Corea del Norte Explota Vulnerabilidades en VS Code Tunnels para Ataques Remotos

DPRK y VS Code Tunnels: Nuevas Amenazas en el Acceso Remoto para Pentesters y Red Teams

La evolución de las técnicas de acceso remoto ha propiciado el surgimiento de herramientas que facilitan la interacción remota con sistemas de destino, tanto para fines legítimos como maliciosos. En este escenario, los mecanismos como DPRK (Dynamic Port Reverse Kit) y VS Code Tunnels están ganando popularidad entre profesionales de seguridad ofensiva y actores de amenazas, planteando desafíos importantes para los defensores.

DPRK: Un Kit Dinámico para Rebotes de Puertos

DPRK es una herramienta orientada a la creación de túneles reversos de puertos de manera dinámica, que permite a los usuarios remotos establecer conexiones a servicios que normalmente estarían inaccesibles debido a firewalls o segmentaciones de red. En el contexto de redteams y pentesting, DPRK facilita la exploración y explotación de sistemas internos, al crear canales de comunicación cifrados y persistentes hacia el entorno comprometido.

Su diseño modular y su capacidad para sortear medidas de seguridad de forma eficiente lo convierten en una opción poderosa para mantener el acceso durante evaluaciones de seguridad o ataques dirigidos. Sin embargo, esta misma funcionalidad también la hace atractiva para actores maliciosos que buscan evadir la detección de las soluciones tradicionales de monitoreo de tráfico.

VS Code Tunnels: Exploits de una Plataforma para el Desarrollo Remoto

Por otro lado, VS Code Tunnels, una característica oficial del editor Visual Studio Code, permite a los desarrolladores conectarse de forma remota a sus entornos de trabajo mediante túneles seguros. Aunque esta funcionalidad es legítima y muy útil para el trabajo remoto, su potencial de abuso ha sido identificado recientemente.

Los ciberdelincuentes pueden aprovechar VS Code Tunnels para mantener acceso persistente y cifrado a estaciones de trabajo comprometidas, aprovechando la confianza inherente en los servicios de Microsoft. Esta técnica dificulta la detección debido a la heterogeneidad del tráfico y la integración con servicios legítimos ampliamente confiables.

Implicaciones para la Ciberseguridad Empresarial

La adopción generalizada de estas herramientas implica que las organizaciones deben adaptar sus estrategias de defensa. Es esencial implementar controles avanzados de monitoreo que identifiquen patrones inusuales de creación de túneles reversos y conexiones remotas cifradas que no correspondan con el perfil operativo esperado.

Además, el despliegue de soluciones de seguridad debe contemplar la visibilidad dentro de los flujos de red cifrados y la aplicación de reglas específicas para bloquear o alertar sobre el uso no autorizado de herramientas como DPRK o el abuso de VS Code Tunnels.

Recomendaciones Prácticas para la Defensa

Auditoría y Control de Software: Mantener un inventario exhaustivo de las aplicaciones permitidas en los endpoints y verificar regularmente la presencia de herramientas de túnel reverso no autorizadas.
Monitoreo de Tráfico y Análisis de Comportamiento: Emplear soluciones que detecten conexiones cifradas con patrones atípicos o en horarios no habituales.
Segmentación y Principio de Mínimos Privilegios: Restringir accesos remotos y segmentar la red para limitar el alcance de compromisos mediante túneles.
Formación y Concienciación: Capacitar a los equipos sobre los riesgos asociados a estas técnicas y la importancia de reportar comportamiento sospechoso.

Conclusión

El avance en las tecnologías de acceso remoto representa una espada de doble filo, que puede ser habilitadora o explotable en contextos de seguridad informática. Herramientas como DPRK y servicios como VS Code Tunnels refuerzan la necesidad de que los defensores estén actualizados y preparados para identificar y mitigar nuevos vectores de ataque. La defensa proactiva y el monitoreo continuo son claves para proteger los entornos frente a estas amenazas emergentes.

Fuente: Dark Reading – DPRK vs VS Code Tunnels: Remote Hacking Technique Challenges
https://www.darkreading.com/endpoint-security/dprk-vs-code-tunnels-remote-hacking

← Latinoamérica fortalece su confianza en habilidades y defensas cibernéticas ante crecientes amenazas digitales Las estafas más comunes con Apple Pay y cómo protegerte de ellas →

¡Conéctate con nosotros en las redes sociales!

Estamos presentes en todas tus plataformas favoritas, compartiendo siempre contenido actualizado y útil para ti.

¿Te interesa aprender sobre ciberseguridad y cómo protegerte en el mundo digital? Escucha nuestro podcast en YouTube, donde te contamos todo sobre seguridad informática de manera práctica y fácil de entender.

Nunca compartiremos tus datos con nadie. Nuestra Política

Nombre	Dominio	Uso	Duración	Tipo
wpl_user_preference	www.antifraude.co	WP GDPR Cookie Consent Preferences.	1 year	HTTP
YSC	youtube.com	YouTube session cookie.	Session	HTTP
_GRECAPTCHA	www.google.com	---	6 months	---
m	m.stripe.com	---	2 years	---

Nombre	Dominio	Uso	Duración	Tipo
NID	google.com	Google unique id for preferences.	6 months	HTTP
__cf_bm	twitter.com	Generic CloudFlare functional cookie.	Session	HTTP

Nombre	Dominio	Uso	Duración	Tipo
VISITOR_PRIVACY_METADATA	youtube.com	---	6 months	---
__Secure-ROLLOUT_TOKEN	youtube.com	---	6 months	---

Servicios de Ethical Hacking, Red Team y SecDevOps

Infraestructura IT y aplicaciones

Servicios Forenses, Evidencias DIgitales y E-Discovery

Procesamiento forense agnóstico

Monitoreo Digital 7x24, SOC Virtual y CISO Virtual

Alianzas con los mejores de la industria

Consultoría en Gobierno, Riesgo y Cumplimiento de Ciberseguridad

Ciberseguridad desde la estrategia

Servicios de Concientización, Ingeniería Social y Simulaciones

El eslabón más debil