LinkedIn, contratos inteligentes y ofertas de empleo falsas: ciberdelincuentes ocultan malware directamente en la cadena de bloques

Un grupo norcoreano vinculado con la RPDC (República Popular Democrática de Corea) por primera vez adoptó EtherHiding — un método para ocultar código malicioso dentro de contratos inteligentes en blockchains públicas y cambiar las cargas útiles sobre la marcha. Según el Google Threat Intelligence Group, la agrupación UNC5342 adoptó esta técnica; también es conocida como CL-STA-0240 en Palo Alto Networks, DeceptiveDevelopment en ESET y DEVPOPPER en Securonix.

Los vectores de ataque encajan en la campaña de larga duración Contagious Interview — los atacantes contactan a desarrolladores a través de LinkedIn, se hacen pasar por reclutadores, trasladan la comunicación a Telegram o Discord y, bajo la apariencia de una tarea de prueba, inducen a ejecutar código malicioso. El objetivo es el acceso no autorizado a estaciones de trabajo, el robo de datos y criptoactivos.

Google señala el uso de EtherHiding desde febrero de 2025. El código se inserta en un contrato inteligente en BNB Smart Chain o Ethereum, y la propia cadena actúa como un punto de entrega descentralizado —una infraestructura resistente a eliminaciones y bloqueos. El seudonimato de las transacciones dificulta la atribución del despliegue del contrato, y la dirección controladora puede actualizar la carga útil en cualquier momento —la comisión media de gas de alrededor de 1,37 dólares— lo que permite cambiar rápidamente las tácticas y los conjuntos de módulos maliciosos. En Mandiant subrayan que la adopción de estos mecanismos por parte de operadores estatales incrementa la persistencia de las campañas y acelera su adaptación a nuevos objetivos.

La infección suele comenzar con un engaño en mensajería; a partir de ahí la cadena se despliega por etapas, afectando tanto a equipos con Windows como a macOS y Linux. Primero se ejecuta un cargador primario disfrazado de paquete npm. A continuación se activa BeaverTail —un stealer en JavaScript— que extrae datos de billeteras de criptomonedas, el contenido de extensiones del navegador y cuentas guardadas. Después sigue JADESNOW —otro cargador en JS— que consulta Ethereum para obtener InvisibleFerret. InvisibleFerret es un puerto en JavaScript de un backdoor en Python observado anteriormente: proporciona control remoto de la máquina y facilita la exfiltración prolongada de información, entre ella datos de MetaMask y Phantom, así como de gestores de contraseñas como 1Password.

Además, los atacantes intentan llevar un intérprete de Python portátil y ejecutar a través de él un módulo separado para robar credenciales, alojado en otra dirección en la red Ethereum. A veces se usan varias cadenas de bloques a la vez —esto aumenta la resiliencia del canal de entrega y complica las medidas de respuesta.

Ese enfoque incrementa la resistencia frente a bloqueos y acciones de cumplimiento, dificulta el análisis de las muestras y obliga a los equipos de defensa a vigilar no solo dominios y alojamientos, sino también la lógica de enlaces de los contratos inteligentes, las direcciones y las llamadas características a proveedores RPC. Para los desarrolladores que los atacantes seleccionan específicamente en LinkedIn, los riesgos son especialmente altos: con mayor frecuencia tienen billeteras, acceso a repositorios e infraestructuras de compilación, además de herramientas instaladas que facilitan las cadenas de suministro.

El ataque muestra un claro giro hacia el uso de las capacidades de la cadena de bloques no para su finalidad original, sino como infraestructura distribuida de control de malware. Los equipos de defensa deberían tener en cuenta los patrones transaccionales, vigilar las llamadas a contratos inteligentes e incorporar en la analítica de seguridad indicadores relacionados con direcciones y métodos de interacción con BSC y Ethereum; de lo contrario, detectar y frenar esas cadenas será cada vez más difícil.