Los piratas informáticos de Corea del Norte atacan a los solicitantes de empleo criptográficos con malware

Los piratas informáticos de Corea del Norte, famosos Chollima, apuntaron a expertos en criptografía con entrevistas de trabajo falsas diseñadas para robar sus datos y desplegar malware en sus dispositivos. El malware robódentde más de 80 extensiones del navegador, incluidos los administradores de contraseñas y las billeteras de criptografía como Metamask, 1Password, Nordpass, Phantom, Bitski, Initia, TronLink y MultiverSex.

El miércoles, la firma de investigación de inteligencia de amenazas Cisco Talos informó que el famoso Chollima se hizo pasar por compañías legítimas y dirigió a las víctimas desprevenidas a sitios web de pruebas de habilidades donde las víctimas ingresaron a detalles personales y respondieron preguntas técnicas.

Los sitios de prueba de habilidades lideraron falsamente compañías reales como Coinbase , Archblock, Robinhood, Parallel Studios, Uniswap y otros, que ayudaron con la orientación.

Solo unos pocos usuarios, predominantemente en India, se vieron afectados en base a la inteligencia de código abierto. Dileep Kumar HV, director de Digital South Belief, aconsejó que para contrarrestar estas estafas, India debería exigir auditorías de ciberseguridad para corporaciones blockchain y monitorear portales de trabajo falsos. También pidió la coordinación global StronGER en las campañas transfronteras de cibercrimen y conciencia digital.

Talos hace un seguimiento de la estafa y confirma una conexión de Corea del Norte

🚨 𝗔𝗟𝗘𝗥𝗧: 𝗡𝗼𝗿𝘁𝗵 𝗞𝗼𝗿𝗲𝗮𝗻 𝗵𝗮𝗰𝗸𝗲𝗿𝘀 𝗮𝗿𝗲 𝘁𝗮𝗿𝗴𝗲𝘁𝗶𝗻𝗴 𝗯𝗹𝗼𝗰𝗸𝗰𝗵𝗮𝗶𝗻 𝗽𝗿𝗼𝗳𝗲𝘀𝘀𝗶𝗼𝗻𝗮𝗹𝘀 𝘄𝗶𝘁𝗵 𝗻𝗲𝘄 𝗶𝗻𝗳𝗼-𝘀𝘁𝗲𝗮𝗹𝗶𝗻𝗴 𝗺𝗮𝗹𝘄𝗮𝗿𝗲

𝗗𝗶𝘀𝗴𝘂𝗶𝘀𝗲𝗱 𝗮𝘀 𝗳𝗮𝗸𝗲 𝗰𝗿𝘆𝗽𝘁𝗼 𝗷𝗼𝗯 𝘀𝗶𝘁𝗲𝘀 𝘀𝗶𝘁𝗲𝘀 𝗯𝗲 𝗰𝗮𝗿𝗲𝗳𝘂𝗹 𝗰𝗮𝗿𝗲𝗳𝘂𝗹 𝗰𝗮𝗿𝗲𝗳𝘂𝗹… pic.twitter.com/wt4pe5o1zg

- Mayank Dudeja (@imcryptofrak) 20 de junio de 2025

La firma de investigación de ciberseguridad Cisco Talos afirmó que el nuevo troyano de acceso remoto con sede en Python llamado "Pylangghost" vinculó malware a un colectivo de piratería afiliado a Corea del Norte llamado "famoso Chollima", también conocido como "Wagemole".

La firma también reveló que el malware Pylangghost era funcionalmente equivalente a la rata Golangghost previamente documentada, compartiendo muchas de las mismas capacidades. El famoso Chollima usó la variante basada en Python para apuntar a los sistemas Windows, mientras que la versión de Golang dirigió a los usuarios de MacOS. Los sistemas Linux fueron excluidos de estos últimos ataques.

Según Talos, el grupo de actores de amenazas ha estado activo desde 2024 a través de varias campañas bien documentadas. Estas campañas incluyeron el uso de variantes de entrevista contagiosa (también conocida como desarrollo engañoso) y la creación de anuncios de trabajo falsos y páginas de pruebas de habilidades. Los usuarios recibieron instrucciones de copiar y pegar (ClickFix) una línea de comando maliciosa para instalar los controladores necesarios para llevar a cabo la etapa final de prueba de habilidades.  

Los candidatos en el último esquema descubierto en mayo recibieron instrucciones de habilitar el acceso a la cámara para una entrevista de video y se les pidió que copie y ejecute comandos maliciosos disfrazados de instalaciones de controladores de video. Por lo tanto, terminaron usando Pylangghost en sus dispositivos. La ejecución comenzó con el archivo "nvidia.py", que realizó varias tareas: creó un valor de registro para iniciar la rata cada vez que un usuario inició sesión en el sistema, generó un GUID para el sistema que se utilizará en comunicación con el servidor de comando y control (C2), conectado al servidor C2 e ingresó el bucle de comandos para la comunicación con el servidor.

Según Cisco Talos, "las instrucciones para descargar la presunta solución son diferentes según las huellas dactilares del navegador, y también se dan en el lenguaje de shell apropiado para el sistema operativo: PowerShell o SHell de comando para Windows, y Bash para macOS".

Talos observó que, aparte de robar fondos directamente de los intercambios, los famosos piratas informáticos de Chollima recientemente se centraron en profesionales criptográficos para recopilar información y posiblemente infiltrarse en empresas criptográficas desde el interior. A principios de este año, los piratas informáticos norcoreanos establecieron compañías falsas de EE. UU., Blocknovas LLC y Softglide LLC, para distribuir malware a través de entrevistas de trabajo fraudulentas antes de que el FBI confisara el dominio de Blocknovas.

Corea del Norte emerge como un centro para los notorios esquemas de piratería

En diciembre de 2024, el truco de capital radiante de $ 50 millones comenzó cuando los actores de la RPDC de Corea del Norte se hicieron pasar por el ex Contres de trac y enviaron PDF cargados de malware a los ingenieros. El imitador (es) compartió un archivo zip bajo la apariencia de pedir comentarios sobre un nuevo proyecto en el que estaban trabajando.

Una declaración conjunta de Japón, Corea del Sur y Estados Unidos también confirmaron que los grupos respaldados por Corea del Norte, incluido Lázaro, robaron al menos $ 659 millones a través de múltiples madres criptográficos en 2024. Los enviados anotaron que los trabajadores excesivos de Corea del Norte, incluidos los especialistas en "actividades cibernéticas maliciosas", incluidas las actividades de los fondos de los fondos.

de la cadena , Erin Plante, confirmó que los piratas informáticos vinculados a Corea del Norte fueron, con mucho, los piratas informáticos más prolíficos en los últimos años. En 2022, destrozaron sus propios registros de robo, robando un estimado de $ 1.7 mil millones en criptografía en varios hacks, frente a $ 428.8 millones en 2021.

Sin embargo, en mayo, Crypto Exchange Kraken reveló que había ido con éxito dent frustraba a un operativo norcoreano que había solicitado una posición de TI. Kraken atrapó al solicitante cuando fallaron las pruebas básicas dent durante las entrevistas.

Cable de diferencia de clave : la herramienta secreta que los proyectos de cifrado utilizan para obtener cobertura de medios garantizada