Siempre innovadora en sus ataques, Corea del Norte ha lanzado una campaña dirigida a los desarrolladores de criptomonedas. ¿Cómo funciona y cómo protegerse de ella?
Corea del Norte apunta a los desarrolladores de criptomonedas
Los ataques a las criptomonedas son, lamentablemente, una estrategia habitual de Corea del Norte. El Estado utiliza equipos de hackers para robar criptomonedas con el objetivo, entre otros, de financiar su programa de armamento nuclear.
Este otoño, los investigadores de la empresa de ciberseguridad Socket lanzaron una alerta: los hackers están apuntando ahora a los desarrolladores de criptomonedas. Según ellos, Corea del Norte habría apuntado a una de las bibliotecas de software más utilizadas del mundo: el registro npm.
Según Socket, se han descubierto más de 300 paquetes de código malicioso en el registro, que se utiliza para instalar y compartir software JavaScript.
Una vez instalados, estos paquetes ejecutan discretamente un malware que permite robar contraseñas, datos del navegador y claves relacionadas con carteras de criptomonedas. Según el informe, se habrían producido 5000 descargas de estos paquetes maliciosos antes de que algunos fueran eliminados.
Cuidado con los cambios de nombre
Para disipar las sospechas, los hackers utilizan nombres conocidos, cambiando una o dos letras:
En el ámbito de la contratación de criptomonedas, los kits Web3 también son objeto de ataques.
Estos son algunos ejemplos de variantes tipográficas:
- ethers.js se imita con variantes tipográficas como ethrs.js y ethres.js ;
- web3.js se convierte en we3.js o wb3.js;
- errores ortográficos sistemáticos en truffle (truffel), ganache (ganacche) y foundry (foudry), así como paquetes con temática hardhat como hardhat-deploy-notifier y hardhat-deploy-notification.
- También imitaciones de nombres de marcas, por ejemplo, metamask-api.
Cuentas falsas de LinkedIn y redes de estafa
También hay que destacar que los delincuentes combinan técnicas. A veces utilizan cuentas falsas de LinkedIn de reclutadores, un método del que ya os habíamos hablado.
Hemos descubierto que los actores maliciosos registran direcciones de correo electrónico diseñadas para parecerse a las de reclutadores, responsables de RR. HH. o perfiles «técnicos», con el fin de engañar mejor a los desarrolladores y a los solicitantes de empleo.
Corea del Norte ha elevado el hackeo de criptomonedas a un nivel industrial, con redes muy desarrolladas.
Entre los objetivos se encuentran los desarrolladores de Web3, criptomonedas y blockchain, así como los candidatos a puestos técnicos contactados por falsos reclutadores, lo que da lugar a compromisos en varias etapas y pérdidas económicas.
GitHub, propietario del registro npm, ha confirmado que elimina los paquetes comprometidos a medida que aparecen, pero estos son demasiado numerosos y se crean con demasiada frecuencia como para poder rastrearlos todos.
Por lo tanto, la recomendación es que los desarrolladores actúen con la máxima precaución: es necesario escanear las dependencias antes de su integración y, lamentablemente, el uso de herramientas de verificación automatizadas debe convertirse en la norma.
