Hackers norcoreanos atacan a quienes buscan empleo en criptomonedas con malware

Los hackers norcoreanos, Famous Chollima, atacaron a expertos en criptomonedas con entrevistas de trabajo falsas diseñadas para robar sus datos e instalar malware en sus dispositivos. El malware robódentde más de 80 extensiones de navegador, incluyendo gestores de contraseñas y monederos de criptomonedas como Metamask, 1Password, NordPass, Phantom, Bitski, Initia, TronLink y MultiverseX.

El miércoles, la firma de investigación de inteligencia de amenazas Cisco Talos informó que Famous Chollima se hizo pasar por empresas legítimas y dirigió a víctimas desprevenidas a sitios web de prueba de habilidades donde las víctimas ingresaban datos personales y respondían preguntas técnicas.

Los sitios de pruebas de habilidades falsamente presentaban empresas reales como Coinbase, Archblock, Robinhood, Parallel Studios, Uniswap y otras, lo que ayudó con la focalización. 

Solo unos pocos usuarios, principalmente en India, se vieron afectados, según información de fuentes abiertas. Dileep Kumar HV, director de Digital South Belief, recomendó que, para contrarrestar estas estafas, India debería exigir auditorías de ciberseguridad para las empresas de blockchain y monitorear los portales de empleo falsos. También pidió unatroncoordinación global en materia de ciberdelincuencia transfronteriza y campañas de concienciación digital.

Talos da seguimiento a la estafa y confirma una conexión con Corea del Norte

🚨 𝗔𝗟𝗘𝗥𝗧: 𝗡𝗼𝗿𝘁𝗵 𝗞𝗼𝗿𝗲𝗮𝗻 𝗵𝗮𝗰𝗸𝗲𝗿𝘀 𝗮𝗿𝗲 𝘁𝗮𝗿𝗴𝗲𝘁𝗶𝗻𝗴 𝗯𝗹𝗼𝗰𝗸𝗰𝗵𝗮𝗶𝗻 𝗽𝗿𝗼𝗳𝗲𝘀𝘀𝗶𝗼𝗻𝗮𝗹𝘀 𝘔𝘶𝘴 𝘵𝘦𝘯𝘥𝘦𝘳𝘢 𝘤𝘰𝘯 𝘤𝘰𝘯 𝘤𝘰𝘯𝘤𝘪𝘰𝘯𝘢𝘴

Descubierto como un famoso clip de job setas — sé carismático… pic.twitter.com/wt4pe5o1Zg

— Mayank Dudeja || SPYONGEMS (@imcryptofreak) 20 de junio de 2025

La firma de investigación de ciberseguridad Cisco Talos afirmó que el nuevo troyano de acceso remoto basado en Python llamado “PylangGhost” vinculó el malware a un colectivo de hackers afiliado a Corea del Norte llamado “Famous Chollima”, también conocido como “Wagemole”

La empresa también reveló que el malware PylangGhost era funcionalmente equivalente al RAT GolangGhost, previamente documentado, y compartía muchas de sus capacidades. Famous Chollima utilizó la variante basada en Python para atacar sistemas Windows, mientras que la versión de Golang se dirigió a usuarios de macOS. Los sistemas Linux quedaron excluidos de estos últimos ataques.

Según Talos, el grupo de actores de amenazas ha estado activo desde 2024 a través de varias campañas bien documentadas. Estas campañas incluían el uso de variantes de "Contagious Interview" (también conocido como "Deceptive Development") y la creación de anuncios de empleo y páginas de pruebas de habilidades falsos. Se indicaba a los usuarios que copiaran y pegaran (ClickFix) una línea de comandos maliciosa para instalar los controladores necesarios para realizar la fase final de la prueba de habilidades.  

A los candidatos en el último esquema descubierto en mayo se les indicó que habilitaran el acceso a la cámara para una entrevista de video y se les pidió que copiaran y ejecutaran comandos maliciosos camuflados como instalaciones de controladores de video. Así, terminaron usando PylangGhost en sus dispositivos. La ejecución comenzó con el archivo "nvidia.py", que realizó varias tareas: creó un valor de registro para iniciar la RAT cada vez que un usuario iniciaba sesión en el sistema, generó un GUID para el sistema que se usaría en la comunicación con el servidor de comando y control (C2), se conectó al servidor C2 y entró en el bucle de comandos para la comunicación con el servidor.

Según Cisco Talos, “las instrucciones para descargar la supuesta solución varían según la huella digital del navegador y también se proporcionan en el lenguaje de shell apropiado para el sistema operativo: PowerShell o Command Shell para Windows y Bash para MacOS”

Talos observó que, además de robar fondos directamente de las plataformas de intercambio, los hackers de Famous Chollima se centraron últimamente en profesionales de las criptomonedas para recopilar información y posiblemente infiltrarse en empresas de criptomonedas desde dentro. A principios de este año, hackers norcoreanos crearon empresas estadounidenses falsas, BlockNovas LLC y SoftGlide LLC, para distribuir malware mediante entrevistas de trabajo fraudulentas antes de que el FBI confiscara el dominio de BlockNovas.

Corea del Norte emerge como un centro de notorios esquemas de piratería informática

En diciembre de 2024, el hackeo de Radiant Capital, que costó 50 millones de dólares, comenzó cuando actores norcoreanos de la RPDC se hicieron pasar por antiguostracy enviaron archivos PDF con malware a ingenieros. Los suplantadores compartieron un archivo zip con el pretexto de solicitar comentarios sobre un nuevo proyecto en el que estaban trabajando.

Una declaración conjunta de Japón, Corea del Sur y Estados Unidos también confirmó que grupos respaldados por Corea del Norte, incluido Lazarus, robaron al menos 659 millones de dólares a través de múltiples robos de criptomonedas en 2024. Los enviados señalaron que los trabajadores norcoreanos en el extranjero, incluidos los especialistas en TI involucrados en "actividades cibernéticas maliciosas", fueron un factor importante en la capacidad del régimen para financiar sus programas de armas mediante el robo y el lavado de fondos, incluidas las criptomonedas.

de Chainalysis , confirmó que los hackers vinculados a Corea del Norte fueron, con diferencia, los más prolíficos en el ámbito del criptohacking de los últimos años. En 2022, batieron sus propios récords de robo, robando un valor estimado de 1.700 millones de dólares en criptomonedas en varios ataques, frente a los 428,8 millones de dólares de 2021.

Sin embargo, en mayo, la plataforma de intercambio de criptomonedas Kraken reveló que había identificado y frustrado con éxitodentun agente norcoreano que había solicitado un puesto de TI. Kraken detectó al solicitante cuando no pasó las pruebas básicasdentdurante las entrevistas.