Investigadores de seguridad han documentado una campaña sofisticada y persistente atribuida al actor vinculado a la República Popular Democrática de Corea, rastreado por Google Threat Intelligence Group como UNC5342 (también identificado por otros proveedores como CL-STA-0240, DeceptiveDevelopment, Famous Chollima, entre otros). La operación —denominada Contagious Interview— combina ingeniería social en LinkedIn, técnicas de ocultación en blockchain conocidas como EtherHiding y una cadena de infección multinivel diseñada para robar criptoactivos y exfiltrar datos sensibles de desarrolladores y operadores de infraestructuras Web3.
Qué es EtherHiding y por qué es peligroso
EtherHiding consiste en ocultar código o referencias maliciosas dentro de contratos inteligentes desplegados en cadenas públicas como BNB Smart Chain (BSC) o Ethereum. Al aprovechar la inmutabilidad y la disponibilidad pública de la blockchain, los atacantes logran que su infraestructura de distribución sea resistente a la eliminación y difícil de rastrear, porque las transacciones son seudónimas y los contratos pueden actualizar la carga útil por una pequeña tarifa de gas.
UNC5342 usó EtherHiding desde febrero de 2025 para convertir la blockchain en un repositorio descentralizado que actúa como solucionador y orquestador de la descarga de malwares como BeaverTail, JADESNOW e InvisibleFerret.

Cadena de infección: ingeniería social y multi-etapas
La campaña Contagious Interview arranca con un vector de ingeniería social bien estudiado: los atacantes contactan a víctimas potenciales en LinkedIn haciéndose pasar por reclutadores o responsables de contratación. Tras ganarse la confianza, trasladan la comunicación a Telegram o Discord y solicitan ejecutar una “evaluación técnica” que en realidad es un mecanismo para correr código malicioso.
La cadena típica es:
-
Contacto en LinkedIn → conversación y traslado a Telegram/Discord.
-
Evaluación técnica simulada → indicación para ejecutar un paquete o script.
-
Descargador inicial (npm) → descarga de BeaverTail o JADESNOW.
-
Interacción con contrato inteligente malicioso (BSC/Ethereum) → obtención de la siguiente etapa.
-
Carga final: InvisibleFerret (JavaScript/Python) → persistencia, control remoto y robo de carteras (MetaMask, Phantom) y credenciales (1Password).
Familias malware y objetivos
La campaña apunta a Windows, macOS y Linux, y emplea al menos tres familias clave:
-
Descargador inicial (paquetes npm): mecanismo de entrega primario que ejecuta el flujo de EtherHiding.
-
BeaverTail: ladrón en JavaScript que exfiltra billeteras, cookies, extensiones y credenciales almacenadas.
-
JADESNOW: descargador que consulta el historial de transacciones de una dirección de Ethereum para recuperar la carga útil cifrada.
-
InvisibleFerret: backdoor en JavaScript —versión del backdoor Python— diseñado para control remoto y robo a largo plazo de carteras y secretos.
Además, la campaña instala intérpretes portátiles de Python cuando es necesario, para ejecutar módulos adicionales que amplían la capacidad de exfiltración y persistencia.
Por qué la adopción por un actor patrocinado por el Estado es relevante
Esta es la primera vez documentada en que un actor con vínculos estatales adopta EtherHiding a gran escala. El uso por parte de UNC5342 demuestra una doble motivación: ciberespionaje y beneficio financiero. Al reutilizar mecanismos de la economía Web3, el grupo no solo dificulta la respuesta de las fuerzas del orden, sino que también puede reciclar y actualizar cargas maliciosas por una tarifa de gas relativamente baja (promedio reportado ~$1.37 por actualización), amplificando su resiliencia operativa.
Riesgos para desarrolladores y organizaciones Web3
-
Robo directo de fondos: las carteras MetaMask y Phantom son objetivos primarios.
-
Compromiso de claves y contraseñas: exfiltración de administradores de contraseñas (1Password) y credenciales CI/CD.
-
Persistencia y espía a largo plazo: InvisibleFerret permite permanecer en la infraestructura y monitorizar movimientos de activos.
-
Dificultad de remediación: contratos en blockchain no pueden eliminarse; solo se pueden mitigar los endpoints que consumen su contenido.
Recomendaciones de defensa y mitigación
-
Formación y concienciación: capacitar a empleados y desarrolladores para identificar señuelos de reclutamiento y prácticas de ingeniería social (LinkedIn → Telegram/Discord).
-
Política de ejecución restringida: evitar ejecutar código recibido por canales externos; usar entornos aislados y sandboxes.
-
Revisión de paquetes npm: firmar y verificar dependencias; usar repositorios privados y scaneo de software malicioso en pipelines CI/CD.
-
Protección de claves y carteras: usar hardware wallets y políticas de mínima exposición de claves en entornos de desarrollo.
-
Monitoreo de actividad blockchain: vigilar contratos y direcciones sospechosas; bloquear URLs y dominios asociados a cargas maliciosas.
-
Respuesta ante incidentes: disociar credenciales comprometidas, cambiar llaves, auditar entornos y notificar a proveedores de servicios afectados.
En fin…
La campaña Contagious Interview y la adopción de EtherHiding por parte de UNC5342 representan una evolución peligrosa en la economía del delito cibernético: actores sofisticados fusionan ingeniería social, distribución basada en blockchain y múltiples familias de malware para robar criptomonedas y secretos empresariales. La defensa eficaz exige una respuesta combinada: formación humana, controles técnicos en la cadena de suministro de software, protección de claves y monitorización continua tanto en la infraestructura tradicional como en los ecosistemas Web3.
Si deseas, puedo convertir este análisis en un artículo optimizado con H2/H3 y una lista de IOC (hashes, direcciones de contrato y dominios) para publicar en tu blog técnico y mejorar el posicionamiento orgánico en búsquedas relacionadas con EtherHiding, UNC5342 y malware cripto 2025.
Fuente: The Hacker News
