Según el Grupo de Inteligencia de Amenazas de Google, los hackers norcoreanos han adoptado un método para desplegar malware diseñado para robar criptomonedas e información confidencial mediante la incrustación de código malicioso en contratos inteligentes en redes públicas de cadenas de bloques.
Esta técnica, denominada «EtherHiding», surgió en 2023 y suele utilizarse junto con técnicas de ingeniería social, como contactar a las víctimas con ofertas de empleo falsas y entrevistas de alto perfil, y dirigir a los usuarios a sitios web o enlaces maliciosos, según Google.
Los hackers toman el control de una dirección web legítima mediante un script de carga e insertan código JavaScript en el sitio web, lo que activa un paquete de código malicioso independiente en un contrato inteligente diseñado para robar fondos y datos una vez que el usuario interactúa con el sitio comprometido.
El sitio web comprometido se comunicará con la red blockchain utilizando una función de «solo lectura» que en realidad no crea una transacción en el ledger, lo que permite a los actores maliciosos evitar ser detectados y minimizar las tarifas por transacción, según los investigadores de Google.
El informe destaca la necesidad de que la comunidad cripto se mantenga alerta para proteger a los usuarios de las estafas y los ataques informáticos que suelen emplear los actores maliciosos para intentar robar fondos e información valiosa tanto a particulares como a organizaciones.
Conozca las señales: la campaña de ingeniería social de Corea del Norte descifrada
Los atacantes crean empresas, agencias de contratación y perfiles falsos para dirigirse a desarrolladores de software y criptomonedas con ofertas de empleo falsas, según Google.
Tras la presentación inicial, los atacantes trasladan la comunicación a plataformas de mensajería como Discord o Telegram y dirigen a la víctima a realizar una prueba de empleo o completar una tarea de programación.
«El núcleo del ataque se produce durante la fase de evaluación técnica», dice Google Threat Intelligence. Durante esta fase, normalmente se pide a la víctima que descargue archivos maliciosos de repositorios de código en línea como GitHub, donde se almacena la carga maliciosa.
En otros casos, los atacantes atraen a la víctima a una videollamada, donde se muestra un mensaje de error falso al usuario, instándole a descargar un parche para corregir el error. Este parche de software también contiene código malicioso.
Una vez que el software malicioso se instala en un equipo, se despliega un malware basado en JavaScript de segunda fase llamado «JADESNOW» para robar datos confidenciales.
A veces se despliega una tercera fase para objetivos de alto valor, lo que permite a los atacantes acceder a largo plazo a un equipo comprometido y a otros sistemas conectados a su red, advirtió Google.
Aclaración: La información y/u opiniones emitidas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Cointelegraph. La información aquí expuesta no debe ser tomada como consejo financiero o recomendación de inversión. Toda inversión y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigación antes de tomar una decisión de inversión.
