{"id":1566054,"date":"2025-02-05T16:57:17","date_gmt":"2025-02-05T16:57:17","guid":{"rendered":"https:\/\/teknomers.com\/es\/javascript-de-plataforma-cruzada-apunta-a-las-billeteras-criptograficas-en-la-nueva-campana-del-grupo-de-lazaro\/"},"modified":"2025-02-05T16:57:23","modified_gmt":"2025-02-05T16:57:23","slug":"javascript-de-plataforma-cruzada-apunta-a-las-billeteras-criptograficas-en-la-nueva-campana-del-grupo-de-lazaro","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/javascript-de-plataforma-cruzada-apunta-a-las-billeteras-criptograficas-en-la-nueva-campana-del-grupo-de-lazaro\/","title":{"rendered":"JavaScript de plataforma cruzada apunta a las billeteras criptogr\u00e1ficas en la nueva campa\u00f1a del grupo de L\u00e1zaro"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>5 de febrero de 2025<\/span>\ue804<\/i>Ravie Lakshmanan<\/span><\/span>Violaci\u00f3n de criptomonedas \/ datos<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

La Corea del Norte vinculada Grupo de L\u00e1zaro<\/strong> se ha vinculado a una campa\u00f1a activa que aprovecha las ofertas de trabajo falsas de LinkedIn en los sectores de criptomonedas y viajes para entregar malware capaz de infectar Windows, MacOS y sistemas operativos Linux.<\/p>\n

Seg\u00fan la compa\u00f1\u00eda de ciberseguridad Bitdefender, la estafa comienza con un mensaje enviado en una red profesional de redes sociales, atray\u00e9ndolos con la promesa de trabajo remoto, flexibilidad a tiempo parcial y buen pago.<\/p>\n

“Una vez que el objetivo expresa inter\u00e9s, se desarrolla el ‘proceso de contrataci\u00f3n’, con el estafador solicitando un CV o incluso un enlace de repositorio personal de GitHub”, la empresa rumana dicho<\/a> En un informe compartido con The Hacker News.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/div>\n

“Aunque aparentemente inocentes, estas solicitudes pueden servir a fines nefastos, como cosechar datos personales o prestar una apariencia de legitimidad a la interacci\u00f3n”.<\/p>\n

Una vez que se obtienen los detalles solicitados, el ataque se traslada a la siguiente etapa donde el actor de amenaza, bajo la apariencia de un reclutador, comparte un enlace a un repositorio de Github o Bitbucket que contiene una versi\u00f3n m\u00ednima de producto viable (MVP) de un supuesto intercambio descentralizado ( Dex) proyecto e instruye a la v\u00edctima que lo revise y proporcione sus comentarios.<\/p>\n

Presente dentro del c\u00f3digo hay un script ofuscado que est\u00e1 configurado para recuperar una carga \u00fatil de la pr\u00f3xima etapa de API.npoint[.]IO, un robador de informaci\u00f3n de JavaScript multiplataforma que es capaz de cosechar datos de varias extensiones de billetera de criptomonedas que se pueden instalar en el navegador de la v\u00edctima.<\/p>\n

El robador tambi\u00e9n se dobla como un cargador para recuperar un trasero basado en Python responsable de monitorear los cambios de contenido del portapapeles, mantener el acceso remoto persistente y dejar caer malware adicional.<\/p>\n

En esta etapa, vale la pena se\u00f1alar que las t\u00e1cticas documentadas por Bitdefender exhiben superposiciones con un cl\u00faster de actividad de ataque conocido denominado entrevista contagiosa (tambi\u00e9n conocido como DeceptivedEvelopment y Dev#Popper), que est\u00e1 dise\u00f1ado para soltar un robador de JavaScript llamado Beaaverail y Python Implant referido como invisible Ferretretretretretret de invisible. .<\/p>\n

El malware implementado por medio del malware de Python es un binario .NET que puede descargar e iniciar un servidor de proxy TOR para comunicarse con un servidor de comando y control (C2), exfiltrate la informaci\u00f3n b\u00e1sica del sistema y entrega otra carga \u00fatil que, a su vez , puede sifon los datos confidenciales, registrar las teclas de teclas y lanzar un minero de criptomonedas.<\/p>\n

\"\"<\/a><\/div>\n

“La cadena de infecci\u00f3n de la amenaza de los actores es compleja, que contiene software malicioso escrito en m\u00faltiples lenguajes de programaci\u00f3n y utilizando una variedad de tecnolog\u00edas, como los scripts de pit\u00f3n de varias capas que se decursivamente decodifican y se ejecutan a s\u00ed mismos, un robador de JavaScript que primero cosecha los datos del navegador antes de cambiar el paso de los datos del navegador antes de cambiar el paso de los datos del navegador antes Otras cargas \u00fatiles y los escenarios basados \u200b\u200ben .NET capaces de deshabilitar las herramientas de seguridad, configurar un proxy TOR y iniciar mineros criptogr\u00e1ficos “, dijo Bitdefender.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/div>\n

Hay evidencia que sugiere que estos esfuerzos est\u00e1n bastante extendidos, con los informes compartidos sobre LinkedIn<\/a> y Reddit<\/a>con ajustes menores a la cadena de ataque general. En algunos casos, se les pide a los candidatos que clonen un repositorio de Web3 y lo ejecute localmente como parte de un proceso de entrevista, mientras que en otros se les indica que solucionen errores intencionalmente introducidos en el c\u00f3digo.<\/p>\n

Uno de los repositorios de Bitbucket en cuesti\u00f3n se refiere a un proyecto llamado “miketoken_v2<\/a>. “Ya no se puede acceder en la plataforma de alojamiento de c\u00f3digo.<\/p>\n

La divulgaci\u00f3n se produce un d\u00eda despu\u00e9s de que Sentinelone revel\u00f3 que la campa\u00f1a de entrevista contagiosa se est\u00e1 utilizando para entregar otro malware con nombre en c\u00f3digo FlexibleFerret.<\/p>\n

<\/p>\n

\u00bfEncontr\u00f3 este art\u00edculo interesante? S\u00e9guenos Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> Para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n