{"id":5967,"date":"2025-06-20T04:02:11","date_gmt":"2025-06-20T04:02:11","guid":{"rendered":"https:\/\/satoshibrother.com\/es\/corea-del-norte-ataca-a-trabajadores-de-criptomonedas-con-malware-que-roba-informacion\/"},"modified":"2025-06-20T04:02:11","modified_gmt":"2025-06-20T04:02:11","slug":"corea-del-norte-ataca-a-trabajadores-de-criptomonedas-con-malware-que-roba-informacion","status":"publish","type":"post","link":"https:\/\/satoshibrother.com\/es\/corea-del-norte-ataca-a-trabajadores-de-criptomonedas-con-malware-que-roba-informacion\/","title":{"rendered":"Corea del Norte ataca a trabajadores de criptomonedas con malware que roba informaci\u00f3n"},"content":{"rendered":"<h2>Nuevo malware de Corea del Norte dirigido a buscadores de empleo en criptomonedas<\/h2>\n<p>Un actor de amenazas vinculado a <strong>Corea del Norte<\/strong> ha estado atacando a quienes buscan empleo en la industria de las <strong>criptomonedas<\/strong> con un nuevo <em>malware<\/em> dise\u00f1ado para <strong>robar contrase\u00f1as<\/strong> de billeteras de criptomonedas y administradores de contrase\u00f1as. Cisco Talos inform\u00f3 este mi\u00e9rcoles que descubri\u00f3 un nuevo <strong>troyano de acceso remoto (RAT)<\/strong> basado en Python, al que ha denominado \u201c<em>PylangGhost<\/em>\u201d, vinculando el malware a un colectivo de hackers afiliado a Corea del Norte conocido como \u201c<strong>Famous Chollima<\/strong>\u201d, o \u201c<strong>Wagemole<\/strong>\u201d. Este grupo ha estado dirigiendo sus ataques a trabajadores que buscan empleo y a profesionales con experiencia en criptomonedas y blockchain, principalmente en India, llevando a cabo estas operaciones mediante <em>campa\u00f1as de entrevistas falsas<\/em> que utilizan ingenier\u00eda social.<\/p>\n<blockquote><p>\u201cDe los puestos anunciados, est\u00e1 claro que Famous Chollima se est\u00e1 enfocando en individuos con experiencia previa en tecnolog\u00edas de criptomonedas y blockchain.\u201d<\/p><\/blockquote>\n<h2>Utilizaci\u00f3n de sitios de trabajo falsos<\/h2>\n<p>Los atacantes crean <strong>sitios de trabajo fraudulentos<\/strong> que suplantan a empresas leg\u00edtimas, como <strong>Coinbase<\/strong>, <strong>Robinhood<\/strong> y <strong>Uniswap<\/strong>. Las v\u00edctimas son guiadas a trav\u00e9s de un proceso que incluye un contacto inicial de reclutadores falsos que env\u00edan invitaciones a <strong>sitios web de pruebas de habilidades<\/strong>, donde se recoge informaci\u00f3n personal.<\/p>\n<p>Posteriormente, las v\u00edctimas son inducidas a habilitar el acceso a <strong>video y c\u00e1mara<\/strong> para entrevistas falsas, durante las cuales son manipuladas para copiar y ejecutar <strong>comandos maliciosos<\/strong> bajo el pretexto de instalar controladores de video actualizados, comprometiendo as\u00ed sus dispositivos.<\/p>\n<h2>Carga \u00fatil del malware<\/h2>\n<p><em>PylangGhost<\/em> es una variante del RAT <strong>GolangGhost<\/strong>, previamente documentado, y comparte funcionalidades similares, seg\u00fan Cisco Talos. Al ejecutarse, los comandos permiten el control remoto del <strong>sistema infectado<\/strong> y el robo de <strong>cookies<\/strong> y credenciales de m\u00e1s de 80 <strong>extensiones de navegador<\/strong>. Esto incluye administradores de contrase\u00f1as y billeteras de criptomonedas como <strong>MetaMask<\/strong>, <strong>1Password<\/strong>, <strong>NordPass<\/strong>, <strong>Phantom<\/strong>, <strong>Bitski<\/strong>, <strong>Initia<\/strong>, <strong>TronLink<\/strong> y <strong>MultiverseX<\/strong>.<\/p>\n<h2>Caracter\u00edsticas del malware<\/h2>\n<p>El malware no solo roba informaci\u00f3n sino que tambi\u00e9n puede realizar diversas tareas y ejecutar m\u00faltiples comandos, incluyendo <strong>tomar capturas de pantalla<\/strong>, gestionar archivos, robar datos del navegador, <strong>recopilar informaci\u00f3n del sistema<\/strong> y mantener acceso remoto a los sistemas infectados. Los investigadores tambi\u00e9n se\u00f1alaron que era poco probable que los actores de amenazas utilizaran un <strong>modelo de lenguaje de inteligencia artificial<\/strong> para ayudar a escribir el c\u00f3digo, bas\u00e1ndose en los comentarios realizados dentro del mismo.<\/p>\n<h2>Antecedentes de ofertas de trabajo falsas<\/h2>\n<p>No es la primera vez que hackers vinculados a Corea del Norte emplean trabajos y entrevistas falsas para atraer a sus v\u00edctimas. En abril, se report\u00f3 que hackers vinculados al robo de <strong>1.4 mil millones de d\u00f3lares<\/strong> de Bybit estaban apuntando a desarrolladores de criptomonedas mediante <em>pruebas de reclutamiento falsas infectadas con malware<\/em>.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Nuevo malware de Corea del Norte dirigido a buscadores de empleo en criptomonedas Un actor de amenazas vinculado a Corea del Norte ha estado atacando a quienes buscan empleo en la industria de las criptomonedas con un nuevo malware dise\u00f1ado para robar contrase\u00f1as de billeteras de criptomonedas y administradores de contrase\u00f1as. Cisco Talos inform\u00f3 este mi\u00e9rcoles que descubri\u00f3 un nuevo troyano de acceso remoto (RAT) basado en Python, al que ha denominado \u201cPylangGhost\u201d, vinculando el malware a un colectivo de hackers afiliado a Corea del Norte conocido como \u201cFamous Chollima\u201d, o \u201cWagemole\u201d. Este grupo ha estado dirigiendo sus ataques a<\/p>\n","protected":false},"author":3,"featured_media":5966,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[15,64],"tags":[11,62,52,728,65,272,72,2317,180,59],"class_list":["post-5967","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-bitcoin","category-hack","tag-bitcoin","tag-bybit","tag-coinbase","tag-gemini","tag-hack","tag-metamask","tag-north-korea","tag-phantom","tag-robinhood","tag-uniswap"],"yoast_description":"Los hackers norcoreanos est\u00e1n atacando a trabajadores de criptomonedas con un nuevo malware, PylangGhost, que roba contrase\u00f1as a trav\u00e9s de entrevistas de trabajo falsas y comandos maliciosos.","_links":{"self":[{"href":"https:\/\/satoshibrother.com\/es\/wp-json\/wp\/v2\/posts\/5967","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/satoshibrother.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/satoshibrother.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/satoshibrother.com\/es\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/satoshibrother.com\/es\/wp-json\/wp\/v2\/comments?post=5967"}],"version-history":[{"count":0,"href":"https:\/\/satoshibrother.com\/es\/wp-json\/wp\/v2\/posts\/5967\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/satoshibrother.com\/es\/wp-json\/wp\/v2\/media\/5966"}],"wp:attachment":[{"href":"https:\/\/satoshibrother.com\/es\/wp-json\/wp\/v2\/media?parent=5967"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/satoshibrother.com\/es\/wp-json\/wp\/v2\/categories?post=5967"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/satoshibrother.com\/es\/wp-json\/wp\/v2\/tags?post=5967"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}