Hackers norcoreanos usan el malware PylangGhost en una estafa de empleos falsos de criptomonedas

Una nueva serie de ciberataques está atacando a profesionales de las industrias de las criptomonedas y la cadena de bloques mediante estafas de reclutamiento fraudulentas, según un nuevo estudio de Cisco Talos. Los atacantes, vinculados a un grupo aliado con Corea del Norte conocido como Famous Chollima , se hacen pasar por empresas legítimas para engañar a las víctimas y que instalen malware camuflado en controladores de vídeo.

El grupo ha estado activo desde al menos mediados de 2024, conocido anteriormente por tácticas como ofertas de trabajo falsas para desarrolladores y procesos de entrevista fraudulentos. Este último avance muestra la sofisticación de la operación, ahora con un nuevo malware basado en Python llamado PylangGhost, una variante del troyano GolangGhost previamente identificado.

Las víctimas son contactadas por reclutadores falsos que ofrecen puestos en empresas que parecen estar en el sector de las criptomonedas. Los objetivos suelen ser desarrolladores de software, profesionales del marketing y diseñadores con experiencia en criptomonedas.

Una vez que se establece el contacto, la víctima es dirigida a una página falsa de evaluación de habilidades diseñada para parecer que pertenece a una empresa real, que incluye nombres conocidos como Coinbase, Robinhood, Uniswap y otros.

Estas páginas utilizan el framework React y simulan fielmente las interfaces corporativas reales. Tras completar la información personal y la prueba, se les indica a los solicitantes que deben grabar un video de presentación para el equipo de contratación. Para ello, se les pide que instalen los controladores de video copiando y pegando comandos en su terminal.

Ese paso descarga el malware.

Según la entrada del blog de Cisco Talos, si la víctima sigue instrucciones en un sistema Windows o macOS, se descarga un archivo ZIP malicioso. Este contiene el troyano PylangGhost, basado en Python, y scripts relacionados. El malware se descomprime automáticamente, se ejecuta en segundo plano y permite a los atacantes acceder remotamente al equipo de la víctima.

La versión de Python funciona de forma casi idéntica a su contraparte basada en Go. Se instala automáticamente para ejecutarse cada vez que se inicia el sistema, recopila información del sistema y se conecta a un servidor de comando y control. Una vez activa, puede recibir y ejecutar comandos remotos, recopilar credenciales y robar datos del navegador, incluyendo contraseñas y claves de monederos de criptomonedas .

Según Talos, afecta a más de 80 extensiones de navegador diferentes, incluidos administradores de contraseñas y billeteras digitales ampliamente utilizados como MetaMask, 1Password, NordPass y Phantom.

El malware utiliza cifrado RC4 para comunicarse con su servidor. Aunque el flujo de datos está cifrado, la clave de cifrado se envía junto con los datos, lo que limita la seguridad de este método. Aun así, esta configuración le permite integrarse con el tráfico normal y dificulta su detección.

El objetivo de esta operación es doble. En primer lugar, permite a los atacantes recopilar datos personales confidenciales de solicitantes de empleo reales. En segundo lugar, facilita la infiltración de empleados falsos en empresas reales, lo que podría dar lugar a una infiltración a largo plazo y al acceso a datos financieros valiosos o a la infraestructura de software.

Hasta el momento, solo se ha confirmado un pequeño número de víctimas, principalmente en India. Los usuarios de Linux no se ven afectados por esta campaña en particular. Ningún cliente de Cisco parece haberse visto afectado por el momento.

Talos señala que el desarrollo del malware no parece implicar la generación de código de IA, y la estructura de las versiones Python y Go sugiere que los mismos desarrolladores crearon ambas.

Si solicitas puestos en el sector de criptomonedas o tecnología, ten cuidado con las ofertas de trabajo que te piden instalar software o ejecutar comandos de terminal durante una entrevista. Las empresas legítimas no lo exigen.

Los equipos de ciberseguridad deben revisar los procesos de incorporación de empleados , especialmente para quienes contratan a distancia, y educar al personal sobre este tipo de ataques de ingeniería social. Monitorear conexiones salientes inesperadas o descargas ZIP extrañas también puede ayudar a detectar señales tempranas de vulnerabilidad.