En Resumen
- Hackers norcoreanos robaron $50 millones de Radiant Capital en un sofisticado ataque a través de malware disfrazado como archivo .ZIP.
- El malware creó una puerta trasera en macOS mientras mostraba un PDF legítimo para evitar la detección.
- Los atacantes eludieron medidas de seguridad y comprometieron múltiples dispositivos de desarrolladores en el proceso.
Los hackers de la República Popular Democrática de Corea (RPDC)—comúnmente conocida como Corea del Norte—son responsables del reciente hackeo a Radiant Capital, según afirma la firma.
A mediados de octubre, el protocolo de finanzas descentralizadas (DeFi) Radiant Capital perdió aproximadamente $50 millones en lo que el equipo describió como "uno de los hackeos más sofisticados jamás registrados en DeFi."
Ahora, en una actualización más reciente, la firma de ciberseguridad contratada por Radiant Capital, Mandiant, "evalúa con alta confianza que este ataque es atribuible a un actor amenazante vinculado a la República Popular Democrática de Corea (RPDC)."
Relatando los eventos, el comunicado explica que cuando un desarrollador fue contactado por un "ex-contratista de confianza" a principios de septiembre, era en realidad un actor de la RPDC disfrazado. El impostor compartió un archivo .zip con el pretexto de pedir retroalimentación sobre un nuevo proyecto en el que estaban trabajando.
"Este archivo .ZIP, cuando se compartió para recibir comentarios entre otros desarrolladores, finalmente entregó el malware que facilitó la posterior intrusión", explican durate la reconstrucción de los eventos. El malware en cuestión fue reportado como sofisticado. Estableció una puerta trasera permanente en macOS mientras mostraba un PDF legítimo al usuario para evitar la detección.
La carga útil era un AppleScript malicioso que llevó al sistema a comunicarse con un nombre de dominio de apariencia inocente, según el equipo. Los hackers también pudieron aprovechar el malware para eludir las medidas de seguridad implementadas por el proveedor de infraestructura web3 Tenderly.
"Este engaño se llevó a cabo de manera tan perfecta que incluso con las mejores prácticas estándar de Radiant, como simular transacciones en Tenderly, verificar datos de carga útil y seguir los procedimientos operativos estándar de la industria en cada paso, los atacantes también comprometieron múltiples dispositivos de desarrolladores", explica el comunicado.
En el comunicado explicando cómo actuó Tenderly en los dispositivos hackeados, se detalla que "las interfaces frontend mostraban datos de transacciones benignos mientras se firmaban transacciones maliciosas en segundo plano. Las verificaciones y simulaciones tradicionales no mostraron discrepancias obvias, haciendo la amenaza virtualmente invisible durante las etapas normales de revisión."
Editado por Stacy Elliott.