Productos FTTH

Tienda FFTH desde 2004

Entradas Mensuales

Síguenos en:

Canal Oficial Telegram de elhacker.NET Grupo Facebook elhacker.NET Twitter elhacker.NET Canal Youtube elhacker.NET Comunidad Steam: Grupo elhacker.NET Mastodon

Entradas populares

PostHeaderIcon Campaña Lazarus asistida por IA ataca a desarrolladores con desafíos de código con puertas traseras


Un grupo de amenazas patrocinado por el estado norcoreano está llevando a cabo una campaña activa que engaña a los desarrolladores de software para que instalen malware a través de falsas entrevistas de trabajo y pruebas de codificación manipuladas. El grupo, rastreado por la firma de ciberseguridad Expel como HexagonalRodent (también llamado Expel-TA-0001), se cree ampliamente que es un subgrupo o escisión dentro del ecosistema más amplio de hacking de Lazarus.



Un grupo de amenazas patrocinado por el estado norcoreano está llevando a cabo una campaña activa que engaña a desarrolladores de software para que instalen malware a través de falsas entrevistas de trabajo y pruebas de codificación manipuladas.

El grupo, rastreado por la firma de ciberseguridad Expel como HexagonalRodent (también llamado Expel-TA-0001), se cree ampliamente que es un subgrupo o escisión dentro del ecosistema de hacking más amplio de Lazarus, vinculado al aparato de inteligencia de Corea del Norte.

La campaña sigue un patrón simple pero efectivo. Los actores de amenazas se hacen pasar por reclutadores tecnológicos y contactan a desarrolladores a través de plataformas como LinkedIn o publican falsas ofertas de empleo en portales de carrera populares.

Una vez que un desarrollador muestra interés, se le envía una «prueba de codificación para llevar a casa», que es un proyecto que debe completar y enviar para su revisión.

Estas pruebas parecen legítimas, pero llevan malware oculto integrado discretamente dentro del código y los archivos de configuración del proyecto.

El grupo apunta principalmente a desarrolladores de Web3 con el objetivo de robar criptomonedas y NFTs. En solo tres meses, el actor de amenazas exfiltró un total de 26.584 carteras de criptomonedas de 2.726 sistemas infectados de desarrolladores, con claves públicas de carteras que contenían hasta $12 millones en activos cripto expuestos.

Lo que hace que esta campaña destaque frente a otros grupos alineados con la RPDC es el uso intensivo y deliberado de IA generativa.

Los atacantes utilizaron herramientas como ChatGPT y Cursor para escribir código de malware, crear sitios web falsos de empresas y generar equipos de liderazgo completamente ficticios para dar credibilidad a sus frentes de reclutamiento fraudulentos.

Analistas e investigadores de Expel identificaron la campaña tras investigar una infección de malware BeaverTail en la red de un cliente en octubre de 2025, lo que les llevó a descubrir una amplia red de paneles de comando y control (C2), infraestructura y sistemas de seguimiento internos utilizados por el grupo.

El grupo Lazarus ha sido durante mucho tiempo uno de los actores de amenazas más persistentes y motivados financieramente que operan en nombre de Corea del Norte.

Pero HexagonalRodent representa un cambio en el enfoque. En lugar de atacar grandes exchanges de criptomonedas con intrusiones complejas de múltiples pasos, este subgrupo ejecuta ataques oportunistas de alto volumen contra desarrolladores individuales.

The homepage of AI Health Chains (Source - Expel)
Página de inicio de AI Health Chains (Fuente – Expel)

Esta estrategia funciona porque muchos proyectos pequeños de Web3 e inversores individuales poseen activos digitales significativos pero carecen de protecciones de seguridad robustas.

El malware del grupo, escrito en NodeJS y Python, se mezcla naturalmente con las herramientas de software que los desarrolladores usan a diario, lo que dificulta su detección en máquinas personales.

La campaña ganó más atención cuando los investigadores descubrieron que HexagonalRodent había llevado a cabo con éxito un ataque a la cadena de suministro a principios de 2026.

Una popular extensión de VSCode llamada «fast-draft» fue comprometida y utilizada para distribuir el malware OtterCookie.

Este fue el primer caso confirmado de este subgrupo realizando un ataque a la cadena de suministro, lo que sugiere que el grupo está expandiendo sus métodos de ataque y ganando confianza técnica.

Dentro del mecanismo de infección

El método central de infección se basa en una función integrada en VSCode, uno de los editores de código más populares utilizados por desarrolladores en todo el mundo. Los atacantes incrustan un archivo de configuración tasks.json malicioso dentro del proyecto de evaluación de codificación que envían a su objetivo.

Este archivo permite a VSCode ejecutar tareas automatizadas cada vez que ocurren ciertos eventos en el editor.

Los actores de amenazas configuran el archivo con un comando runOn: «folderOpen», lo que significa que el malware se ejecuta en el momento en que el desarrollador simplemente abre la carpeta del proyecto en VSCode, sin hacer clic en nada sospechoso ni ejecutar ningún código manualmente.

La puerta trasera no se detiene ahí. Los archivos de código fuente reales dentro de la evaluación también contienen funciones maliciosas ocultas diseñadas para ejecutarse cuando el desarrollador ejecuta el código normalmente.

Esto sirve como una ruta de infección secundaria para desarrolladores que no usan VSCode, o para casos en los que las tareas automatizadas han sido deshabilitadas.

Juntos, estos dos métodos cubren una amplia gama de escenarios y aumentan significativamente la probabilidad de que la infección tenga éxito, independientemente de cómo el desarrollador abra el proyecto.

Una vez dentro de un sistema, la familia de malware conocida como BeaverTail comienza a exfiltrar credenciales de navegadores web, el llavero de macOS, el Keyring de Linux y gestores de contraseñas como 1Password.

The infostealer panel (Source - Expel)
Panel del infostealer (Fuente – Expel)

Un segundo componente llamado OtterCookie actúa como un shell inverso, dando al atacante acceso remoto directo. Una tercera herramienta, InvisibleFerret, escrita en Python, también funciona como un shell inverso.

Los investigadores de Expel confirmaron, mediante el análisis de los paneles C2 expuestos del grupo, que estas herramientas trabajan juntas, con BeaverTail encargándose del robo de credenciales y OtterCookie gestionando el acceso continuo al sistema.

Los investigadores de seguridad y Expel recomiendan encarecidamente a los desarrolladores tomar las siguientes precauciones para protegerse de este tipo de ataques:

  • Nunca ejecutes código recibido de fuentes desconocidas, incluso como parte de una entrevista de trabajo, sin revisar primero cada archivo del proyecto, incluyendo archivos de configuración ocultos como tasks.json.
  • Desactiva la ejecución automática de tareas en VSCode en Ajustes para evitar que las tareas se ejecuten al abrir una carpeta.
  • Usa herramientas de auditoría de código basadas en IA para escanear cualquier código fuente de evaluación en busca de funciones inusuales o llamadas de red sospechosas antes de ejecutarlo.
  • Utiliza tokens de seguridad hardware para carteras de criptomonedas, ya que la investigación de Expel confirmó que las carteras protegidas con tokens hardware eran significativamente más difíciles de vaciar para los actores de amenazas.
  • Verifica las identidades de los reclutadores de forma independiente revisando el sitio web oficial de la empresa y contactándolos a través de canales verificados antes de aceptar cualquier tarea de codificación.
  • Monitorea procesos inesperados de NodeJS o Python que establezcan conexiones TCP salientes persistentes, lo que podría indicar actividad activa de BeaverTail u OtterCookie en el sistema.


Fuentes:
https://cybersecuritynews.com/ai-assisted-lazarus-campaign-targets/


0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.