Un ciberataque norcoreano que el lunes pasado secuestró brevemente uno de los proyectos de código abierto más utilizados en la web tardó semanas en ejecutarse como parte de una campaña prolongada dirigida a los principales desarrolladores del código.
El secuestro del proyecto Axios el 31 de marzo tuvo éxito en parte porque se basó en que hackers con amplios recursos habían cultivado una relación de confianza con su objetivo durante un largo período de tiempo para aumentar las probabilidades de lograr una intrusión exitosa. Este tipo de ataque pone de manifiesto los desafíos de seguridad a los que se enfrentan los desarrolladores de proyectos de código abierto populares, en un momento en que tanto hackers gubernamentales como ciberdelincuentes atacan proyectos de uso generalizado por su capacidad de acceso, en algunos casos, a millones de dispositivos en todo el mundo.
Jason Saayman, responsable del mantenimiento del popular proyecto Axios, que los desarrolladores utilizan para conectar sus aplicaciones a internet, proporcionó un análisis posterior al ataque con una cronología del mismo. Explicó que los hackers comenzaron su campaña de ataque unas dos semanas antes de finalmente obtener el control de su ordenador para distribuir código malicioso.
Según Saayman, los presuntos hackers norcoreanos, haciéndose pasar por una empresa real, creando un espacio de trabajo de Slack de aspecto realista y utilizando perfiles falsos de sus empleados para generar credibilidad, lo invitaron a una reunión virtual que lo obligó a descargar malware disfrazado de actualización necesaria para acceder a la llamada. Saayman explicó que el engaño imitaba una técnica utilizada por hackers norcoreanos para persuadir a las posibles víctimas de que les otorguen acceso remoto a sus sistemas, a menudo para robarles criptomonedas.
Este ataque, según Saayman, imitaba ataques anteriores atribuidos a Corea del Norte por investigadores de seguridad de Google.
Tras comprometer el sistema y obtener acceso remoto a la computadora de Saayman, los hackers publicaron las actualizaciones maliciosas del proyecto Axios.
Los dos paquetes maliciosos de Axios, retirados unas tres horas después de su publicación inicial el 31 de marzo, podrían haber infectado miles de sistemas durante ese período, aunque aún no se conoce el alcance total del ataque masivo. Cualquier ordenador que haya instalado una versión maliciosa del software durante este periodo podría haber permitido a los hackers robar sus claves privadas, credenciales y contraseñas, lo que podría derivar en nuevas brechas de seguridad.
Saayman no respondió de inmediato a un correo electrónico con preguntas sobre el incidente.
Los hackers norcoreanos siguen siendo una de las amenazas cibernéticas más activas en internet, responsables del robo de al menos 2.000 millones de dólares en criptomonedas solo en 2025.
El régimen de Kim Jong Un permanece bajo sanciones internacionales y excluido de la red financiera global por violar la prohibición de su programa de desarrollo de armas nucleares, que el país financia en gran medida mediante ciberataques y el robo de criptomonedas.
Se cree que Corea del Norte cuenta con miles de hackers altamente organizados, la mayoría de los cuales trabajan en contra de su voluntad bajo el represivo régimen de Kim. Estos hackers dedican semanas o meses a llevar a cabo complejos ataques de ingeniería social con el objetivo de ganarse la confianza y, finalmente, obtener acceso para robar criptomonedas y datos con el fin de extorsionar a sus víctimas.
