Cómo un fundador de Web3 fue víctima del notorio malware norcoreano “BeaverTail”

2026-01-09 14:10:43

El fundador de Web3 Akshit Ostwal perdió $20K en el malware BeaverTail de Corea del Norte en una estafa cripto sofisticada dirigida a desarrolladores.

El espacio Web3 enfrentó recientemente un recordatorio duro esta semana. Akshit Ostwal, cofundador de Epoch Protocol, perdió más de $20,000 tras ayudar a un amigo con lo que parecía ser una entrevista técnica estándar.

Este incidente solo muestra la campaña en curso de hackers norcoreanos para dirigirse a las mismas personas que están construyendo el futuro de internet.

Cómo empezó la estafa cripto de alto riesgo

Los problemas comenzaron el 18 de diciembre del año pasado, con una simple solicitud de un amigo. Este amigo estaba solicitando un nuevo trabajo y pidió a Ostwal que revisara un repositorio de código.

El amigo creía que el código provenía de un reclutador legítimo de una firma prominente.

Ostwal quiso ser útil y ejecutó el código de terceros en su máquina local.

https://t.co/FCHfkGQdeA

— (AK) Akshit | Epoch Protocol 🦇🔊🛡️ (@OstwalAk) 8 de enero de 2026

Este acto de amabilidad abrió la puerta a la campaña de “Entrevista Contagiosa”, vinculada al notorio Grupo Lazarus, patrocinado por el estado de Corea del Norte.

En lugar de phishing masivo, estos atacantes ahora usan ingeniería social de alto contacto para engañar a los desarrolladores y hacer que ejecuten archivos manipulados.

Anatomía del ataque del malware BeaverTail

Ostwal señaló en una publicación en X que, una vez ejecutado el código, comenzó una cadena de infección silenciosa en su máquina.

Expertos en seguridad de Seal911 identificaron al principal culpable como el malware BeaverTail. Esta pieza de software basada en JavaScript se usa a menudo junto con una puerta trasera secundaria llamada InvisibleFerret.

Cuando se usan juntos, se convierten en un dúo casi imparable para robar criptomonedas en cualquier entorno de desarrollo.

Según Ostwal, el malware funcionó en varias etapas:

La primera fue la ejecución automática, donde en cuanto el servidor local se inició, un archivo llamado analytics.controller.js empezó a ejecutar una función oculta.

Luego, el script envió inmediatamente las variables del entorno del sistema de Ostwal al atacante. Esto incluía elementos sensibles como URLs de bases de datos y claves privadas.

Finalmente, el servidor del atacante devolvió JavaScript malicioso, que se ejecutó con permisos de root en el dispositivo infectado.

Antes de mucho, $20,000 se habían ido por la alcantarilla.

Por qué la estafa cripto permaneció oculta

Es notable que los hackers no movieron el dinero de inmediato. En cambio, probablemente mantuvieron una puerta trasera en el dispositivo de Ostwal durante casi un mes. Durante ese tiempo, escribieron scripts personalizados para retirar su cartera DeFi.

También esperaron el momento perfecto para “barrer” todos sus activos en una sola transacción.

Los atacantes finalmente dirigieron sus esfuerzos tanto a billeteras compatibles con EVM como a cuentas de Solana.

Usaron herramientas como Near-Intents y el intercambio Rubic para mover los fondos robados. Esta táctica de “cadenas saltarinas” dificulta que los investigadores rastreen el dinero a través de diferentes blockchains.

Lectura relacionada: $3.4 mil millones robados: Corea del Norte impulsa récord de $2 mil millones en robos cripto este año

La escala récord del robo por parte de Corea del Norte

La experiencia de Ostwal forma parte de un aumento masivo en la ciberdelincuencia. Datos del Informe de Crimen Cripto 2026 indican que los hackers norcoreanos robaron $2.02 mil millones solo el año pasado.

Esta cifra representa la mayor parte de los $3.4 mil millones perdidos en robos de cripto a nivel mundial el año pasado.

La campaña de “Entrevista Contagiosa” ha demostrado ser notablemente efectiva. Los hackers crean cientos de paquetes maliciosos en NPM y usan IA para generar respuestas de entrevista que suenan humanas.

En otras palabras, han convertido esencialmente el mercado laboral en un campo minado para los ingenieros de software.

DEFI-6,93%

SOL-1,06%

RBC-4,58%

Ver originales

Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.