Los Hackers Usan Falsas Empresas de Criptomonedas Para Propagar Malware en Estafas Laborales

Los hackers norcoreanos se hacen pasar por empresas de criptomonedas, engañando a los buscadores de empleo para que descarguen malware que roba las credenciales de la cartera durante falsas entrevistas.

Investigadores de seguridad de Silent Push han descubierto una nueva campaña de ciberataques orquestada por el grupo de hackers norcoreano conocido como Contagious Interview, también referido como Famous Chollima.

El grupo está operando tres empresas fraudulentas de criptomonedas: BlockNovas LLC, Angeloper Agency y SoftGlide LLC, para engañar a los buscadores de empleo para que instalen malware.

El esquema comienza con publicaciones falsas de empleo en sitios web de freelance y reclutamiento, dirigiéndose a individuos que buscan roles en la industria de la criptomoneda. Cuando los solicitantes responden, se les pide descargar archivos que supuestamente contienen materiales de entrevista o desafíos de codificación.

Estos archivos, sin embargo, distribuyen software malicioso identificado como BeaverTail, InvisibleFerret y OtterCookie. El malware está diseñado para robar datos sensibles, incluyendo las credenciales de las carteras de criptomonedas.

Para reforzar la credibilidad de la estafa, los hackers crean perfiles falsos de empleados utilizando imágenes generadas por inteligencia artificial. Algunas de estas fotos fueron producidas con Remaker AI, una herramienta diseñada para fabricar retratos realistas.

Las tres empresas fraudulentas—BlockNovas, Angeloper y SoftGlide—se presentan como negocios legítimos, pero su principal propósito es distribuir malware. Las víctimas son engañadas para ejecutar código malicioso durante lo que creen que son evaluaciones técnicas o entrevistas.

Los hackers dependen de plataformas como GitHub, mercados de freelancers y bolsas de trabajo para distribuir el malware y gestionar sus operaciones.

La estrategia de ataque se alinea con un patrón observado en operaciones pasadas de Contagious Interview, un subgrupo del equipo respaldado por el estado de Corea del Norte Lazarus. Conocido por usar ofertas de trabajo falsas y personajes generados por IA, Lazarus se vale de proxies residenciales y VPNs para ocultar su ubicación mientras ataca a individuos a nivel mundial.

Para protegerse de dichos ataques, los expertos aconsejan a los buscadores de empleo que desconfíen de cualquier oferta que requiera la descarga de archivos desconocidos o la ejecución de código. También es esencial verificar la legitimidad de las empresas antes de participar en entrevistas y utilizar software de seguridad actualizado.

Una desarrolladora relató su experiencia: “Quería compartir cómo hackearon mi cartera de MetaMask ayer como una historia de advertencia”.

“Recibí un nuevo proyecto a través de Freelancer.com. El cliente tenía una insignia de ‘pago verificado’, por lo que asumí que eran legítimos. El proyecto implicaba el desarrollo de backend web3, que estaba segura de que podía manejar”, continuó.

“Después de aceptar el contrato, el cliente me invitó a su proyecto en GitLab y me pidió que ejecutara su código de backend. Poco después de ponerlo en marcha, me di cuenta de que mi cartera MetaMask había sido comprometida”, advirtió la desarrolladora.