Compartir este artículo
Hackers norcoreanos atacan grandes firmas cripto usando malware en ofertas laborales
Un grupo vinculado a la RPDC está utilizando sitios de empleo falsos y malware desarrollado en Python para infiltrarse en sistemas Windows de profesionales del blockchain, con el robo de credenciales y el acceso remoto como objetivo final.
Lo que debes saber:
- Un grupo de hackers norcoreano utiliza malware basado en Python disfrazado como falsas solicitudes de empleo para atacar a trabajadores de crypto.
- El malware, PylangGhost, es una variante de GolangGhost y tiene como objetivo infiltrarse en empresas comprometiendo a individuos.
- Los atacantes se hacen pasar por las principales firmas de crypto y atraen a las víctimas para que instalen el malware mediante pruebas falsas de habilidades.
Un grupo de hackers de Corea del Norte está atacando a trabajadores del sector cripto con un malware basado en Python disfrazado como parte de un falso proceso de solicitud de empleo, informaron los investigadores de Cisco Talos esta semana.
La mayoría de las víctimas parecen estar ubicadas en India, según señales de código abierto, y parecen ser individuos con experiencia previa en startups de blockchain y criptomonedas.
CONTINÚA MÁS ABAJO
Aunque Cisco no reporta evidencia de un compromiso interno, el riesgo general sigue siendo claro: que estos esfuerzos intentan obtener acceso a las empresas a las que estos individuos podrían unirse eventualmente.
El malware, llamado PylangGhost, es una nueva variante del troyano de acceso remoto (RAT) GolangGhost previamente documentado, y comparte la mayoría de las mismas características, solo que reescrito en Python para dirigirse mejor a sistemas Windows.
Los usuarios de Mac continúan siendo afectados por la versión en Golang, mientras que los sistemas Linux parecen no verse afectados. El actor de amenaza detrás de la campaña, conocido como Famous Chollima, ha estado activo desde mediados de 2024 y se cree que es un grupo alineado con la RPDC.
Leer más: Hackers norcoreanos atacan a desarrolladores cripto mediante empresas pantalla de EE. UU.
Su vector de ataque más reciente es simple: suplantar a principales empresas cripto como Coinbase, Robinhood y Uniswap mediante sitios de carrera falsos altamente pulidos, y atraer a ingenieros de software, especialistas en marketing y diseñadores para que completen “pruebas de habilidades” escenificadas.
Una vez que un objetivo rellena información básica y responde preguntas técnicas, se le solicita instalar controladores de video falsos pegando un comando en su terminal, que descarga y lanza silenciosamente el RAT basado en Python.
La carga útil está oculta en un archivo ZIP que incluye el intérprete de Python renombrado (nvidia.py), un script de Visual Basic para desempaquetar el archivo y seis módulos principales responsables de la persistencia, fingerprinting del sistema, transferencia de archivos, acceso a shell remoto y robo de datos del navegador.
El RAT extrae credenciales de inicio de sesión, cookies de sesión y datos de billeteras de más de 80 extensiones, incluyendo MetaMask, Phantom, TronLink y 1Password.
El conjunto de comandos permite el control remoto total de las máquinas infectadas, incluyendo cargas y descargas de archivos, reconocimiento del sistema y lanzamiento de un shell, todo a través de paquetes HTTP cifrados con RC4.
Los paquetes HTTP cifrados con RC4 son datos enviados por internet que están codificados usando un método de encriptación obsoleto llamado RC4. Aunque la conexión en sí no es segura (HTTP), los datos dentro están encriptados, pero no muy bien, ya que RC4 está obsoleto y es fácil de romper con los estándares actuales.
A pesar de ser una reescritura, la estructura y las convenciones de nomenclatura de PylangGhost reflejan casi exactamente las de GolangGhost, lo que sugiere que ambos fueron probablemente elaborados por el mismo operador, indicó Cisco.
Este artículo, o partes del mismo, fue generado con asistencia de herramientas de IA y revisado por nuestro equipo editorial para garantizar la precisión y el cumplimiento de nuestros estándares. Para más información, consulte la política completa de IA de CoinDesk.
More For You
What to know:
- As of October 2025, GoPlus has generated $4.7M in total revenue across its product lines. The GoPlus App is the primary revenue driver, contributing $2.5M (approx. 53%), followed by the SafeToken Protocol at $1.7M.
- GoPlus Intelligence's Token Security API averaged 717 million monthly calls year-to-date in 2025 , with a peak of nearly 1 billion calls in February 2025. Total blockchain-level requests, including transaction simulations, averaged an additional 350 million per month.
- Since its January 2025 launch , the $GPS token has registered over $5B in total spot volume and $10B in derivatives volume in 2025. Monthly spot volume peaked in March 2025 at over $1.1B , while derivatives volume peaked the same month at over $4B.
More For You
Solana’s Drift lanza la versión 3, con operaciones 10 veces más rápidas
Con la versión 3, el equipo señala que aproximadamente el 85% de las órdenes de mercado se ejecutarán en menos de medio segundo, y la liquidez se profundizará lo suficiente como para reducir el deslizamiento en operaciones de mayor volumen a alrededor del 0.02%.
What to know:
- Drift, una de las plataformas de negociación de contratos perpetuos más grandes en Solana, ha lanzado Drift v3, una actualización importante diseñada para que el comercio en cadena se sienta tan rápido y fluido como el uso de un exchange centralizado.
- La nueva versión ofrecerá una ejecución de operaciones 10 veces más rápida gracias a un backend reconstruido, marcando el mayor salto en rendimiento que el proyecto ha logrado hasta ahora.
Historias Destacadas
