Redazione RHC : 17 octubre 2025 11:07
Un grupo norcoreano vinculado a la RPDC ha desarrollado EtherHiding , un método para ocultar código malicioso en contratos inteligentes de blockchain pública y modificar las cargas útiles sobre la marcha. Según Google Threat Intelligence Group, esta técnica fue adoptada por el grupo UNC5342, también conocido como CL-STA-0240 de Palo Alto Networks, DeceptiveDevelopment de ESET y DEVPOPPER de Securonix.
Los vectores de ataque son consistentes con la prolongada campaña «Entrevista Contagiosa» : los atacantes contactan a los desarrolladores a través de LinkedIn, haciéndose pasar por reclutadores, trasladan la conversación a Telegram o Discord y, bajo la apariencia de una prueba, los engañan para que ejecuten código malicioso. El objetivo es obtener acceso no autorizado a las estaciones de trabajo y robar datos y criptomonedas.
Google ha estado usando EtherHiding desde febrero de 2025. El código está integrado en un contrato inteligente en BNB Smart Chain o Ethereum, y la cadena en sí misma funciona como un punto de entrega descentralizado, una infraestructura resistente a eliminaciones y bloqueos.
El seudonimato de las transacciones dificulta la atribución de la distribución de contratos, y la dirección de control puede actualizar la carga útil en cualquier momento (la tarifa promedio de gas es de aproximadamente $1.37), lo que permite cambios rápidos en las tácticas y los módulos maliciosos. Mandiant enfatiza que la inclusión de estos mecanismos por parte de los operadores estatales aumenta la supervivencia de la campaña y acelera su adaptación a nuevos objetivos.
La infección está precedida por un engaño en aplicaciones de mensajería instantánea . La cadena se desarrolla en varias etapas, afectando a equipos Windows, macOS y Linux. Primero, se inicia un cargador principal, camuflado como un paquete npm. A continuación, se activa BeaverTail, un ladrón de JavaScript, que extrae datos de la billetera de criptomonedas, el contenido de las extensiones del navegador y las credenciales guardadas.
A continuación viene JADESNOW , otro cargador de JavaScript que accede a Ethereum para obtener InvisibleFerret . InvisibleFerret es una adaptación de JavaScript de una puerta trasera de Python previamente observada : otorga control remoto de la máquina y organiza la exfiltración de datos a largo plazo, incluyendo desde Meta Mask y Phantom , así como desde gestores de contraseñas como 1Password .
Los hackers también intentan instalar un intérprete portátil de Python y usarlo para ejecutar un módulo independiente y robar credenciales almacenadas en una dirección diferente de la red Ethereum. En ocasiones, se utilizan varias cadenas de bloques simultáneamente, lo que aumenta la supervivencia del canal de distribución y dificulta las contramedidas.
Este enfoque aumenta la resiliencia al bloqueo y a la aplicación de la ley, complica el análisis de instancias y requiere que los equipos de defensa monitoreen no solo los dominios y las direcciones de alojamiento, sino también la lógica de referencia de los contratos inteligentes, las direcciones y las llamadas específicas a los proveedores de RPC. Los desarrolladores atacados en LinkedIn corren un riesgo especial: es más probable que tengan billeteras, acceso a repositorios e infraestructura de desarrollo, y herramientas que tengan instaladas para la cadena de suministro.
El ataque demuestra una clara tendencia hacia el uso indebido de las capacidades de la cadena de bloques como infraestructura distribuida de control de malware. Los equipos de defensa deben considerar los patrones de transacciones, monitorear las llamadas a contratos inteligentes e integrar indicadores relacionados con las direcciones y los métodos de interacción con BSC y Ethereum en sus análisis de seguridad; de lo contrario, identificar y detener dichas cadenas será cada vez más difícil.
RedazioneEn unos años, Irlanda y Estados Unidos estarán conectados por un cable de comunicaciones submarino diseñado para ayudar a Amazon a mejorar sus servicios AWS . Los cables submarinos son una parte fu...
No se trata “ solo de mayor velocidad ”: ¡el 6G cambia la naturaleza misma de la red! Cuando hablamos de 6G, corremos el riesgo de reducirlo todo a una simple mejora de velocidad, como si la red ...
En septiembre se publicó una nueva vulnerabilidad que afecta a Notepad++. Esta vulnerabilidad, identificada como CVE-2025-56383, puede consultarse en el sitio web del NIST para obtener más informaci...
Google ha emitido un aviso urgente sobre una vulnerabilidad crítica en Android que permite a los atacantes ejecutar código arbitrario en el dispositivo sin interacción del usuario. La vulnerabilida...
El 29 de octubre, Microsoft publicó un fondo de pantalla para conmemorar el undécimo aniversario del programa Windows Insider , y se especula que fue creado utilizando macOS. Recordemos que Windows ...
