Los solicitantes de empleo de criptomonedas en India se enfrentan a una nueva amenaza de malware procedente de piratas informáticos vinculados con Corea del Norte.

Los piratas informáticos vinculados al estado de Corea del Norte están apuntando a los profesionales de las criptomonedas en India con una nueva y altamente dirigida campaña de malware, según empresa de ciberseguridad Cisco TalosLos atacantes, identificados como un grupo conocido como Famosa Chollima, están utilizando entrevistas de trabajo falsas y sitios web fraudulentos de pruebas de habilidades para infectar los dispositivos de los usuarios con un nuevo troyano de acceso remoto (RAT) basado en Python denominado PylangGhost.

Esta operación, activa desde mediados de 2024, marca el último capítulo en la expansión de los esfuerzos de espionaje de criptomonedas de Corea del Norte. Investigadores de Cisco Talos revelaron que los atacantes se hacen pasar por reclutadores de empresas de criptomonedas de alto perfil como Coinbase. UniswapRobinhood y Archblock. Sus principales destinatarios: ingenieros de software, profesionales del marketing y otros especialistas en blockchain y activos digitales.

Señuelos de empleo y entrevistas falsas

La campaña comienza con ingeniería social. Supuestos reclutadores contactan a las víctimas y las invitan a visitar réplicas convincentes de páginas de empleo legítimas de empresas. Estos sitios ofrecen pruebas de evaluación de habilidades y solicitan información confidencial como nombres completos, currículums, direcciones de billetera y credenciales.

A continuación, se les indica a los candidatos que habiliten el acceso a la cámara y al micrófono para una entrevista en video. Durante esta fase, los reclutadores falsos piden a las víctimas que ejecuten ciertos comandos —disfrazados de instalaciones de controladores de video— que activan la instalación del... PylangGhost malware

Cisco Talos confirmó que el RAT otorga a los hackers control remoto total de los sistemas infectados y es capaz de robar credenciales y cookies de más de 80 extensiones de navegador. Estas incluyen gestores de contraseñas y monederos de criptomonedas ampliamente utilizados, como MetaMask, 1Password, NordPass, Phantom, TronLink y MultiverseX.

Malware avanzado con acceso persistente

PylangGhost es una evolución basada en Python de una amenaza previamente conocida llamada GolangGhost. Los nuevos objetivos de la variante Sistemas Windows Exclusivamente, y está diseñado para exfiltrar datos y mantener el acceso persistente a las máquinas comprometidas. Los sistemas Linux, según Cisco Talos, parecen no verse afectados por esta ola de ataques.

El malware puede ejecutar una amplia gama de comandos: tomar capturas de pantalla, recopilar información del sistema, administrar archivos y establecer control remoto continuo. Opera a través de múltiples servidores de comando y control registrados en dominios aparentemente confiables, como quickcamfix.online or autodriverfix.online.

A diferencia de estafas anteriores, esta campaña no se centra en el phishing masivo ni en el robo directo a plataformas de intercambio. Se trata, en cambio, de un ataque directo dirigido a profesionales del sector de las criptomonedas, aquellos con acceso a infraestructura clave, herramientas internas y datos confidenciales.

India: un objetivo de gran valor

India, uno de los centros de desarrollo blockchain de mayor crecimiento, se ha convertido en un objetivo prioritario. Muchos profesionales que trabajan en plataformas globales de criptomonedas residen en el país, y esta nueva estrategia contribuye directamente a esa concentración de talento.

Según Dileep Kumar HV, director de Digital South Trust, India necesita reformas urgentes para abordar este tipo de amenaza. Pidió auditorías de ciberseguridad obligatorias para empresas blockchain, una mayor vigilancia de los portales de empleo falsos y reformas legales en virtud de la Ley de TI de la India.

Descubra proyectos prometedores...

Proyectos prometedores...

El artículo continúa...

También instó a las agencias gubernamentales como CERT-In, MEIDAD y Instituto Nacional de Protección Civil y de la Competencia intensificar la colaboración y lanzar campañas de concienciación pública, así como compartir inteligencia con otras jurisdicciones.

Un patrón creciente de espionaje digital

Las ofertas de trabajo falsas se han convertido en una herramienta constante en los manuales cibernéticos de Corea del Norte. Grupo Lázaro, otro colectivo de hackers vinculado a Corea del Norte, utilizó una táctica similar a principios de 2024. creado empresas falsas con sede en EE. UU. como BlockNovas LLC y SoftGlide LLC para atraer a los desarrolladores de criptomonedas a entrevistas cargadas de malware.

En un incidente, hackers de Lazarus se hicieron pasar por antiguos contratistas para vulnerar Radiant Capital, lo que provocó una pérdida de 50 millones de dólares. Un comunicado conjunto de Japón, Corea del Sur y EE. UU. confirmó recientemente que... Grupos vinculados a Corea del Norte robaron 659 millones de dólares en criptomonedas en 2024 solo.

Estas campañas no se limitan al robo. Cada vez más, buscan recopilar información e infiltrarse en empresas de criptomonedas desde dentro. El objetivo final parece ser tanto la obtención de beneficios económicos como el control estratégico de los sistemas y datos de blockchain.

Contramedidas y el camino a seguir

El informe de Cisco Talos es una llamada de atención para los profesionales del sector de las criptomonedas. La firma recomienda una mayor vigilancia durante la búsqueda de empleo, especialmente al interactuar con nuevas plataformas, reclutadores desconocidos o URLs desconocidas.

Se aconseja a los profesionales:

• Evite instalar software o ejecutar comandos durante las entrevistas de trabajo.
• Verificar la legitimidad de las empresas y reclutadores.
• Utilice protección de puntos finales y herramientas antimalware.
• Actualice periódicamente las contraseñas y habilite la autenticación de dos factores.

Las empresas también deberían reforzar los controles internos y garantizar que el personal esté capacitado para detectar y denunciar intentos de ingeniería social.