Un descubrimiento reciente revela que un Grupo estafador de Corea del Norte se dirige a los desarrolladores a través de un sofisticado esquema de trabajo falso que oculta malware dentro de las tareas de codificación. Los expertos han descubierto más de 200 paquetes de software malicioso vinculados a la operación conocida como Graphalgo. Lo interesante es que los atacantes apuntan específicamente a JavaScript y a los sistemas basados en Python. tecnología profesionales, particularmente aquellos con experiencia en criptomonedas.
El grupo estafador norcoreano Graphalgo utiliza esquemas de trabajo falsos para distribuir malware
Laboratorios reversibles informa que el La operación ha estado activa desde mayo de 2025.. Según se informa, los atacantes se hacen pasar por empresas de comercio de criptomonedas y blockchain y publican anuncios de trabajo falsos en plataformas como LinkedIn, Facebook y Reddit. Para postularse para el llamado trabajo, se pide a los solicitantes que completen una tarea técnica, que generalmente implica depurar o mejorar un proyecto de muestra.
La tarea parece legítima, pero contiene una dependencia maliciosa oculta alojada en repositorios confiables como npm y PyPI. Una vez que un usuario ejecuta el código, la dependencia instala un troyano de acceso remoto en el sistema. El informe afirma que tantos como 192 paquetes dañinos están vinculados a Graphalgo. En un caso, el paquete bigmathutils estuvo limpio hasta la versión 1.1.0, momento en el que se agregó una carga útil maliciosa y posteriormente el paquete se eliminó para evitar la detección.
Los atacantes obtienen control directo del sistema mientras el usuario permanece inconsciente
El instalado malware da a los atacantes control total sobre las máquinas infectadas. El troyano de acceso remoto puede enumerar procesos en ejecución, ejecutar comandos arbitrarios, filtrar archivos e implementar cargas útiles adicionales. También comprueba la presencia de la extensión del navegador de criptomonedas MetaMask, indicando motivos financieros. El malware utiliza un método protegido por token para comunicarse con el servidor. Esto limita su seguimiento externo.
Los expertos también han revelado que la operación Graphalgo probablemente esté vinculada al famoso grupo Lazarous. Son conocidos por sus trabajos relacionados con el puesto. estafas. De todos modos, se recomienda una vez más a los usuarios que siempre realicen una verificación cruzada de los paquetes antes de instalarlos en sus dispositivos.
Fuente: Android Headlines