Bitdefender, empresa global de ciberseguridad, acaba de publicar una investigación que alerta de la existencia de una campaña de malware que se lleva a cabo a través de una extensión maliciosa del IDE (entorno de desarrollo integrado) Windsurf. La campaña se dirige específicamente a desarrolladores de software, que suelen tener acceso privilegiado, claves API y otras credenciales de alto valor.

La extensión suplanta la identidad de una herramienta legítima del lenguaje de programación R para Visual Studio Code e instala un programa de robo de credenciales NodeIS en varias etapas, lo que permite a los atacantes infiltrarse en los entornos de desarrollo y obtener credenciales de navegador confidenciales. En lugar de utilizar la infraestructura tradicional de comando y control (C2), el malware recupera código JavaScript cifrado de las transacciones de la cadena de bloques Solana, lo que dificulta considerablemente su eliminación.

El ataque establece persistencia mediante tareas programadas ocultas de PowerShell e implementa módulos nativos capaces de extraer contraseñas, cookies y tokens de sesión de navegadores basados ​​en Chromium.

Antes de atacar, este malware comprueba si la víctima se encuentra en Rusia. Si es así, se desactiva.

Según Bitdefender, los ciberdelincuentes están abusando cada vez más de los ecosistemas de desarrolladores de confianza y de infraestructuras descentralizadas para instalar malware y lograr persistencia.