-
El código malicioso estaba oculto en una dependencia anidada de un proyecto aparentemente limpio.
-
La víctima reconoció que dedica su trabajo a detectar este tipo de estafas y aun así fue engañado.
«Me destrozaron por completo con el hackeo más sofisticado que he encontrado en mi vida. Soy desarrollador. Sé cómo lucen las estafas. Esta no parecía una». Así señaló el desarrollador conocido en X como turshija un hilo publicado el 22 de abril en el que relató en primera persona haber caído víctima de un ataque de ingeniería social que le robó 634 contraseñas guardadas en Chrome, el llavero de macOS y datos de su wallet MetaMask.
Según el testimonio, el ataque comenzó con un reclutador que lo contactó por una supuesta oferta de trabajo como desarrollador frontend.
La empresa, aclara turshija, tenía un sitio web real, una página de equipo con fotos y nombres, y un proceso de entrevistas de dos rondas. La primera fue con recursos humanos. La segunda, una entrevista técnica con dos ingenieros por videollamada, con uno de ellos efectivamente listado en la página del equipo con foto y nombre coincidentes.
A los primeros encuentros, el desarrollador víctima de este ataque los calificó como una «conversación normal. La clase de charla que realmente disfrutás», describió el desarrollador.
Al final de la segunda ronda le entregaron un repositorio de GitHub con una prueba de código para resolver en pocos minutos. Uno de los entrevistadores incluso bromeó con el tema. «Revisalo por puertas traseras», le dijo, justo cuando el desarrollador mencionaba las estafas dirigidas a programadores.
Esa línea fue deliberada. Bajó mi guardia exactamente cuando más la necesitaba.
Turshija, desarrollador víctima de este ataque.
El código del repositorio principal estaba limpio. El malware, según el desarrollador, estaba oculto en una dependencia anidada: un paquete llamado ‘winston-middleware’ que, a su vez, importaba otro llamado‘next-runtimejs’. Al ejecutar el proyecto, un script descargó silenciosamente una puerta trasera.
Conforme al explicado por turshija, lo único que alertó al desarrollador fue una ventana emergente de macOS pidiendo permiso para ejecutar un proceso en segundo plano:
La mayoría habría hecho clic en Permitir sin pensarlo dos veces. Después de dos rondas de entrevistas, en una videollamada con personas en las que habías construido confianza durante días, confiás. Eso era exactamente con lo que contaban.
Turshija, desarrollador víctima de este ataque.
Turshija desconectó internet en menos de un minuto, pero para ese momento los atacantes ya habían capturado 634 contraseñas guardadas en Chrome, el llavero completo de macOS (el sistema donde el sistema operativo almacena contraseñas y claves de acceso, incluyendo la clave que descifra las contraseñas del navegador) y datos de su wallet MetaMask.
Según el desarrollador, el malware no era un kit improvisado sino un programa profesionalmente escrito, con protocolo cifrado propio y comandos específicos para ejecutar instrucciones remotas, robar archivos, extraer contraseñas de Chrome, exfiltrar el llavero y atacar wallets de criptomonedas.
Esto no fue un ataque aleatorio. Fue una operación. Sitio web falso, perfiles falsos de LinkedIn, ingenieros de apariencia real. Un proceso de entrevistas de varias etapas diseñado para construir confianza durante días. Todo para conseguir que un desarrollador ejecutara su código.
Turshija, desarrollador víctima de este ataque.
El desarrollador publicó los nombres y versiones de los paquetes maliciosos (winston-middleware versión 4.5.3 y next-runtimejs versión 1.0.3) y del repositorio falso, reportándolos a npm y GitHub.
Su conclusión fue directa: «Lo más aterrador es que yo soy la persona que busca estas cosas. Ya atrapé estafas antes. Examino los repositorios antes de ejecutarlos. Bromearon conmigo sobre puertas traseras en la llamada. Y después me agarraron con una».
Un patrón ya documentado del Grupo Lazarus
Aunque turshija no atribuyó el ataque a ningún grupo específico, el patrón coincide con campañas previamente documentadas por CriptoNoticias.
El 21 de abril, el analista Mauro Eldritch publicó en la plataforma ANY.RUN un análisis sobre «Mach-O Man», un kit de malware nativo para macOS atribuido al Grupo Lazarus de Corea del Norte, que usa la misma lógica de ingeniería social: construir confianza durante días con infraestructura falsa y luego lograr que la víctima ejecute voluntariamente el código que la compromete.
El testimonio de turshija no prueba autoría, pero ilustra con detalle operativo cómo opera hoy una modalidad de ataque que ya no se dirige a la infraestructura técnica de los protocolos de criptomonedas o al código de plataformas, sino a las personas que los construyen.
