Los actores de amenazas vinculados a Corea del Norte han representado un tercio de toda la actividad de phishing dirigida a Brasil desde 2020, ya que el surgimiento del país como una potencia influyente ha llamado la atención de los grupos de ciberespionaje. «Los actores respaldados por el gobierno de Corea del Norte han atacado al gobierno brasileño y a los sectores aeroespacial, tecnológico y de servicios financieros de Brasil», dijeron las divisiones Mandiant y Threat Analysis Group (TAG) de Google en un informe conjunto publicado esta semana. «Al igual que sus intereses en otras regiones, las empresas de criptomonedas y tecnología financiera han sido un foco particular, y al menos tres grupos norcoreanos han apuntado a empresas brasileñas de criptomonedas y tecnología financiera». Entre esos grupos se destaca un actor de amenazas identificado como UNC4899 (también conocido como Jade Sleet, PUKCHONG y TraderTraitor), que se ha dirigido a los profesionales de las criptomonedas con una aplicación Python troyanizada con malware. Las cadenas de ataque implican llegar a objetivos potenciales a través de las redes sociales y enviar un documento PDF benigno que contiene una descripción del trabajo para una supuesta oportunidad laboral en una conocida empresa de criptomonedas. Si el objetivo expresa interés en la oferta de trabajo, el actor de la amenaza le da seguimiento enviando un segundo documento PDF inofensivo con un cuestionario de habilidades e instrucciones para completar una tarea de codificación descargando un proyecto de GitHub. «El proyecto era una aplicación Python troyanizada para recuperar precios de criptomonedas que se modificó para llegar a un dominio controlado por un atacante y recuperar una carga útil de segunda etapa si se cumplían condiciones específicas», dijeron Mandiant y los investigadores de TAG. Esta no es la primera vez que UNC4899, que se ha atribuido al hack de JumpCloud de 2023, aprovecha este enfoque. En julio de 2023, GitHub advirtió sobre un ataque de ingeniería social que buscaba engañar a los empleados que trabajaban en empresas de blockchain, criptomonedas, juegos de azar en línea y ciberseguridad para que ejecutaran código alojado en un repositorio de GitHub utilizando paquetes npm falsos. Las campañas de ingeniería social con temas laborales son un tema recurrente entre los grupos de piratería de Corea del Norte, y el gigante tecnológico también detectó una campaña orquestada por un grupo al que rastrea como PAEKTUSAN para entregar un descargador de malware en C++ denominado AGAMEMNON a través de archivos adjuntos de Microsoft Word incrustados en correos electrónicos de phishing. . «En un ejemplo, PAEKTUSAN creó una cuenta haciéndose pasar por un director de recursos humanos en una empresa aeroespacial brasileña y la utilizó para enviar correos electrónicos de phishing a empleados de una segunda empresa aeroespacial brasileña», señalaron los investigadores, y agregaron que las campañas son consistentes con una actividad de larga duración. rastreado como Operación Dream Job. «En una campaña separada, PAEKTUSAN se hizo pasar por un reclutador de una importante empresa aeroespacial de EE. UU. y contactó a profesionales en Brasil y otras regiones a través de correo electrónico y redes sociales sobre posibles oportunidades laborales». Google dijo además que bloqueó los intentos de otro grupo norcoreano llamado PRONTO de apuntar a diplomáticos con señuelos de correo electrónico relacionados con la desnuclearización y noticias para engañarlos para que visiten páginas de recolección de credenciales o proporcionen su información de inicio de sesión para ver un supuesto documento PDF. El desarrollo se produce semanas después de que Microsoft arrojara luz sobre un actor de amenazas previamente indocumentado de origen norcoreano, con nombre en código Moonstone Sleet, que ha señalado a personas y organizaciones en los sectores de base industrial de software y tecnología de la información, educación y defensa con ataques de ransomware y espionaje. . Entre las tácticas notables de Moonstone Sleet se encuentra la distribución de malware a través de paquetes npm falsificados publicados en el registro npm, reflejando el de UNC4899. Dicho esto, los paquetes asociados con los dos grupos tienen estructuras y estilos de código distintos. «Los paquetes de Jade Sleet, descubiertos a lo largo del verano de 2023, fueron diseñados para funcionar en pares, y cada par fue publicado por una cuenta de usuario npm separada para distribuir su funcionalidad maliciosa», dijeron los investigadores de Checkmarx, Tzachi Zornstein y Yehuda Gelb. «Por el contrario, los paquetes publicados a finales de 2023 y principios de 2024 adoptaron un enfoque de paquete único más simplificado que ejecutaría su carga útil inmediatamente después de la instalación. En el segundo trimestre de 2024, los paquetes aumentaron en complejidad y los atacantes agregaron ofuscación y también apunta a sistemas Linux». Independientemente de las diferencias, la táctica abusa de la confianza que los usuarios depositan en los repositorios de código abierto, lo que permite a los actores de amenazas llegar a una audiencia más amplia y aumentar la probabilidad de que uno de sus paquetes maliciosos pueda ser instalado inadvertidamente por desarrolladores involuntarios. La divulgación es significativa, sobre todo porque marca una expansión del mecanismo de distribución de malware de Moonstone Sleet, que anteriormente dependía de la difusión de paquetes npm falsos utilizando LinkedIn y sitios web de autónomos. Los hallazgos también siguen al descubrimiento de una nueva campaña de ingeniería social emprendida por el grupo Kimsuky, vinculado a Corea del Norte, en la que se hizo pasar por la agencia de noticias Reuters para atacar a activistas norcoreanos de derechos humanos y entregarles malware que roba información bajo la apariencia de una solicitud de entrevista, según a los genios. ¿Encontró interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.