Microsoft alerta sobre una campaña masiva de Corea del Norte que utiliza supuestas “pruebas técnicas” de programación para ejecutar malware directamente en la memoria del sistema. Investigaciones revelan que esta célula criminal ya ha ganado más de 1.6 millones de dólares.
La búsqueda de empleo en el sector tecnológico se ha convertido en un campo de minas. Hoy 26 de febrero de 2026, los detalles de una sofisticada campaña de ciberespionaje que está utilizando repositorios de código falsos (disfrazados de proyectos de Next.js) para hackear las computadoras de desarrolladores desprevenidos.
El Equipo de Investigación de Seguridad de Microsoft Defender ha advertido que estos ataques están diseñados para integrarse perfectamente en el flujo de trabajo rutinario de cualquier programador, maximizando así las probabilidades de que la víctima ejecute el código malicioso sin sospechar.
La Trampa: Tres Caminos hacia la Infección
El modus operandi es tan simple como letal. Los reclutadores falsos contactan a los desarrolladores y les piden que descarguen un repositorio desde plataformas confiables como Bitbucket o GitHub (con nombres como “Cryptan-Platform-MVP1”) como parte de su “evaluación técnica” para el trabajo.
Microsoft ha identificado tres vías distintas mediante las cuales este código trampa ejecuta JavaScript malicioso directamente en la memoria (Node.js), evadiendo la detección de los antivirus tradicionales en el disco duro:
- Ejecución automática en VS Code: Si el desarrollador abre el proyecto en Visual Studio Code, una configuración oculta (usando el comando runOn: “folderOpen”) descarga y ejecuta instantáneamente el malware desde un dominio de Vercel. Literalmente, con solo abrir la carpeta, ya estás infectado.
- Infección en tiempo de compilación: Al iniciar el servidor de desarrollo local con el comando habitual npm run dev, se activa un código malicioso escondido dentro de librerías manipuladas que fingen ser jquery.min.js.
- Ejecución al inicio del servidor: La lógica del malware se oculta en un archivo de ruta del backend, robando las variables de entorno tan pronto como se lanza la aplicación.
Evolución Táctica: Del Blockchain a GitHub Gists
A medida que las empresas de seguridad bloquean sus dominios, los atacantes evolucionan. Investigadores de seguridad han notado que los hackers ahora están usando “GitHub Gists” y acortadores de URL en lugar de los dominios de Vercel.
Aún más sorprendente, se descubrió que algunos proyectos trampa están consultando la blockchain de Polygon para recuperar la carga útil (payload) de JavaScript que está escondida ¡dentro de un contrato inteligente de NFT! El objetivo final de este malware es robar contraseñas, código fuente corporativo y vaciar las billeteras de criptomonedas de los desarrolladores.
El Sindicato de Corea del Norte y sus “Trabajadores de TI”
Aunque Microsoft no atribuyó directamente el ataque, las tácticas coinciden exactamente con la infame campaña “Contagious Interview” (Entrevista Contagiosa) vinculada a piratas informáticos de Corea del Norte.
El nivel de organización de esta red es corporativo. Un reporte simultáneo de GitLab, que recientemente bloqueó 131 cuentas asociadas a esta red, reveló el descubrimiento de un proyecto privado que servía como el “libro de contabilidad” de esta célula norcoreana. Los documentos financieros encontrados demostraron que este grupo generó más de $1.64 millones de dólares entre principios de 2022 y finales de 2025 infiltrando a trabajadores falsos en empresas occidentales.
Recomendación
Si un reclutador desconocido te pide que descargues y ejecutes un entorno de desarrollo para una prueba técnica, inspecciona meticulosamente los archivos tasks.json de VS Code y el package.json antes de escribir “npm install” o abrir el proyecto en tu editor.
