Solo revisé código ajeno — y perdí mi cartera: nueva modalidad de robo de criptomonedas por hackers de Corea del Norte
Desglosamos paso a paso el esquema del nuevo ciberataque norcoreano.
Los piratas informáticos norcoreanos lanzaron una nueva campaña a gran escala contra desarrolladores de software, utilizando vacantes falsas y ofertas para revisar código ajeno. Según los datos de la empresa Proofpoint, los atacantes ya han afectado a empleados de casi un centenar de organizaciones de los sectores financiero, tecnológico, educativo y de criptomonedas. Los especialistas rastrean la actividad denominada UNK_DeadDrop.
La campaña se articula alrededor de plataformas populares de desarrollo colaborativo. A las posibles víctimas se les envían correos electrónicos con ofertas de empleo o solicitudes para revisar un proyecto abierto. Los mensajes incluyen enlaces a repositorios de GitHub que parecen ser tareas técnicas reales, herramientas para trabajar con criptomonedas o proyectos relacionados con inteligencia artificial.
Tras clonar o descargar el repositorio, se ofrece al desarrollador abrir el proyecto en el editor Visual Studio Code o en Cursor. En su interior hay un archivo de tareas especial que puede ejecutar automáticamente scripts maliciosos. El entorno Cursor resultó especialmente peligroso. Mientras Visual Studio Code suele advertir al usuario antes de ejecutar tales tareas, Cursor las ejecuta inmediatamente al abrir el proyecto sin solicitudes adicionales.
El desarrollo posterior del ataque depende del sistema operativo. En equipos con Linux y macOS se instala una versión modificada de la herramienta de código abierto Overlord, que convierte el dispositivo en un nodo controlado de forma remota. En Windows se emplea otro enfoque. El código malicioso se ejecuta dentro de componentes del propio editor e intenta no dejar rastros visibles en el disco.
El objetivo principal de los atacantes es robar activos digitales y credenciales. Los programas maliciosos recopilan el contenido de monederos de criptomonedas, datos de extensiones del navegador, contraseñas guardadas, archivos de autorización y otra información valiosa. En macOS y Linux los atacantes además muestran ventanas del sistema falsas para obtener la contraseña del usuario, tras lo cual intentan obtener privilegios elevados y extraer datos de los almacenes de claves del sistema.
En seis semanas los especialistas registraron más de 250 correos de phishing. Como cobertura se usaron nombres de empresas reales y de proyectos ficticios de criptomonedas. Entre los cebos hubo ofertas de empleo para ingeniero full-stack y para líder de desarrollo de agentes, solicitudes para revisar código fuente, así como tareas para probar herramientas de desarrollo de contratos inteligentes. Más tarde los atacantes empezaron a distribuir proyectos relacionados con sistemas de pago para agentes de IA.
Por el conjunto de métodos, UNK_DeadDrop recuerda a la conocida campaña norcoreana Contagious Interview, que también buscaba desarrolladores y activos de criptomonedas. Sin embargo, los especialistas de Proofpoint señalan varias diferencias. El nuevo grupo apuesta por envíos masivos por correo electrónico, utiliza su propia infraestructura y distribuye componentes maliciosos directamente dentro de los repositorios, sin depender de servidores externos para descargar la carga útil.
Los autores del informe consideran que las operaciones norcoreanas contra desarrolladores se están volviendo más extensas y organizadas. Al pasar de contactos puntuales a través de redes sociales a grandes campañas por correo electrónico, los atacantes alcanzan a más víctimas potenciales y, al emplear herramientas de desarrollo de confianza, evaden sospechas y mecanismos de protección.