Redazione RHC : 17 octubre 2025 11:07
Un grupo norcoreano vinculado a la RPDC ha desarrollado EtherHiding , un método para ocultar código malicioso en contratos inteligentes de blockchain pública y modificar las cargas útiles sobre la marcha. Según Google Threat Intelligence Group, esta técnica fue adoptada por el grupo UNC5342, también conocido como CL-STA-0240 de Palo Alto Networks, DeceptiveDevelopment de ESET y DEVPOPPER de Securonix.
Los vectores de ataque son consistentes con la prolongada campaña «Entrevista Contagiosa» : los atacantes contactan a los desarrolladores a través de LinkedIn, haciéndose pasar por reclutadores, trasladan la conversación a Telegram o Discord y, bajo la apariencia de una prueba, los engañan para que ejecuten código malicioso. El objetivo es obtener acceso no autorizado a las estaciones de trabajo y robar datos y criptomonedas.
Google ha estado usando EtherHiding desde febrero de 2025. El código está integrado en un contrato inteligente en BNB Smart Chain o Ethereum, y la cadena en sí misma funciona como un punto de entrega descentralizado, una infraestructura resistente a eliminaciones y bloqueos.
El seudonimato de las transacciones dificulta la atribución de la distribución de contratos, y la dirección de control puede actualizar la carga útil en cualquier momento (la tarifa promedio de gas es de aproximadamente $1.37), lo que permite cambios rápidos en las tácticas y los módulos maliciosos. Mandiant enfatiza que la inclusión de estos mecanismos por parte de los operadores estatales aumenta la supervivencia de la campaña y acelera su adaptación a nuevos objetivos.
La infección está precedida por un engaño en aplicaciones de mensajería instantánea . La cadena se desarrolla en varias etapas, afectando a equipos Windows, macOS y Linux. Primero, se inicia un cargador principal, camuflado como un paquete npm. A continuación, se activa BeaverTail, un ladrón de JavaScript, que extrae datos de la billetera de criptomonedas, el contenido de las extensiones del navegador y las credenciales guardadas.
A continuación viene JADESNOW , otro cargador de JavaScript que accede a Ethereum para obtener InvisibleFerret . InvisibleFerret es una adaptación de JavaScript de una puerta trasera de Python previamente observada : otorga control remoto de la máquina y organiza la exfiltración de datos a largo plazo, incluyendo desde Meta Mask y Phantom , así como desde gestores de contraseñas como 1Password .
Los hackers también intentan instalar un intérprete portátil de Python y usarlo para ejecutar un módulo independiente y robar credenciales almacenadas en una dirección diferente de la red Ethereum. En ocasiones, se utilizan varias cadenas de bloques simultáneamente, lo que aumenta la supervivencia del canal de distribución y dificulta las contramedidas.
Este enfoque aumenta la resiliencia al bloqueo y a la aplicación de la ley, complica el análisis de instancias y requiere que los equipos de defensa monitoreen no solo los dominios y las direcciones de alojamiento, sino también la lógica de referencia de los contratos inteligentes, las direcciones y las llamadas específicas a los proveedores de RPC. Los desarrolladores atacados en LinkedIn corren un riesgo especial: es más probable que tengan billeteras, acceso a repositorios e infraestructura de desarrollo, y herramientas que tengan instaladas para la cadena de suministro.
El ataque demuestra una clara tendencia hacia el uso indebido de las capacidades de la cadena de bloques como infraestructura distribuida de control de malware. Los equipos de defensa deben considerar los patrones de transacciones, monitorear las llamadas a contratos inteligentes e integrar indicadores relacionados con las direcciones y los métodos de interacción con BSC y Ethereum en sus análisis de seguridad; de lo contrario, identificar y detener dichas cadenas será cada vez más difícil.
RedazioneJen-Hsun Huang, fundador y CEO de Nvidia, reveló que las recientes restricciones a las exportaciones han reducido drásticamente la presencia de los chips de inteligencia artificial de la compañía ...
En el Reino Unido, Jason y Luke Stoner, padre e hijo, transformaron un antiguo autobús escolar en un museo itinerante dedicado a ordenadores y consolas retro. La inspiración surgió cuando Luke visi...
El 15 de octubre de 2025 se cumple un aniversario de excepcional importancia en la historia de la seguridad nacional italiana: cien años del nacimiento del Servicio de Información Militar (SIM) , el...
Este año, OpenAI anunció una serie de proyectos con gobiernos extranjeros para crear sistemas de IA soberanos. Según la compañía, algunos de estos acuerdos se están negociando actualmente con la...
Un nuevo e inusual método de jailbreak , el arte de sortear las limitaciones impuestas a la inteligencia artificial, ha llegado a nuestra redacción. Fue desarrollado por el investigador de seguridad...
