Grupos APT Norcoreanos Atacan a Desarrolladores con Falsos Desafíos de Código en Ofertas de Empleo

Actores de Amenazas Norcoreanos Explotan el Proceso de Reclutamiento para Desplegar Malware

Investigadores de ciberseguridad han descubierto una campaña sofisticada en la que grupos de amenazas persistentes avanzadas (APT) norcoreanos se hacen pasar por reclutadores corporativos para atacar a desarrolladores de software con desafíos de código infectados con malware. Los ataques, reportados inicialmente por ReversingLabs, destacan una táctica en evolución dentro del ciberespionaje y la compromisión de la cadena de suministro.

Detalles Clave del Ataque

• Actores de Amenaza: Grupos de hacking patrocinados por el estado norcoreano, probablemente incluyendo al Lazarus Group o sus afiliados.
• Objetivo: Desarrolladores de software, especialmente aquellos en los sectores de criptomonedas y blockchain.
• Método: Mensajes falsos de reclutamiento laboral que contienen desafíos de código maliciosos disfrazados de evaluaciones técnicas.
• Carga Útil: La ejecución del código proporcionado resulta en la instalación de malware, permitiendo acceso remoto, exfiltración de datos o movimiento lateral adicional.

Análisis Técnico

El ataque comienza con actores de amenazas que se hacen pasar por reclutadores legítimos, a menudo a través de LinkedIn o correo electrónico, ofreciendo oportunidades laborales lucrativas. Las víctimas son dirigidas a completar un desafío de código alojado en plataformas como GitHub o GitLab. Sin embargo, el código proporcionado contiene malware ofuscado, típicamente un backdoor o troyano de acceso remoto (RAT).

El análisis de ReversingLabs indica que el malware puede aprovechar:

• Binarios Living-off-the-land (LOLBins) para evadir la detección.
• Cargas útiles codificadas dentro de scripts aparentemente benignos (por ejemplo, Python, PowerShell).
• Mecanismos de persistencia, como tareas programadas o modificaciones en el registro.

No se han revelado IDs específicos de CVE, pero el ataque coincide con la historia de Corea del Norte de atacar a desarrolladores para comprometer cadenas de suministro de software (por ejemplo, los ataques al estilo SolarWinds de 2020).

Impacto y Motivación

Los objetivos principales de esta campaña probablemente incluyen:

• Ciberespionaje: Robo de propiedad intelectual o datos sensibles de proyectos.
• Compromiso de la Cadena de Suministro: Infectar a desarrolladores para distribuir malware posteriormente a través de actualizaciones legítimas de software.
• Robo Financiero: Atacar a desarrolladores de criptomonedas para facilitar el robo o el lavado de dinero.

Los desarrolladores en sectores de alto valor (por ejemplo, fintech, blockchain) están particularmente en riesgo, ya que sus sistemas suelen tener acceso a bases de código propietarias o entornos de producción.

Mitigación y Recomendaciones

Los equipos de seguridad y los desarrolladores individuales deben:

1. Verificar a los Reclutadores: Cruzar la identidad de los reclutadores a través de canales oficiales de la empresa antes de interactuar.
2. Aislar los Desafíos de Código: Ejecutar código no confiable en entornos sandbox (por ejemplo, contenedores Docker, máquinas virtuales).
3. Monitorear Anomalías: Implementar herramientas de detección y respuesta en endpoints (EDR) para identificar ejecuciones de procesos sospechosos.
4. Educar a los Equipos: Capacitar a los desarrolladores sobre los riesgos de ingeniería social, especialmente en contextos de reclutamiento.
5. Aplicar el Principio de Mínimo Privilegio: Restringir los derechos de administrador local para minimizar el impacto del malware.

Para más detalles, consulte el informe de ReversingLabs y la cobertura de BleepingComputer.