{"id":2075,"date":"2026-06-14T21:13:58","date_gmt":"2026-06-14T21:13:58","guid":{"rendered":"https:\/\/resguardodigital.cl\/?p=2075"},"modified":"2026-06-14T21:13:58","modified_gmt":"2026-06-14T21:13:58","slug":"ciberdelincuentes-norcoreanos-lanzan-un-phishing-masivo-para-robar-criptomonedas-a-desarrolladores","status":"publish","type":"post","link":"https:\/\/resguardodigital.cl\/?p=2075","title":{"rendered":"Ciberdelincuentes norcoreanos lanzan un phishing masivo para robar criptomonedas a desarrolladores"},"content":{"rendered":"<div>\n<p class=\"wp-block-paragraph\">\u00a0<a href=\"https:\/\/www.proofpoint.com\/es\/\" target=\"_blank\" rel=\"noreferrer noopener\">Proofpoint<\/a>, empresa de ciberseguridad y cumplimiento normativo, ha identificado un nuevo cl\u00faster de amenazas probablemente alineado con Corea del Norte, denominado UNK_DeadDrop, que desarrolla campa\u00f1as de phishing dirigidas a desarrolladores de software mediante el uso de repositorios maliciosos en GitHub, flujos de trabajo de Visual Studio Code y extensiones maliciosas, con el objetivo de robar credenciales y activos relacionados con criptomonedas.<\/p>\n<p class=\"wp-block-paragraph\">Los atacantes de UNK_DeadDrop comienzan con correos electr\u00f3nicos que contienen enlaces a repositorios controlados por los atacantes y presentados como pruebas t\u00e9cnicas, proyectos relacionados con criptomonedas o iniciativas de c\u00f3digo abierto, seg\u00fan Proofpoint. Las v\u00edctimas son persuadidas para clonar estos repositorios y abrirlos en entornos de desarrollo como Visual Studio Code o Cursor. Una vez abierto el proyecto, se ejecutan tareas preconfiguradas que activan cadenas de infecci\u00f3n espec\u00edficas para Windows, Linux y macOS.<\/p>\n<p class=\"wp-block-paragraph\">El uso de extensiones maliciosas de Visual Studio Code es uno de los elementos m\u00e1s destacados de estas campa\u00f1as, ya que se ejecutan de forma sigilosa y mantienen la persistencia en los sistemas comprometidos con una interacci\u00f3n m\u00ednima por parte del usuario. En sistemas Linux y macOS, los atacantes despliegan una variante basada en el framework de c\u00f3digo abierto Overlord, que act\u00faa como una puerta trasera con capacidades de acceso remoto. En Windows, la actividad maliciosa se ejecuta directamente dentro del proceso Electron del editor, sin necesidad de instalar binarios adicionales en el sistema.<\/p>\n<p class=\"wp-block-paragraph\">Entre abril y mayo, los investigadores observaron una campa\u00f1a de UNK_DeadDrop que afect\u00f3 a alrededor de un centenar de organizaciones de tecnolog\u00eda, criptomonedas, finanzas, educaci\u00f3n y servicios empresariales. Durante seis semanas, los ciberdelincuentes enviaron m\u00e1s de 250 correos electr\u00f3nicos incluyendo se\u00f1uelos con ofertas de empleo para desarrolladores, revisiones de c\u00f3digo y colaboraciones en proyectos de software.<\/p>\n<p class=\"wp-block-paragraph\">La investigaci\u00f3n de Proofpoint refleja la evoluci\u00f3n de UNK_DeadDrop de las campa\u00f1as tradicionales de falsas entrevistas de trabajo hacia operaciones m\u00e1s escalables y sofisticadas, centradas en el abuso de herramientas de desarrollo de confianza.<\/p>\n<p class=\"wp-block-paragraph\">El malware empleado en estas campa\u00f1as recopila informaci\u00f3n de extensiones de monederos instaladas en navegadores, credenciales almacenadas y otros datos de inter\u00e9s para los atacantes, que luego se env\u00edan a servidores de mando y control para su explotaci\u00f3n.<\/p>\n<p class=\"wp-block-paragraph\">Esta actividad comparte similitudes con operaciones previamente atribuidas a actores norcoreanos, especialmente aquellas centradas en desarrolladores y organizaciones vinculadas a criptomonedas. No obstante, el uso masivo del correo electr\u00f3nico como vector inicial, el empleo de repositorios especialmente dise\u00f1ados para distribuir malware y el desarrollo de nuevas t\u00e9cnicas basadas en extensiones VSIX justifican el seguimiento de esta actividad como un cl\u00faster independiente, de acuerdo a los investigadores de Proofpoint.<\/p>\n<p class=\"wp-block-paragraph\"><em>\u201cEsta campa\u00f1a demuestra c\u00f3mo los ciberdelincuentes alineados con Corea del Norte contin\u00faan evolucionando sus t\u00e1cticas para comprometer a desarrolladores y acceder a activos de alto valor\u201d<\/em>, apuntan los investigadores de <strong>Proofpoint<\/strong>.\u00a0<em>\u201cLa combinaci\u00f3n de repositorios aparentemente leg\u00edtimos, la automatizaci\u00f3n de la ejecuci\u00f3n de c\u00f3digo y los mecanismos de persistencia discretos evidencia una inversi\u00f3n continuada en herramientas y procedimientos dise\u00f1ados para integrarse en flujos de trabajo de desarrollo ampliamente utilizados\u201d<\/em>.<\/p>\n<p class=\"wp-block-paragraph\">Tras esta investigaci\u00f3n sobre UNK_DeadDrop, Proofpoint recomienda a las organizaciones reforzar los controles sobre entornos de desarrollo, revisar cuidadosamente cualquier repositorio recibido por canales no verificados, supervisar la instalaci\u00f3n de extensiones en los editores de c\u00f3digo y formar a los equipos de desarrollo para identificar intentos de ingenier\u00eda social relacionados con oportunidades laborales o colaboraciones t\u00e9cnicas.<\/p>\n<\/div>\n","protected":false},"excerpt":{"rendered":"<p>\u00a0Proofpoint, empresa de ciberseguridad y cumplimiento normativo, ha identificado un nuevo cl\u00faster de amenazas probablemente alineado con Corea<\/p>\n","protected":false},"author":1,"featured_media":1710,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[4],"tags":[385,1121,305,1119,1120,1118,49,260,50],"class_list":["post-2075","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-newsbeat","tag-ciberdelincuentes","tag-criptomonedas","tag-desarrolladores","tag-lanzan","tag-masivo","tag-norcoreanos","tag-para","tag-phishing","tag-robar"],"_links":{"self":[{"href":"https:\/\/resguardodigital.cl\/index.php?rest_route=\/wp\/v2\/posts\/2075","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/resguardodigital.cl\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/resguardodigital.cl\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/resguardodigital.cl\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/resguardodigital.cl\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=2075"}],"version-history":[{"count":0,"href":"https:\/\/resguardodigital.cl\/index.php?rest_route=\/wp\/v2\/posts\/2075\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/resguardodigital.cl\/index.php?rest_route=\/wp\/v2\/media\/1710"}],"wp:attachment":[{"href":"https:\/\/resguardodigital.cl\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=2075"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/resguardodigital.cl\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=2075"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/resguardodigital.cl\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=2075"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}