Corea del Norte ataca a profesionales de cripto con malware PylangGhost: Cómo protegerte
Introducción
El cibercrimen vinculado a Corea del Norte no da tregua. Esta vez, hackers norcoreanos han puesto en la mira a trabajadores del sector blockchain mediante ofertas de empleo falsas que esconden un peligroso malware: PylangGhost. Según un informe de Cisco Talos, el grupo Famous Chollima (también conocido como Wagemole) está detrás de esta campaña, cuyo objetivo es robar credenciales de wallets de criptomonedas y gestores de contraseñas.
Si trabajas en el ecosistema crypto o estás buscando oportunidades laborales en este sector, es crucial entender cómo opera esta amenaza y qué medidas tomar para no caer en la trampa.
¿Quién está detrás del ataque?
El grupo Famous Chollima no es nuevo en el juego. Se le relaciona con el robo de $1.4 mil millones a la plataforma Bybit en abril de 2024 y forma parte de la red más amplia de hackers norcoreanos, como el infame Lazarus Group.
Su modus operandi es claro: apuntar a profesionales del sector blockchain, especialmente en India, aunque el riesgo es global. Utilizan ingeniería social avanzada para engañar a sus víctimas, aprovechando la alta demanda de talento en la industria cripto.
Cómo funciona el engaño
1. Ofertas de trabajo falsas
Los atacantes se hacen pasar por reclutadores de empresas reconocidas como Coinbase, Robinhood o Uniswap.
Publican vacantes atractivas en plataformas de empleo o contactan directamente a sus objetivos.
2. Pruebas de habilidades maliciosas
Invitan a los candidatos a realizar pruebas técnicas en sitios web controlados por ellos.
Estos sitios pueden pedir la instalación de software supuestamente necesario para la evaluación.
3. Entrevistas con trampa
Durante videollamadas, los hackers solicitan instalar «controladores de cámara» o «herramientas de evaluación».
En realidad, el archivo descargado es el malware PylangGhost, que otorga acceso remoto al dispositivo.
Detalles técnicos del malware PylangGhost
PylangGhost es un RAT (Remote Access Trojan) basado en Python, una variante del conocido GolangGhost. Sus funciones incluyen:
- Robo de credenciales: Extrae datos de más de 80 extensiones de navegador, incluyendo MetaMask, Phantom y gestores como 1Password o NordPass.
- Captura de pantallas y archivos: Monitoriza la actividad del usuario para obtener información sensible.
- Acceso remoto persistente: Permite a los atacantes controlar el dispositivo infectado incluso después del robo inicial.
¿Por qué es preocupante?
- Enfoque en empleados del sector crypto
Los hackers saben que estos profesionales manejan claves privadas y acceso a fondos significativos.
- Historial de Corea del Norte en robos de cripto
Grupos como Lazarus han sustraído miles de millones en los últimos años.
- Sofisticación creciente
Aunque no se ha detectado el uso de IA en este caso, los métodos de engaño son cada vez más convincentes.
Cómo protegerte
✅ Verifica las ofertas de trabajo
Contacta directamente a la empresa a través de su sitio web oficial antes de aceptar cualquier prueba.
✅ No ejecutes archivos sospechosos
Desconfía de instaladores enviados por reclutadores, especialmente si piden permisos administrativos.
✅ Usa hardware wallets y 2FA
Las wallets frías (como Ledger o Trezor) son más seguras que las extensiones de navegador.
Activa la autenticación en dos factores en todas tus cuentas.
✅ Monitorea las extensiones del navegador
Elimina aquellas que no uses y revisa los permisos de las activas.
Conclusión
Los ataques de Corea del Norte contra la industria cripto son una amenaza constante y en evolución. El caso de PylangGhost demuestra que los hackers están refinando sus tácticas para explotar la confianza de los profesionales del sector.
La mejor defensa es la precaución y la educación. Si recibes una oferta laboral que parece demasiado buena para ser verdad, tómate el tiempo de investigar. Tu seguridad digital (y tus criptoactivos) dependen de ello.
🔗 Recursos útiles:
Mantente alerta y protege tus activos. 🚨
