Python, creado por Guido van Rossum, es uno de los lenguajes de programación más utilizados e importantes en el entorno de la programación, pero también se está convirtiendo en una herramienta letal en manos equivocadas.  

Lo que para muchos desarrolladores es un lenguaje versátil y potente, para ciertos grupos de piratas informáticos representa una puerta perfecta para infiltrar sistemas, robar información y mantener el control de forma invisible. 

Y es justo lo que está ocurriendo con un nuevo ataque vinculado a Corea del Norte. Un grupo de hackers identificado como Famous Chollima ha comenzado a utilizar un malware escrito en Python para infiltrarse en el ecosistema de las criptomonedas. 

Cabe señalar que los ciberataques no lo hacen con ataques masivos, sino con operaciones quirúrgicas que apuntan directamente a perfiles estratégicos, como ingenieros, diseñadores, así como otros trabajadores del sector cripto. 

El gancho es simple, publican ofertas de empleo falsas que simulan ser de grandes compañías como Coinbase, Robinhood o Uniswap. Lo más preocupante no es solo el engaño, sino lo que ocurre después, acceso completo a tu equipo, a tus credenciales y a todo lo que tienes conectado.

Python se convierte en la herramienta preferida de los ciberdelincuentes de Corea del Norte

En una plataforma de empleo publican vacantes que resultan creíbles, especialmente para quienes buscan incorporarse al competitivo mundo de las criptomonedas. Una vez que el candidato muestra interés y supera una breve entrevista, se le propone una supuesta prueba técnica. 

Para completarla, se le pide descargar un archivo que contiene, en teoría, un controlador gráfico necesario para visualizar correctamente el entorno de evaluación.

Sin embargo, en realidad, ese archivo es el caballo de Troya, puesto que lo que se instala en segundo plano es PylangGhost, un malware basado en Python que se activa automáticamente y da al atacante acceso completo a tu equipo. 

No hace falta abrir archivos, ni pinchar enlaces adicionales. Una vez dentro, los ciberdelincuentes pueden tomar el control del sistema, robar contraseñas, espiar la actividad, descargar documentos o activar un shell remoto para manipularlo como si estuvieran frente a tu pantalla.

El uso de Python en esta operación no es una casualidad. Los desarrolladores del malware ya habían utilizado una versión anterior escrita en Golang, pero ahora han optado por reescribirlo para adaptarlo mejor a los entornos Windows, que siguen siendo mayoría entre usuarios y profesionales.

La elección tiene lógica, ya que este lenguaje es extremadamente flexible, fácil de empaquetar, además que permite combinar múltiples módulos con scripts de automatización y ejecutables renombrados. 

En este caso, el archivo infectado incluye un intérprete Python disfrazado de archivo legítimo (nvidia.py), lo que ayuda a evitar sospechas. Todo está comprimido en un archivo ZIP que pasa filtros de seguridad básicos sin levantar alarmas.

El resultado es un malware con alta capacidad de persistencia, capaz de adaptarse en el sistema sin ser detectado. A pesar de que afecta a usuarios de Windows, la versión anterior en Go sigue activa para dispositivos Mac. Por ahora, Linux queda fuera de esta campaña de ciberataques.

¿Cómo se cuelan sin levantar sospechas?

Cabe mencionar que el malware se distribuye a través de un archivo comprimido que contiene varios módulos con funciones especializadas. Uno asegura que se mantenga activo tras reinicios, otro identifica las características del sistema, y varios más permiten la transferencia de archivos, el control de comandos remotos y la extracción de información confidencial.

Una de sus funciones más sensibles es el robo de datos de navegadores y extensiones. Más de 80 complementos son vulnerables, incluyendo nombres conocidos como MetaMask, Phantom, TronLink o 1Password. Las credenciales, cookies de sesión, claves de acceso o carteras digitales quedan expuestas en segundos.

Todos estos datos se transmiten usando paquetes HTTP cifrados con RC4. Aunque este tipo de cifrado está considerado obsoleto, sigue siendo suficiente para eludir algunas capas de análisis automatizado. Es una técnica antigua, pero aún eficaz para pasar desapercibida ante soluciones de seguridad que no estén bien actualizadas.

Python nació como un lenguaje de programación para aprender, crear y compartir conocimiento, pero su potencial también lo convierte en una herramienta peligrosa cuando cae en manos equivocadas. 

Esta situación convierte a PylangGhost en más que en un simple malware, se trata de una campaña diseñada no solo para causar daño puntual, sino para preparar el terreno de cara a futuras intrusiones en empresas del sector tecnológico.

Conoce cómo trabajamos en ComputerHoy.

Etiquetas: seguridad, hackers