Una oferta de trabajo en LinkedIn prometía teletrabajo y videojuegos: era una trampa triple diseñada por hackers norcoreanos

Un desarrollador de blockchain español estuvo a punto de ser víctima de una de las operaciones de ciberespionaje más sofisticadas que circulan ahora mismo. El cebo que utilizaron era algo tan inocente como una oferta de empleo enviada a través de LinkedIn. Lo que parecía una oportunidad profesional era, en realidad, una trampa diseñada por uno de los grupos de hackers norcoreanos más peligrosos y mejor financiados del mundo.

El caso fue analizado por Claudio Chifa, fundador de la empresa de ciberseguridad DLTCode, y coincide con otro ataque documentado pocas semanas antes contra Chris Papathanasiou, director ejecutivo de la firma de seguridad AllSecure. Dos ataques casi idénticos, dos países diferentes, un mismo autor: el grupo Lazarus, la unidad de operaciones digitales del gobierno de Corea del Norte.

La oferta de trabajo tenía gato encerrado

En el caso español, el contacto llegó en forma de algo tan habitual en el entorno de LinkedIn como es una oferta de trabajo como asesor estratégico en un proyecto de videojuegos descentralizado con trabajo 100% remoto y flexibilidad horaria.

Tras una breve conversación, el supuesto reclutador envió un enlace para avanzar en el proceso de contratación convocando al candidato a una videollamada de 45 minutos. Tras esa conversación inicial, entró en escena el cebo que habría completado la trampa: descargar un repositorio y abrirlo en Visual Studio Code para revisarlo.

En el caso de Papathanasiou, el modus operandi fue prácticamente idéntico: un perfil de LinkedIn le ofreció un empleo en una empresa que describía como "un equipo en rápido crecimiento que está desarrollando el primer sistema operativo de IA descentralizado", también con enlace de Calendly (una herramienta para convocar reuniones) para agendar la llamada.

Durante la videollamada, el supuesto responsable de selección usó brevemente la cámara, mostrando un rostro que coincidía con el perfil de LinkedIn que estaba usando como tapadera, aunque la voz no encajaba con vídeos públicos de esa persona que Papathanasiou encontró posteriormente.

"Empecé a grabar a mitad de la conversación una vez que empecé a sospechar", declaró Papathanasiou, quien sospecha que los atacantes emplearon tecnología de deepfake para suplantar la identidad de su interlocutor.

Claudio Chifa, en cambio, comenzó a sospechar ante la suma de pequeños detalles que no terminaron de encajarle con el proyecto que le estaban ofreciendo: "El acento del interlocutor no tenía que ver con Portugal, las instrucciones del repositorio de GitHub estaban claramente generadas con alguna IA, lo cual también me hizo dudar de la calidad del proyecto. Pero, sobre todo, fue la insistencia por lanzar el código en mi máquina para un puesto de asesor", subrayaba el experto en ciberseguridad.

Tres trampas en un solo disparo

Tanto el repositorio analizado por Chifa y DLTCode como el investigado por AllSecure escondían tres mecanismos de infección independientes, diseñados para activarse simultáneamente en el momento de abrir la carpeta, de modo que, si uno fallaba, los otros dos actuaban como salvaguarda completando el trabajo.

El primero aprovechaba una función de Visual Studio Code que permite configurar tareas automáticas al abrir un proyecto. El comando malicioso se ejecutaba en una ventana oculta, sin dejar ningún rastro visible para el usuario, y podía adaptarse al sistema operativo de la víctima (Mac, Linux o Windows).

El segundo mecanismo actuaba durante el proceso de instalación habitual del proyecto mediante npm (el gestor de paquetes o herramienta de instalación de componentes que usan los programadores de JavaScript). En ese momento, el servidor del atacante recibía automáticamente todas las credenciales almacenadas en el sistema, incluyendo claves de servicios como AWS, Stripe u OpenAI y se hacía con el control total del equipo.

El tercer frente de ataque se encadenaba a los dos anteriores, de forma que bastaba con abrir la carpeta para que los tres se dispararan a la vez y tomaran sus respectivas posiciones.

"Lo más inteligente de este ataque es que no depende de que la víctima haga nada extraordinario. No te piden ejecutar un .exe, no te piden desactivar el antivirus, no te piden hacer nada que active tus alarmas. Te piden que abras una carpeta en tu editor de código. Algo que un desarrollador hace cincuenta veces al día", destaca Chifa.

Diseñado para no dejar rastro

El historial del repositorio analizado por DLTCode revela que la operación lleva activa desde septiembre de 2025, con once servidores de control desde los que los atacantes gestionan el malware a distancia rotados a lo largo de ese periodo.

Cuando AllSecure intentó analizar su ataque desde servidores de AWS, los operadores de Lazarus detectaron que la IP de origen pertenecía a un centro de datos y cortaron la conexión de inmediato. Eso no da una idea del nivel de vigilancia activa que este grupo tiene sobre su propia infraestructura.

El objetivo final de ambos ataques era el mismo: robar monederos de criptomonedas, contraseñas del navegador, claves SSH (códigos de acceso remoto a servidores) y cualquier credencial almacenada en el sistema que pueda serles útiles en el futuro. El FBI estima que el grupo Lazarus ha acumulado más de 1.500 millones de dólares robados en criptomonedas mediante campañas de este tipo.

Cómo defenderse de este tipo de ataques

Lo que salvó a Chifa de caer en la trampa de Lazarus fue detenerse a analizar el código antes de ejecutarlo. Algo en la reunión no le cuadró y decidió investigar primero. Papathanasiou hizo lo mismo y, ante las sospechas, creó un entorno virtual aislado y analizó el repositorio desde ahí en lugar de abrirlo directamente en su ordenador.

Para los programadores e ingenieros de software, que se han convertido en el principal objetivo de estos ciberdelincuentes, los expertos recomiendan desactivar la ejecución automática de tareas en Visual Studio Code, inspeccionar siempre los archivos de configuración y de instalación de cualquier proyecto recibido externamente, y nunca ejecutar código de origen desconocido fuera de un entorno aislado.

"La precaución más importante es desconfiar de cualquier proceso de selección que te pida ejecutar código durante las primeras tomas de contacto. Ninguna empresa legítima necesita que abras un repositorio en local en la primera llamada. Si alguien te contacta por LinkedIn con un proyecto extraordinario y a los pocos días ya te está pidiendo que descargues código, ese es el momento de parar", advierte el fundador de DLTCode.

En caso de sospechar un intento de ataque en España, tanto el Instituto Nacional de Ciberseguridad (INCIBE) como el Grupo de Delitos Telemáticos de la Guardia Civil cuentan con canales para recibir estos reportes.

En Xataka | Ahora se entiende por qué se habla tanto de ciberataques: el ransomware se ha disparado en España y los datos lo confirman

Imagen | Unsplash (Nguyen Dang Hoang Nhu, LinkedIn Sales Solutions)