El actor de amenaza vinculado a Corea del Norte evalu\u00f3 que est\u00e1 detr\u00e1s del truco masivo de Bybit en febrero de 2025 se ha vinculado a una campa\u00f1a maliciosa que se dirige a los desarrolladores a entregar un nuevo malware de robador bajo la apariencia de una asignaci\u00f3n de codificaci\u00f3n.<\/p>\n
La actividad ha sido atribuida por la Unidad 42 de Palo Alto Networks a un grupo de pirater\u00eda que rastrea como Piscis lento<\/strong>que tambi\u00e9n se conoce como Jade Sleet, Pukchong, comerciante y UNC4899.<\/p>\n “Piscis lentos comprometidos con desarrolladores de criptomonedas en LinkedIn, haci\u00e9ndose pasar por posibles empleadores y enviando malware disfrazado de desaf\u00edos de codificaci\u00f3n”, el investigador de seguridad Prashil Pattni dicho<\/a>. “Estos desaf\u00edos requieren que los desarrolladores ejecuten un proyecto comprometido, infectando sus sistemas utilizando malware que hemos llamado RN Loader y RN Stealer”.<\/p>\n Slow Piscis tiene una historia de dirigir a los desarrolladores, t\u00edpicamente en el sector de criptomonedas, al acercarse a ellos en LinkedIn como parte de una supuesta oportunidad de trabajo y atraerlos a abrir un documento PDF que detalla la tarea de codificaci\u00f3n alojada en Github.<\/p>\n En julio de 2023, Github revel\u00f3 que los empleados que trabajan en Blockchain, criptomonedas, juegos de azar en l\u00ednea y empresas de ciberseguridad fueron se\u00f1alados por el actor de amenazas, enga\u00f1\u00e1ndolos a ejecutar paquetes maliciosos de NPM.<\/p>\n Luego, en junio pasado, Mandiant, propiedad de Google, detall\u00f3 el modus operandi de los atacantes de enviar primero a los objetivos en LinkedIn en un documento PDF benigno que contiene una descripci\u00f3n de trabajo para una supuesta oportunidad de trabajo y seguirlo con un cuestionario de habilidades si expresan inter\u00e9s.<\/p>\n El cuestionario inclu\u00eda instrucciones para completar un desaf\u00edo de codificaci\u00f3n descargando un proyecto de Python troyanizado de GitHub que, aunque aparentemente capaz de ver los precios de las criptomonedas, fue dise\u00f1ado para contactar a un servidor remoto para obtener una carga \u00fatil de la segunda etapa no especificada si se cumplen ciertas condiciones.<\/p>\n La cadena de ataque de varias etapas documentada por la Unidad 42 sigue el mismo enfoque, con la carga \u00fatil maliciosa enviada solo a objetivos validados, probablemente en funci\u00f3n de la direcci\u00f3n IP, la geolocalizaci\u00f3n, el tiempo y los encabezados de solicitud HTTP.<\/p>\n “Centrarse en las personas contactadas a trav\u00e9s de LinkedIn, a diferencia de las amplias campa\u00f1as de phishing, permite al grupo controlar estrechamente las etapas posteriores de la campa\u00f1a y entregar las cargas \u00fatiles solo a las v\u00edctimas esperadas”, dijo Pattni. “Para evitar las funciones sospechosas de evaluaci\u00f3n y ejecutivo, Slow Piscis usa Deserializaci\u00f3n de Yaml<\/a> para ejecutar su carga \u00fatil “.<\/p>\n La carga \u00fatil est\u00e1 configurada para ejecutar una familia de malware llamada RN Loader, que env\u00eda informaci\u00f3n b\u00e1sica sobre la m\u00e1quina v\u00edctima y el sistema operativo a trav\u00e9s de HTTPS al mismo servidor y recibe y ejecuta un blob codificado por base 64 de la pr\u00f3xima etapa.<\/p>\n El malware reci\u00e9n descargado es RN Stealer, un robador de informaci\u00f3n capaz de cosechar informaci\u00f3n confidencial de los sistemas de MacOS de Apple infectados. Esto incluye metadatos del sistema, aplicaciones instaladas, listado de directorio y el contenido de nivel superior del directorio de inicio de la v\u00edctima, el llavero iCloud, las claves SSH almacenadas y los archivos de configuraci\u00f3n para AWS, Kubernetes y Google Cloud.<\/p>\n “El Infente de Infentes recopila informaci\u00f3n de v\u00edctimas m\u00e1s detallada, que los atacantes probablemente usaron para determinar si necesitaban acceso continuo”, dijo la Unidad 42.<\/p>\n Se insta a las v\u00edctimas espec\u00edficas que solicitan un rol de JavaScript, del mismo modo, a descargar un proyecto de “Panel de criptomonedas” de GitHub que emplea una estrategia similar en la que el servidor de comando y control (C2) solo sirve cargas \u00fatiles adicionales cuando los objetivos cumplen ciertos criterios. Sin embargo, se desconoce la naturaleza exacta de la carga \u00fatil.<\/p>\n![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/04\/Desarrolladores-criptograficos-dirigidos-por-malware-de-Python-disfrazado-de-desafios.jpg\")
<\/a><\/center><\/div>\n<\/a><\/div>\n<\/a><\/center><\/div>\n<\/a><\/div>\n