-
El malware apunta a más de 250 extensiones de wallets digitales instaladas en navegadores.
-
Los atacantes falsifican aplicaciones de hardware wallets como Ledger Live y Trezor Suite.
El Centro de Operaciones de Seguridad (SOC) del exchange Bybit publicó este 21 de abril un reporte en el que advirtió sobre una campaña activa de malware para macOS que suplantó a Claude Code, la herramienta de desarrollo con inteligencia artificial (IA) de Anthropic, para robar credenciales y criptoactivos.
El equipo de SOC de Bybit explicó que el malware apuntó a más de 250 extensiones de wallets de criptomonedas instaladas en navegadores y a varias aplicaciones de escritorio.
La investigación documentó también intentos de reemplazar aplicaciones legítimas como Ledger Live y Trezor Suite (las interfaces de software que usan las wallets físicas de esas marcas) con versiones falsificadas y alojadas en infraestructura controlada por los atacantes.
Bybit detectó la infraestructura maliciosa, desplegó medidas de detección internas para proteger a sus propios usuarios y compartió los indicadores del ataque con la comunidad, lo que no implica haber tomado control o neutralizado la compaña, que podría continuar activa.
¿Cómo operaban los hackers?
Según el equipo del exchange, la campaña fue detectada inicialmente el 12 de marzo y mitigada el mismo día, con divulgación técnica ampliada en el informe de ayer.
Los atacantes aprovecharon la adopción creciente de Claude Code entre desarrolladores, que permite delegar tareas de código directamente desde la terminal, como gancho para la campaña. Conforme al análisis del SOC de Bybit, el caso refleja una tendencia más amplia de ataques dirigidos a desarrolladores mediante la suplantación de herramientas de IA populares.
De acuerdo con el reporte, los atacantes usaron una técnica llamada envenenamiento de SEO (manipulación de los resultados de búsqueda) para posicionar un dominio malicioso en los primeros lugares de Google cuando los usuarios buscaban Claude Code.
Quienes hacían clic eran redirigidos a una página falsa diseñada para imitar la documentación legítima de la herramienta, desde donde se descargaba un instalador malicioso.
El malware operó en dos etapas. La primera desplegó un programa de robo de información basado en osascript, el lenguaje de automatización de macOS.
Asi, los hackers podían extraer credenciales de navegadores, entradas del llavero de macOS (el sistema donde el sistema operativo guarda contraseñas y claves de acceso), sesiones activas de Telegram, perfiles de redes privadas virtuales (VPN) y datos de aplicaciones financieras.
La segunda etapa instaló una puerta trasera escrita en el lenguaje C++ con capacidades avanzadas de evasión, incluyendo detección de entornos de análisis y ejecución remota de comandos. De acuerdo con la investigación de Bybit, esa puerta trasera estableció persistencia mediante agentes del sistema y permitió a los atacantes mantener control continuo sobre los dispositivos comprometidos.
La combinación de credenciales robadas, datos del llavero y aplicaciones suplantadas podía dar al atacante acceso directo a los fondos de las víctimas.
Bybit no le atribuyó la campaña al un grupo e equipo de hackers en específico, pero sí mencionó similitudes con las familias de malware AMOS y Banshee, dos programas maliciosos. Adicionalmente, el documento señala que el equipo SOC de Bybit consiguió una reducción del 70% en los tiempos de generación de reportes de amenazas gracias al uso de IA.
Una técnica que otros grupos ya usan contra el ecosistema cripto
El patrón descrito por Bybit se alinea con el de «Mach-O Man», el kit de malware para macOS atribuido al Grupo Lazarus de Corea del Norte, notificado por CriptoNoticias este 22 de abril.
Ambas campañas apuntan a desarrolladores y ejecutivos del ecosistema de criptomonedas sobre macOS, un sistema operativo históricamente percibido como más seguro, y ambas roban credenciales del llavero, sesiones de navegador y datos de wallets.
La diferencia es el vector inicial: «Mach-O Man» usa invitaciones falsas a reuniones por Telegram, mientras que la campaña documentada por Bybit usó manipulación de resultados de búsqueda.
El común denominador es el desplazamiento del ataque desde la infraestructura técnica hacia la ingeniería social dirigida a las personas que operan esa infraestructura.
