Hackers norcoreanos atacan grandes firmas cripto usando malware en ofertas laborales

Un grupo de hackers de Corea del Norte está atacando a trabajadores del sector cripto con un malware basado en Python disfrazado como parte de un falso proceso de solicitud de empleo, informaron los investigadores de Cisco Talos esta semana.

La mayoría de las víctimas parecen estar ubicadas en India, según señales de código abierto, y parecen ser individuos con experiencia previa en startups de blockchain y criptomonedas.

Aunque Cisco no reporta evidencia de un compromiso interno, el riesgo general sigue siendo claro: que estos esfuerzos intentan obtener acceso a las empresas a las que estos individuos podrían unirse eventualmente.

El malware, llamado PylangGhost, es una nueva variante del troyano de acceso remoto (RAT) GolangGhost previamente documentado, y comparte la mayoría de las mismas características, solo que reescrito en Python para dirigirse mejor a sistemas Windows.

Los usuarios de Mac continúan siendo afectados por la versión en Golang, mientras que los sistemas Linux parecen no verse afectados. El actor de amenaza detrás de la campaña, conocido como Famous Chollima, ha estado activo desde mediados de 2024 y se cree que es un grupo alineado con la RPDC.

Leer más: Hackers norcoreanos atacan a desarrolladores cripto mediante empresas pantalla de EE. UU.

Su vector de ataque más reciente es simple: suplantar a principales empresas cripto como Coinbase, Robinhood y Uniswap mediante sitios de carrera falsos altamente pulidos, y atraer a ingenieros de software, especialistas en marketing y diseñadores para que completen “pruebas de habilidades” escenificadas.

Una vez que un objetivo rellena información básica y responde preguntas técnicas, se le solicita instalar controladores de video falsos pegando un comando en su terminal, que descarga y lanza silenciosamente el RAT basado en Python.

La carga útil está oculta en un archivo ZIP que incluye el intérprete de Python renombrado (nvidia.py), un script de Visual Basic para desempaquetar el archivo y seis módulos principales responsables de la persistencia, fingerprinting del sistema, transferencia de archivos, acceso a shell remoto y robo de datos del navegador.

El RAT extrae credenciales de inicio de sesión, cookies de sesión y datos de billeteras de más de 80 extensiones, incluyendo MetaMask, Phantom, TronLink y 1Password.

El conjunto de comandos permite el control remoto total de las máquinas infectadas, incluyendo cargas y descargas de archivos, reconocimiento del sistema y lanzamiento de un shell, todo a través de paquetes HTTP cifrados con RC4.

Los paquetes HTTP cifrados con RC4 son datos enviados por internet que están codificados usando un método de encriptación obsoleto llamado RC4. Aunque la conexión en sí no es segura (HTTP), los datos dentro están encriptados, pero no muy bien, ya que RC4 está obsoleto y es fácil de romper con los estándares actuales.

A pesar de ser una reescritura, la estructura y las convenciones de nomenclatura de PylangGhost reflejan casi exactamente las de GolangGhost, lo que sugiere que ambos fueron probablemente elaborados por el mismo operador, indicó Cisco.

Este artículo, o partes del mismo, fue generado con asistencia de herramientas de IA y revisado por nuestro equipo editorial para garantizar la precisión y el cumplimiento de nuestros estándares. Para más información, consulte la política completa de IA de CoinDesk.