargador (DLL) crea un objeto mutex (mutex) para garantizar que sólo se pueda ejecutar una instancia del malware a la vez. Esto garantiza que no se puedan ejecutar múltiples instancias del malware en un host comprometido”, dijo Trend Micro. “La campaña de Evelyn Stealer refleja la puesta en práctica de ataques contra comunidades de desarrolladores, que se consideran objetivos de alto valor debido a su importante papel en el ecosistema de desarrollo de software”.

La divulgación coincide con la aparición de dos nuevas familias de malware ladrón basado en Python llamadas MonetaStealer y SolyxImmortal, la primera también capaz de atacar los sistemas Apple macOS y permitir el robo de datos generalizado.

“(SolyxImmortal) aprovecha las API legítimas del sistema y las bibliotecas de terceros comúnmente disponibles para extraer datos confidenciales del usuario y filtrarlos a webhooks de Discord controlados por atacantes”, dijo CYFIRMA.

“Su diseño enfatiza el sigilo, la confiabilidad y el acceso a largo plazo en lugar de una ejecución rápida o un comportamiento destructivo. Debido a que el malware opera completamente en el espacio del usuario y depende de plataformas confiables para el comando y control, la probabilidad de detección inmediata se reduce mientras la actividad del usuario permanece persistentemente visible”.

About The Author

desafiomayor

See author's posts

Related News

linkedin.jpg

Los piratas informáticos utilizan mensajes de LinkedIn para difundir malware RAT mediante la descarga de DLL

enero 20, 2026 0
git-ai-flaw.jpg

Tres fallas en Anthropic MCP Git Server permiten el acceso a archivos y la ejecución de código

enero 20, 2026 0

You may have missed

e38d70a0-f61c-11f0-b57e-5619c9c049fd.png

Go:Mixer Studio de Roland es un mezclador asequible pero potente para aspirantes a ingenieros de audio

enero 20, 2026 0
grubhub-courthouse1.jpg

La empresa matriz de Grubhub adquiere la startup de recompensas para restaurantes

enero 20, 2026 0
Carbon-Robotics-LaserWeeder-G2-600-Onions-1260x945.jpg

Ingenieros sobre el terreno: el estado de Washington está recurriendo a la IA para salvar el futuro de la agricultura

enero 20, 2026 0
setapp-mobile.png

Cierra una de las primeras tiendas de aplicaciones alternativas de la UE

enero 20, 2026 0
Product-Banner-2.png

Eat App quiere entrar en el negocio de reservas de restaurantes indios con una adquisición y una asociación con Swiggy

enero 20, 2026 0
humans.png

Humans&, una startup de IA “centrada en el ser humano” fundada por exalumnos de Anthropic, xAI y Google, ha recaudado una ronda inicial por valor de 480 millones de dólares.

enero 20, 2026 0