Redazione RHC : 17 octubre 2025 11:07
Un grupo norcoreano vinculado a la RPDC ha desarrollado EtherHiding , un método para ocultar código malicioso en contratos inteligentes de blockchain pública y modificar las cargas útiles sobre la marcha. Según Google Threat Intelligence Group, esta técnica fue adoptada por el grupo UNC5342, también conocido como CL-STA-0240 de Palo Alto Networks, DeceptiveDevelopment de ESET y DEVPOPPER de Securonix.
Los vectores de ataque son consistentes con la prolongada campaña «Entrevista Contagiosa» : los atacantes contactan a los desarrolladores a través de LinkedIn, haciéndose pasar por reclutadores, trasladan la conversación a Telegram o Discord y, bajo la apariencia de una prueba, los engañan para que ejecuten código malicioso. El objetivo es obtener acceso no autorizado a las estaciones de trabajo y robar datos y criptomonedas.
Google ha estado usando EtherHiding desde febrero de 2025. El código está integrado en un contrato inteligente en BNB Smart Chain o Ethereum, y la cadena en sí misma funciona como un punto de entrega descentralizado, una infraestructura resistente a eliminaciones y bloqueos.
El seudonimato de las transacciones dificulta la atribución de la distribución de contratos, y la dirección de control puede actualizar la carga útil en cualquier momento (la tarifa promedio de gas es de aproximadamente $1.37), lo que permite cambios rápidos en las tácticas y los módulos maliciosos. Mandiant enfatiza que la inclusión de estos mecanismos por parte de los operadores estatales aumenta la supervivencia de la campaña y acelera su adaptación a nuevos objetivos.
La infección está precedida por un engaño en aplicaciones de mensajería instantánea . La cadena se desarrolla en varias etapas, afectando a equipos Windows, macOS y Linux. Primero, se inicia un cargador principal, camuflado como un paquete npm. A continuación, se activa BeaverTail, un ladrón de JavaScript, que extrae datos de la billetera de criptomonedas, el contenido de las extensiones del navegador y las credenciales guardadas.
A continuación viene JADESNOW , otro cargador de JavaScript que accede a Ethereum para obtener InvisibleFerret . InvisibleFerret es una adaptación de JavaScript de una puerta trasera de Python previamente observada : otorga control remoto de la máquina y organiza la exfiltración de datos a largo plazo, incluyendo desde Meta Mask y Phantom , así como desde gestores de contraseñas como 1Password .
Los hackers también intentan instalar un intérprete portátil de Python y usarlo para ejecutar un módulo independiente y robar credenciales almacenadas en una dirección diferente de la red Ethereum. En ocasiones, se utilizan varias cadenas de bloques simultáneamente, lo que aumenta la supervivencia del canal de distribución y dificulta las contramedidas.
Este enfoque aumenta la resiliencia al bloqueo y a la aplicación de la ley, complica el análisis de instancias y requiere que los equipos de defensa monitoreen no solo los dominios y las direcciones de alojamiento, sino también la lógica de referencia de los contratos inteligentes, las direcciones y las llamadas específicas a los proveedores de RPC. Los desarrolladores atacados en LinkedIn corren un riesgo especial: es más probable que tengan billeteras, acceso a repositorios e infraestructura de desarrollo, y herramientas que tengan instaladas para la cadena de suministro.
El ataque demuestra una clara tendencia hacia el uso indebido de las capacidades de la cadena de bloques como infraestructura distribuida de control de malware. Los equipos de defensa deben considerar los patrones de transacciones, monitorear las llamadas a contratos inteligentes e integrar indicadores relacionados con las direcciones y los métodos de interacción con BSC y Ethereum en sus análisis de seguridad; de lo contrario, identificar y detener dichas cadenas será cada vez más difícil.
RedazioneUn comando de servicio casi olvidado ha vuelto a cobrar protagonismo tras ser detectado en nuevos patrones de infección de dispositivos Windows. Considerado durante décadas una reliquia de los inici...
En el porche de una vieja cabaña en Colorado, Mark Gubrud , de 67 años, mira distraídamente el anochecer distante, con su teléfono a su lado y la pantalla todavía en una aplicación de noticias. ...
El trabajo remoto ha dado libertad a los empleados , pero con él también ha llegado la vigilancia digital . Ya comentamos esto hace tiempo en un artículo donde informamos que estas herramientas de ...
La empresa israelí NSO Group apeló un fallo de un tribunal federal de California que le prohíbe utilizar la infraestructura de WhatsApp para distribuir su software de vigilancia Pegasus. El caso, q...
Se ha identificado una vulnerabilidad de omisión de autenticación en Azure Bastion (descubierta por RHC gracias a la monitorización constante de CVE críticos en nuestro portal), el servicio gestio...
