Astutos Trucos de Pisces Lentos Engañan a Desarrolladores de Cripto con Falsas Ofertas de Trabajo

Image by Mohammad Rahmani, from Unsplash

Astutos Trucos de Pisces Lentos Engañan a Desarrolladores de Cripto con Falsas Ofertas de Trabajo

Tiempo de lectura: 3 min.

Actualizado por última vez: Apr 15, 2025

Un grupo de hackers norcoreanos conocido como Slow Pisces está engañando a los desarrolladores de criptomonedas para que ejecuten un código malicioso disfrazado de desafíos en solicitudes de empleo.

¿Con prisa? Aquí están los datos rápidos:

  • El malware se activa después de verificar la ubicación de la víctima y la configuración del sistema.
  • El malware se ejecuta en memoria, no dejando rastro en los discos duros.
  • RN Stealer recopila nombres de usuario, aplicaciones y directorios de sistemas macOS.

El grupo, también conocido como Jade Sleet o TraderTraitor, ha robado más de $1 mil millones en activos criptográficos y continúa lanzando ataques sofisticados con el objetivo de generar ingresos para el régimen de la RPDC.

Según investigadores de ciberseguridad en Unit 42 de Palo Alto Networks, Slow Pisces se pone en contacto con desarrolladores en LinkedIn fingiendo ser reclutadores. Después de entablar una conversación, envían una descripción de trabajo falsa en un PDF. Si la víctima aplica, se le envía una prueba de codificación que incluye un “proyecto real” alojado en GitHub. Ese proyecto está infestado de malware.

Estos proyectos falsos a menudo parecen legítimos e incluso extraen datos de sitios web reales como Wikipedia. Pero escondido entre las fuentes hay un sitio malicioso controlado por los hackers. El malware solo se activa después de confirmar la ubicación y los detalles del sistema de la víctima, permitiendo a Slow Pisces evitar la detección.

En lugar de utilizar trucos de hacking obvios que los sistemas de seguridad pueden detectar fácilmente, los atacantes utilizaron un método más sigiloso llamado deserialización YAML. Básicamente, ocultan código peligroso dentro de lo que parecen ser archivos de configuración inofensivos, lo que dificulta su detección.

Una vez instalado, el malware se ejecuta en la memoria y no deja rastros en el disco duro. Descarga malware adicional, llamado RN Loader y RN Stealer. RN Loader recopila datos básicos del sistema, mientras que RN Stealer recoge información más sensible como nombres de usuario, aplicaciones instaladas y contenidos de directorios, especialmente de sistemas macOS.

Palo Alto Networks informó sobre las cuentas maliciosas en LinkedIn y GitHub. Ambas plataformas respondieron:

“GitHub y LinkedIn eliminaron estas cuentas maliciosas por violar nuestros respectivos términos de servicio […] Seguimos evolucionando y mejorando nuestros procesos y alentamos a nuestros clientes y miembros a informar cualquier actividad sospechosa”.

Las expertas en seguridad recomiendan que las desarrolladoras se mantengan cautelosas ante los desafíos de codificación no solicitados y verifiquen las URL vinculadas en las pruebas de trabajo.

¿Te ha gustado este artículo?
¡Puntúalo!
No me ha gustado nada No me gusta Ha estado bien ¡Muy bueno! ¡Me ha encantado!

¡Nos alegra que te guste nuestro trabajo!

Eres importante para nosotros, por eso, nos gustaría que nos dejaras una opinión en Trustpilot, ¿te animas? Se tarda muy poco y significa mucho para nosotros. ¡Gracias por todo!

Valóranos en Trustpilot
0 Votado por 0 usuarios
Título
Comentar
Gracias por tu opinión
Loader
Please wait 5 minutes before posting another comment.
Comment sent for approval.

Dejar un comentario

Loader
Loader Ver más