Hackers norcoreanos usaron npm para distribuir m\u00e1s de 300 paquetes maliciosos<\/strong> que robaron credenciales y claves de wallets.<\/p>\n<\/li>\n Los atacantes emplearon nombres parecidos a librer\u00edas populares<\/strong> y perfiles falsos de reclutadores en LinkedIn<\/strong> para infiltrar c\u00f3digo en cadenas de dependencias automatizadas.<\/p>\n<\/li>\n Socket reporta cerca de 50.000 descargas<\/strong> antes de que los paquetes fueran retirados.<\/p>\n<\/li>\n<\/ul>\n Los investigadores de la firma Socket<\/strong> identificaron una campa\u00f1a de hackers<\/strong> respaldados por el Estado norcoreano que aprovech\u00f3 el registro npm<\/strong> para distribuir malware dirigido a desarrolladores de la industria cripto<\/strong> y de la blockchain<\/strong><\/a>.<\/p>\n Seg\u00fan el informe<\/strong><\/a>, m\u00e1s de 300 paquetes maliciosos<\/strong> se subieron al repositorio bajo la denominaci\u00f3n \u00abContagious Interview<\/strong>\u00bb y adoptaron nombres parecidos a librer\u00edas conocidas para evitar sospechas.<\/p>\n Los paquetes se presentaron como m\u00f3dulos inofensivos, pero al instalarse ejecutaron scripts que robaron credenciales, extrajeron datos del navegador y recuperaron claves de wallets <\/strong>de criptomonedas.<\/p>\n Los hackers coreanos emplearon cargadores cifrados que descifraron las cargas maliciosas directamente en la memoria<\/strong>, lo que redujo las trazas en disco y complic\u00f3 las investigaciones forenses. La firma Socket calcul\u00f3 cerca de 50.000 descargas<\/strong> antes de que muchos paquetes fueran retirados; sin embargo, algunos permanecen accesibles.<\/p>\n Para atraer a las v\u00edctimas, los atacantes utilizaron perfiles falsos de reclutadores en LinkedIn<\/strong> y enviaron ofertas de trabajo que actuaron como se\u00f1uelos. Adem\u00e1s, emplearon los nombres con errores ortogr\u00e1ficos de librer\u00edas como express, dotenv y hardhat<\/strong>, lo que facilit\u00f3 que los paquetes entraran en cadenas<\/a> de dependencias automatizadas sin revisi\u00f3n manual.<\/strong><\/p>\n El incidente ha expuesto la vulnerabilidad de la cadena de suministro de software<\/strong>: al comprometer un repositorio central, los atacantes lograron propagar c\u00f3digo malicioso a numerosas aplicaciones dependientes y a entornos productivos sin atacar individualmente cada objetivo<\/strong>. Las t\u00e9cnicas y patrones observados por los investigadores coinciden con familias de malware que se hab\u00edan vinculado anteriormente a Corea del Norte, como BeaverTail e InvisibleFerret<\/strong>, y aportan evidencia que respalda tal atribuci\u00f3n.<\/p>\n
\n![\"Hackers\"](\"https:\/\/crypto-economy.com\/es\/\/wp-content\/uploads\/sites\/4\/2025\/10\/Hacker-image-1.png\")
<\/p>\n\u00bfC\u00f3mo Operaron los Hackers Norcoreanos?<\/h2>\n
![\"Hackers](\"https:\/\/crypto-economy.com\/es\/\/wp-content\/uploads\/sites\/4\/2025\/09\/Hacker-North-Korean.png\")
<\/p>\nLa Respuesta de GitHub<\/h3>\n