Investigadores de Proofpoint han identificado una campaña de phishing atribuida a un actor de amenazas probablemente norcoreano. Enmascarada como ofertas de empleo o solicitudes de revisión de código, la operación apunta a desarrolladores de software para robar carteras de criptomonedas y credenciales de autenticación.
Entre abril y mayo de 2026, investigadores de seguridad de Proofpoint observaron una campaña de phishing en la que un actor de amenazas probablemente norcoreano apuntó a desarrolladores de software en organizaciones de los sectores tecnológico, financiero, de criptomonedas y educativo. La operación, rastreada bajo el nombre UNK_DeadDrop, utiliza repositorios de GitHub, extensiones maliciosas de Visual Studio Code y malware multiplataforma para vaciar carteras de criptomonedas y extraer credenciales de navegadores.
Los señuelos
Los atacantes enviaron más de 250 correos electrónicos a personas en casi 100 organizaciones de distintos sectores, con especial énfasis en la industria de las criptomonedas. La distribución geográfica de los objetivos fue global, sobre todo en Estados Unidos. Los correos se enviaron desde dominios controlados por los atacantes y ofrecían puestos como Full-Stack Engineer o Agent Lead Developer, presentados como parte de un proceso de selección estructurado.
Para ganar credibilidad, los atacantes suplantaron organizaciones reales o plausibles: Ondo Finance, una plataforma de finanzas descentralizadas; Empower Pharmacy; NXLog, una herramienta de recopilación de registros; OnePlan, una plataforma de gestión de portafolios; Hypen Connect, una agencia de talento Web3 e IA; Valon, una empresa de servicios hipotecarios; y Nourish, una compañía de telemedicina. Una segunda variante de la campaña se dirigió a desarrolladores con solicitudes de revisión entre pares de proyectos supuestamente de código abierto, bajo los nombres Pulsynk y Trixauvex, con la promesa de una oferta de empleo en función de la calidad del trabajo presentado. Otra variante solicitó a los desarrolladores que probaran un vault ERC-4626 en Foundry, un kit de herramientas para el desarrollo de Ethereum y contratos inteligentes. La iteración observada más recientemente se centró en la construcción de sistemas basados en agentes de IA con funcionalidades de pago.
La cadena de infección
Los correos de phishing contienen enlaces a repositorios de GitHub maliciosos disfrazados de tareas técnicas o proyectos de blockchain. Las víctimas son instruidas para clonar el repositorio y abrirlo en un editor como VS Code o Cursor. Una vez abierta la carpeta, un archivo oculto `.vscode/tasks.json` ejecuta automáticamente un script. Ese script instala una extensión maliciosa de VS Code llamada `google-update-support.vsix`, que se presenta como un servicio legítimo de Google. Simultáneamente, el script decodifica y lanza cargas útiles de malware específicas para Linux, macOS o Windows.
En macOS y Linux, el atacante despliega binarios en Go basados en el marco de trabajo de código abierto Overlord, que funcionan como troyanos de acceso remoto completos. En Windows, el malware se ejecuta íntegramente como JavaScript dentro del proceso Electron del editor, sin escribir binarios en disco. Este diseño reduce considerablemente las posibilidades de detección por parte de las herramientas convencionales de seguridad en endpoints. La eficacia particular de esta cadena de infección radica en que todas las cargas útiles están embebidas directamente en el repositorio, eliminando la necesidad de servidores de descarga externos que podrían ser desconectados.
El robo
El robo de criptomonedas se desarrolla en dos fases. En la primera, el malware recopila sistemáticamente todos los datos de carteras: apunta a 35 extensiones de cartera basadas en navegador, entre ellas MetaMask, Phantom, Rabby y Keplr, así como a 18 aplicaciones de cartera independientes como Exodus, Electrum y Ledger Live. También se extraen perfiles de navegador, almacenamiento local y entradas de IndexedDB. Todos los datos recopilados se empaquetan en un archivo ZIP y se suben a un servidor de mando y control.
En la segunda fase se produce el robo de credenciales y claves de almacenamiento seguro. En macOS, el malware muestra un diálogo de sistema falso que solicita al usuario su contraseña. Tras su introducción, se modifican las ACL del Keychain, el proceso escala a privilegios de root, y se extraen las claves de almacenamiento seguro de los navegadores junto con la totalidad de los datos del Keychain. En Linux, el malware utiliza la herramienta de diálogos Zenity para solicitar la contraseña, tras lo cual consulta el GNOME Keyring y lanza procesos Python para extraer los esquemas cifrados del keyring. La escalada de privilegios se realiza mediante `runuser`. En Windows, un script Python ejecuta un bypass de DPAPI y App-Bound Encryption para extraer contraseñas de Chrome, Edge y Brave, además de cookies y otras credenciales.
Los datos exfiltrados se transmiten a un servidor de mando y control en la dirección IP 23.137.105.75. En macOS y Linux, la transmisión se realiza a través de una conexión WebSocket persistente; en Windows, mediante una solicitud HTTP POST. Además de los datos de carteras, el malware transmite todas las contraseñas del navegador, cookies, claves de almacenamiento seguro y datos del Keychain, proporcionando al atacante acceso integral a la infraestructura digital de la víctima.
Persistencia y evasión
Tras completar la exfiltración de datos, el malware elimina sus archivos de carga útil y directorios para borrar sus rastros. Sin embargo, en macOS y Linux la extensión VSIX maliciosa permanece persistente y se recarga cada vez que se inicia el editor, garantizando el control continuo. En Windows, la ejecución es de una sola vez y no existe mecanismo de persistencia.
Los analistas de Proofpoint señalan que este enfoque es especialmente efectivo porque explota el comportamiento rutinario de los desarrolladores: clonar repositorios de GitHub es una actividad diaria habitual, y la ejecución silenciosa sin actividad visible en el terminal dificulta notablemente la detección. La campaña presenta similitudes con operaciones atribuidas al grupo norcoreano conocido como Contagious Interview, pero Proofpoint la rastrea como un clúster independiente por la ausencia de superposiciones directas en su telemetría.
Contexto del actor de la amenaza
Los actores de amenazas norcoreanos tienen un historial documentado de ataques dirigidos a desarrolladores. Sus métodos incluyen el disfraz de pruebas de aptitud técnica o retos de programación, el uso de técnicas ClickFix y el abuso de funcionalidades de Visual Studio Code para la ejecución de malware. El contacto inicial se realiza habitualmente a través de LinkedIn, Slack o Telegram, con enfoques multiplataforma también en uso. Los objetivos constantes en todas las campañas son los tokens de API, las carteras de criptomonedas y las credenciales de autenticación. La campaña UNK_DeadDrop ilustra la madurez operativa de estos actores: combina ingeniería social en el nivel de reclutamiento con malware multiplataforma técnicamente sofisticado que, a nivel de infraestructura, abusa de herramientas de confianza cotidiana.
El Dr. Jakob Jung es redactor jefe de Security Storage y Channel Germany. Lleva más de 20 años trabajando en el periodismo especializado en TI. A lo largo de su carrera ha colaborado con Computer Reseller News, Heise Resale, Informationweek, Techtarget (almacenamiento y centros de datos) y ChannelBiz. Además, colabora como freelance con numerosas publicaciones del sector de las TI, entre las que se incluyen Computerwoche, Channelpartner, IT-Business, Storage-Insider y ZDnet. Sus temas principales son el canal, el almacenamiento, la seguridad, los centros de datos, los sistemas ERP y CRM.
Contacto – Contacto por correo electrónico: jakob.jung@security-storage-und-channel-germany.de