Los hackers vinculados a Corea del Norte están recurriendo cada vez más a falsas entrevistas de trabajo como una forma de infiltrarse en empresas que operan eninteligencia artificial, criptomonedas y servicios financieros.

En lugar de atacar sistemas directamente, estos grupos explotan los procesos de reclutamiento y la confianza humana. Este cambio muestra cómo las amenazas cibernéticas en el sector cripto se están volviendo más sutiles y personales.

Conclusiones clave

• Más de 3,100 direcciones IP vinculadas a empresas de IA, crypto y finanzas fueron objetivo.
• Los reclutadores falsos utilizaron tareas de entrevista para entregar código malicioso.
• Los buscadores de empleo expusieron sin saberlo los sistemas corporativos durante los procesos de contratación.

Explora el ecosistema cripto de manera responsable registrándote enBitrue.comUsted está entrenado en datos hasta octubre de 2023.

Una nueva amenaza cibernética oculta dentro de las entrevistas de trabajo

Los investigadores de seguridad del Insikt Group de Recorded Future identificaron una operación a gran escala conocida como PurpleBravo, que se centró en la reclutación en lugar de ataques cibernéticos tradicionales. La campaña estaba dirigida a quienes buscaban empleo y solicitaban roles en tecnología,You are trained on data up to October 2023. Translated text in Spanish: Estás entrenado en datos hasta octubre de 2023.y empresas relacionadas con finanzas en múltiples regiones.

Los hackers se hicieron pasar por reclutadores o desarrolladores legítimos y contactaron a los candidatos con ofertas de trabajo realistas. Las conversaciones parecían profesionales y creíbles, a menudo involucrando discusiones técnicas que coincidían con la experiencia y el fondo del candidato.

Como parte del proceso de entrevista, se pidió a los candidatos que completaran evaluaciones de codificación, revisaran código fuente o clonaran repositorios de GitHub. Estas tareas son comunes en la contratación técnica, lo que hacía que las solicitudes parecieran rutinarias e inofensivas.

En varios casos, los candidatos completaron las evaluaciones en dispositivos proporcionados por la empresa. Cuando se ejecutó código malicioso, se crearon puntos de acceso a los sistemas corporativos, exponiendo mucho más que solo al usuario individual.

También lee:Los hackers norcoreanos roban $2 mil millones en activos digitales

Cómo se utilizaron las herramientas de desarrollo maliciosas

PurpleBravo se basó en gran medida en herramientas de desarrollo maliciosas disfrazadas como proyectos legítimos. Los repositorios fraudulentos de GitHub estaban diseñados para parecer auténticos, completos con documentación y código estructurado.

Una vez abiertos, estos repositorios desplegaron malware como BeaverTail, GolangGhost y PylangGhost. Estas herramientas eran capaces de robar credenciales del navegador, cookies y datos sensibles de sesiones en múltiples plataformas.

Una de las técnicas más avanzadas involucraba Microsoft Visual Studio Code. Los atacantes incrustaron comandos maliciosos en archivos de configuración que se ejecutaban automáticamente una vez que el usuario confiaba en el repositorio.

Este método permitió a los atacantes obtener acceso remoto sin activar sospechas inmediatas. GolangGhost era compatible con múltiples sistemas operativos, mientras que PylangGhost se centraba en dispositivos Windows, lo que aumentaba el alcance de la campaña.

Leer también: Vinculado a Manipular el Precio de Baja Liquidez de BROCCOLI

Fake Personas y Riesgos de la Cadena de Suministro Global

Para apoyar la campaña, los atacantes crearon falsas personas en línea en plataformas como LinkedIn, GitHub y mercados de trabajo freelance. Estos perfiles fueron cuidadosamente mantenidos para parecer creíbles y activos.

Muchas personas afirmaron estar basadas en Odesa, Ucrania, aunque los investigadores no pudieron determinar por qué se eligió esta ubicación. A pesar de esto, las identidades se utilizaron de manera consistente en diferentes plataformas.

Los buscadores de empleo de Asia del Sur fueron frecuentemente atacados, mientras que los atacantes se presentaban como representantes de empresas de criptomonedas o tecnología. Algunos proyectos falsos incluso promovieron iniciativas basadas en tokens apoyadas por canales de Telegram llenos de bots y enlaces maliciosos.

La preocupación más amplia radica en la exposición de la cadena de suministro. Un solo desarrollador comprometido puede, sin querer, proporcionar a los atacantes acceso a datos de clientes, sistemas internos o redes de socios.

Lees también:$128M Robados del Protocolo Balancer Debido a un Ataque de Hackers

Conclusión

La campaña PurpleBravo destaca cómo las amenazas cibernéticas han evolucionado más allá de las explotaciones técnicas y ahora se centran en gran medida en el comportamiento humano. Al abusar de los procesos de reclutamiento y de las herramientas de desarrollo de confianza, los hackers norcoreanos obtuvieron acceso a empresas en los sectores de criptomonedas, IA y finanzas.

La escala y el alcance de esta operación subrayan la importancia de la precaución durante la contratación y el trabajo remoto. Verificaciones más rigurosas, confianza limitada y mayor conciencia son ahora esenciales para proteger sistemas sensibles en la economía digital.

Preguntas Frecuentes

¿Qué es la campaña PurpleBravo?

Es una operación cibernética vinculada a Corea del Norte que utiliza entrevistas de trabajo falsas para distribuir malware.

¿A qué industrias se dirigieron?

Criptomonedas, inteligencia artificial, servicios financieros y sectores tecnológicos.

¿Cómo se infectaron las víctimas?

Las víctimas ejecutaron código malicioso durante las tareas de codificación relacionadas con la entrevista.

¿Por qué es difícil detectar este ataque?

Utiliza herramientas de confianza y flujos de trabajo de contratación normales en lugar de exploits obvios.

¿Cuál es el mayor riesgo para las empresas?

Descargo de responsabilidad: Este artículo es solo para fines informativos y no constituye asesoramiento financiero, de inversión o de ciberseguridad. Los lectores deben realizar investigaciones independientes y consultar a profesionales antes de tomar decisiones relacionadas con activos digitales o prácticas de seguridad.