Aviso sobre amenazas de ciberseguridad:

13 de diciembre de 2024

Explotación activa de túneles VSCode

Un grupo de amenazas persistentes avanzadas (APT), Stately Taurus, ha estado explotando una vulnerabilidad en los túneles de Visual Studio Code (VSCode) para mantener el acceso remoto persistente en sistemas comprometidos.

¿Cuál es la amenaza?

La vulnerabilidad en los túneles de VSCode permite a los atacantes acceder de forma remota sin autorización. Mediante la inyección SQL, introducen un archivo “.LNK malicioso o un script de Python en los sistemas de destino. Una vez dentro, los tuenes de VSCode les permiten eludir los protocolos de seguridad, lo que facilita el movimiento lateral y la exfiltración de datos.

¿Por qué es de relevancia?

El grupo APT, Stately Taurus, ha estado vinculado a múltiples infracciones en los últimos años. Su operación actual, con el nombre en código “Operación Digital Eye” tiene como objetivo especifico a los proveedores de servicios de TI del sur de Europa. La explotación de los túneles VSCode les permite pasar desapercibidos, lo que dificulta la detección de intrusiones. Como los proveedores de servicios de TI son los principales objetivos, esto supone un riesgo significativo para la cadena de suministro, que podría afectar a numerosos clientes a nivel regional.

¿Cuál es el riesgo?

Las organizaciones que utilizan VSCode corren un alto riesgo. Una explotación exitosa puede permitir el movimiento lateral, el robo de credenciales, la exfiltración de datos y la vigilancia. Mas allá del impacto inmediato en la organización, la intrusión puede conducir a la manipulación del código, lo que crea una puerta trasera persistente para los atacantes.

Recomendaciones

Se recomienda que las organizaciones tomen medidas para reducir el riesgo de explotación y proteger su infraestructura critica:

Audite todas las herramientas de desarrollo de VSCode y verifique la entrada de código. La mayoría de los ataques son causados por una entrada de código deficiente.
Aproveche las soluciones de detección y respuesta de puntos finales (EDR), como la plataforma XDR o la supervisión proactiva de actividades inusuales en sus sistemas. Esto ayuda a detectar y responder a posibles amenazas antes de que provoquen daños significativos.