Los desarrolladores de software independientes son el objetivo de una campa\u00f1a en curso que aprovecha los se\u00f1uelos con temas de entrevistas de trabajo para entregar familias de malware multiplataforma conocidas como Beaverail e InvisibleFerret.<\/p>\n
La actividad, vinculada a Corea del Norte, ha sido nombrada en c\u00f3digo DeceptedEgramment, que se superpone con cl\u00fasteres rastreados bajo los nombres de la entrevista contagiosa (tambi\u00e9n conocida como CL-STA-0240), Dev#Popper, famosa Chollima, Purplebravo y Pungsan tenacious. La campa\u00f1a ha estado en curso desde al menos a finales de 2023.<\/p>\n
“El desarrollo de la desarrollaci\u00f3n enga\u00f1osa se dirige a los desarrolladores de software independientes a trav\u00e9s de la phishing de lanza en los sitios de b\u00fasqueda de empleo y trabajos independientes, con el objetivo de robar billeteras de criptomonedas e informaci\u00f3n de inicio de sesi\u00f3n de navegadores y administradores de contrase\u00f1as”, la compa\u00f1\u00eda de seguridad cibern\u00e9tica ESET dicho<\/a> En un informe compartido con The Hacker News.<\/p>\n En noviembre de 2024, ESET confirm\u00f3 a The Hacker News las superposiciones entre el desarrollo enga\u00f1ado y la entrevista contagiosa, clasific\u00e1ndola como una nueva actividad del grupo de L\u00e1zaro que opera con el objetivo de llevar al robo de criptomonedas.<\/p>\n Las cadenas de ataque se caracterizan por el uso de perfiles de reclutadores falsos en las redes sociales para llegar a posibles objetivos y compartir con ellas bases de c\u00f3digo troyanizadas alojadas en GitHub, Gitlab o Bitbucket que implementan traseros bajo el pretexto de un proceso de entrevista de trabajo.<\/p>\n Las iteraciones posteriores de la campa\u00f1a se han ramificado a otras plataformas de b\u00fasqueda de empleo como Upwork, Freelancer.com, trabajamos de forma remota, Luna de Luna y Crypto Jobs List. Como se destac\u00f3 anteriormente, estos desaf\u00edos de contrataci\u00f3n generalmente implican arreglar errores o agregar nuevas caracter\u00edsticas al proyecto relacionado con criptograf\u00eda.<\/p>\n Adem\u00e1s de la codificaci\u00f3n de las pruebas, los proyectos falsos se disfrazan de iniciativas de criptomonedas, juegos con funcionalidad de blockchain y aplicaciones de juego con caracter\u00edsticas de criptomonedas. La mayor\u00eda de las veces, el c\u00f3digo malicioso est\u00e1 integrado dentro de un componente benigno en forma de una sola l\u00ednea.<\/p>\n “Adem\u00e1s, se les indica que construyan y ejecuten el proyecto para probarlo, que es donde ocurre el compromiso inicial”, dijo el investigador de seguridad Mat\u011bj Havr\u00e1nek. “Los repositorios utilizados generalmente son privados, por lo que se solicita al Vic-M por primera vez que proporcione su identificaci\u00f3n de cuenta o direcci\u00f3n de correo electr\u00f3nico para que se les otorgue acceso a ellos, con mayor probabilidad de ocultar la actividad maliciosa de los investigadores”.<\/p>\n Un segundo m\u00e9todo utilizado para lograr un compromiso inicial gira en torno a enga\u00f1ar a sus v\u00edctimas para que instalaran una plataforma de videoconferencia con malware como Mirotalk o Freeconference.<\/p>\n Mientras que tanto Beaverail como InvisibleFerret vienen con capacidades de robo de informaci\u00f3n, el primero sirve como descargador para este \u00faltimo. Beaverail tambi\u00e9n viene en dos sabores: una variante JavaScript que se puede colocar dentro de los proyectos troyanizados y una versi\u00f3n nativa creada con la plataforma QT que est\u00e1 disfrazada de software de conferencia.<\/p>\n InvisibleFerret es un malware de pit\u00f3n modular que recupera y ejecuta tres componentes adicionales:<\/p>\n ESET dijo que los objetivos principales de la campa\u00f1a son desarrolladores de software que trabajan en criptomonedas y proyectos financieros descentralizados en todo el mundo, con concentraciones significativas reportadas en Finlandia, India, Italia, Pakist\u00e1n, Espa\u00f1a, Sud\u00e1frica, Rusia, Ucrania y Estados Unidos.<\/p>\n “Los atacantes no distinguen en base a la ubicaci\u00f3n geogr\u00e1fica y tienen como objetivo comprometer a tantas v\u00edctimas como sea posible para aumentar la probabilidad de extraer con \u00e9xito fondos e informaci\u00f3n.<\/p>\n Esto tambi\u00e9n se evidencia en las pr\u00e1cticas de codificaci\u00f3n aparentes deficientes adoptadas por los operadores, que van desde una falla para eliminar las notas de desarrollo hasta las direcciones IP locales utilizadas para el desarrollo y las pruebas, lo que indica que el conjunto de intrusos no est\u00e1 preocupado por el sigilo.<\/p>\n![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/02\/Los-hackers-norcoreanos-apuntan-a-desarrolladores-independientes-en-estafa-de.png\")
<\/a><\/center><\/div>\n<\/a><\/div>\n\n