Código malicioso oculto en entrevista de trabajo: desarrolladores de Web3 atacados mediante estafa de despliegue en GitHub

Los investigadores de seguridad de SlowMist han descubierto un esquema sofisticado en el que estafadores que se hacen pasar por un equipo de Web3 con sede en Ucrania utilizan entrevistas de trabajo falsas como cobertura para distribuir repositorios de código comprometidos. En un incidente reciente, se pidió a un desarrollador que ejecutara localmente código de un repositorio de GitHub durante el proceso de entrevista, una solicitud que podría haber sido catastrófica.

El Mecanismo del Ataque: Qué Sucede Detrás de Escena

Al ejecutarse, el repositorio aparentemente legítimo despliega un ataque en múltiples etapas. La carga útil de la puerta trasera instala silenciosamente dependencias maliciosas, transformando el entorno de desarrollo de la víctima en una puerta de entrada para el robo de datos. El malware apunta específicamente a:

• Datos de almacenamiento del navegador: extensiones de Chrome y cachés del navegador que contienen archivos de configuración sensibles
• Credenciales de billetera: claves privadas, frases semilla y patrones de creación mnemónicos almacenados localmente
• Tokens de autenticación: datos de sesión y credenciales API que podrían dar acceso a los atacantes a las cuentas de los usuarios

Una vez recopilada, toda la información robada se exfiltra al servidor de comando y control del atacante, otorgando a los malos actores control total sobre los activos digitales y cuentas de la víctima.

Por qué Funciona Este Ataque

La entrevista de reclutamiento crea una falsa sensación de legitimidad. Los desarrolladores se sienten motivados a demostrar sus capacidades y probar su valía ante un posible empleador. Al solicitar la ejecución de código como parte de una “evaluación técnica”, los atacantes explotan esta dinámica psicológica. Los objetivos suelen ser desarrolladores experimentados, exactamente las personas que gestionan frases mnemónicas y poseen importantes holdings de criptomonedas.

Medidas Críticas de Defensa

Nunca ejecutes código de fuentes no verificadas, independientemente del contexto o la presión social. Antes de ejecutar cualquier repositorio:

• Verifica de forma independiente el sitio web oficial de la organización y su perfil de LinkedIn
• Solicita entrevistas únicamente a través de canales de reclutamiento establecidos
• Audita el código localmente sin ejecutarlo primero
• Usa máquinas virtuales aisladas para probar código desconocido
• Mantén una separación estricta entre tu entorno de desarrollo y las billeteras que almacenan claves sensibles

Este incidente ejemplifica cómo la ingeniería social combinada con la explotación técnica sigue siendo uno de los vectores de ataque más efectivos en Web3. Mantenerse cauteloso e implementar estos pasos de verificación puede prevenir pérdidas devastadoras.