En Resumen
- Cisco Talos reveló que hackers norcoreanos desplegaron el troyano "PylangGhost" para atacar profesionales de criptomonedas a través de entrevistas laborales falsas.
- Los atacantes crearon sitios fraudulentos haciéndose pasar por Coinbase, Robinhood y Uniswap para robar credenciales de más de 80 extensiones de navegador.
- Expertos señalaron que India debe implementar auditorías de ciberseguridad obligatorias y fortalecer la coordinación global contra estos delitos transfronterizos.
Los hackers norcoreanos están atrayendo a profesionales de criptomonedas hacia elaboradas entrevistas de trabajo falsas diseñadas para robar sus datos e implementar malware sofisticado en sus dispositivos.
Un nuevo troyano de acceso remoto basado en Python llamado "PylangGhost", vincula el malware a un colectivo de hackers afiliado a Corea del Norte llamado "Famous Chollima", también conocido como "Wagemole", según informó el miércoles la firma de investigación de inteligencia de amenazas Cisco Talos.
"Basándose en los puestos anunciados, está claro que Famous Chollima está apuntando ampliamente a individuos con experiencia previa en criptomonedas y tecnologías blockchain", escribió la firma.
La campaña se dirige principalmente a profesionales de criptomonedas y blockchain en India, utilizando sitios de trabajo fraudulentos que se hacen pasar por empresas legítimas, incluyendo Coinbase, Robinhood y Uniswap.
El esquema comienza con reclutadores falsos que dirigen a los buscadores de empleo hacia sitios web de pruebas de habilidades donde las víctimas ingresan detalles personales y responden preguntas técnicas.
Después de completar las evaluaciones, se instruye a los candidatos a habilitar el acceso a la cámara para una entrevista en video y luego se les solicita copiar y ejecutar comandos maliciosos disfrazados como instalaciones de controladores de video.
Dileep Kumar H V, director de Digital South Trust, dijo a Decrypt que para contrarrestar estos fraudes, "India debe exigir auditorías de ciberseguridad para empresas de blockchain y monitorear portales de trabajo falsos".
Una necesidad vital de concienciación
"CERT-In debería emitir alertas rojas, mientras que MEITY y NCIIPC deben fortalecer la coordinación global sobre delitos cibernéticos transfronterizos", dijo, pidiendo "disposiciones legales más sólidas" bajo la Ley de Tecnología de la Información y "campañas de concienciación digital".
El malware PylangGhost recién descubierto puede robar credenciales y cookies de sesión de más de 80 extensiones de navegador, incluyendo administradores de contraseñas populares y billeteras de criptomonedas como Metamask, 1Password, NordPass y Phantom.
El troyano establece acceso persistente a sistemas infectados y ejecuta comandos remotos desde servidores de comando y control.
Esta última operación se alinea con el patrón más amplio de ciberdelincuencia centrada en criptomonedas de Corea del Norte, que incluye al notorio Grupo Lazarus, responsable de algunos de los mayores robos de la industria.
Además de robar fondos directamente de exchanges, el régimen ahora está apuntando a profesionales individuales para recopilar inteligencia y potencialmente infiltrar empresas de criptomonedas desde adentro.
El grupo ha estado llevando a cabo ataques basados en contratación desde al menos 2023 a través de campañas como "Contagious Interview" y "DeceptiveDevelopment", que han apuntado a desarrolladores de criptomonedas en plataformas incluyendo GitHub, Upwork y CryptoJobsList.
Casos en aumento
A principios de este año, hackers norcoreanos establecieron empresas falsas en Estados Unidos—BlockNovas LLC y SoftGlide LLC—para distribuir malware a través de entrevistas de trabajo fraudulentas antes de que el FBI confiscara el dominio de BlockNovas.
El malware PylangGhost es funcionalmente equivalente al RAT GolangGhost previamente documentado, compartiendo muchas de las mismas capacidades.
La variante basada en Python apunta específicamente a sistemas Windows, mientras que la versión Golang continúa apuntando a usuarios de macOS. Los sistemas Linux son notablemente excluidos de estas últimas campañas.
Los atacantes mantienen docenas de sitios de trabajo falsos y servidores de descarga, con dominios diseñados para parecer legítimos, como "quickcamfix.online" y "autodriverfix online", según el informe.
Una declaración conjunta de Japón, Corea del Sur y Estados Unidos confirmó que grupos respaldados por Corea del Norte, incluyendo Lazarus, robaron al menos $659 millones a través de múltiples robos de criptomonedas en 2024.
En diciembre de 2024, el hackeo de $50 millones a Radiant Capital comenzó cuando operativos norcoreanos se hicieron pasar por antiguos contratistas y enviaron PDFs infectados con malware a ingenieros.
De manera similar, el exchange de criptomonedas Kraken reveló en mayo que identificó exitosamente y frustró a un operativo norcoreano que solicitó un puesto de TI, atrapando al solicitante cuando falló en pruebas básicas de verificación de identidad durante las entrevistas.
Editado por Sebastian Sinclair