Un informe técnico elaborado por el investigador de NIVEL4 Andrés Contreras, alerta sobre una campaña que suplanta procesos de reclutamiento para comprometer a desarrolladores, utilizando desafíos de programación como vector de infección y desplegando malware orientado al robo de credenciales y datos sensibles.
Una campaña dirigida a desarrolladores que utiliza falsas ofertas laborales como mecanismo de ataque fue identificada en un reciente informe técnico publicado por NIVEL4, y elaborado por el analista y especialista en inteligencia de amenazas Andrés Contreras. El caso, denominado ChainVisita, evidencia una evolución en las tácticas de ingeniería social, donde los procesos de selección se convierten en una puerta de entrada para comprometer sistemas y robar información.
En el informe, Andrés Contreras señala que “el caso corresponde a una campaña de falsa oferta laboral dirigida a desarrolladores, en la que el challenge técnico fue utilizado como vehículo de ejecución para una segunda etapa maliciosa.”
Los hallazgos de la investigación indican que un ataque de este tipo comienza con un acercamiento a través de plataformas profesionales, donde los actores maliciosos se hacen pasar por reclutadores. De acuerdo con el autor del documento, el caso fue descubierto luego que “un desarrollador fue contactado a través de LinkedIn por un supuesto reclutador llamado Tom, quien ofrecía una posición en una empresa denominada ChainVisita Tech.”
A partir de ese primer contacto, la víctima es guiada a participar en un supuesto proceso de selección que incluye una prueba técnica. Sin embargo, esta instancia es el punto clave del ataque. Según el informe, “el ataque usa pruebas técnicas como señuelo para desplegar un stealer multietapa enfocado en credenciales y wallets.”
El análisis del código entregado como parte del desafío permitió identificar comportamientos maliciosos ocultos. En el informe, el especialista detalla que “el repositorio incluía una rutina encubierta de ejecución remota de código disfrazada de validación geográfica.” Este mecanismo permite la ejecución de instrucciones adicionales sin el conocimiento del usuario.
A medida que avanza la ejecución, se despliega una segunda fase del ataque con capacidades más avanzadas. “La segunda etapa, una vez capturada y desofuscada, mostró capacidades consistentes con un stealer Node.js multietapa orientado al robo de credenciales, datos de navegadores Chromium y wallets de criptomonedas”, afirma el investigador.
El informe también aborda los elementos que permitieron identificar la operación como fraudulenta. En este sentido, advierte se que “ChainVisita Tech presentaba rasgos compatibles con una fachada, entre ellos imágenes corporativas con apariencia artificial y un dominio registrado recientemente.” Estos indicadores refuerzan la hipótesis de una campaña planificada y dirigida.
Pese a la sofisticación del ataque, el análisis no logró confirmar un compromiso exitoso del sistema evaluado. “Este informe no concluye un compromiso confirmado del equipo analizado”, reconoce el especialistas. No obstante, subraya que la técnica observada representa un riesgo significativo para desarrolladores que participan en procesos de selección remotos.
El caso pone en evidencia cómo los actores de amenazas están adaptando sus estrategias para explotar contextos cotidianos del entorno tecnológico, como la búsqueda de empleo. En los primeros meses de este año, varios informes similares han sido divulgados por diferentes medios y equipos de ciberseguridad vinculados a empresas tecnológicas.
En un escenario de alta demanda por talento digital, los expertos de NIVEL4 recomiendan extremar precauciones frente a ofertas no verificadas y revisar en profundidad cualquier código recibido como parte de evaluaciones técnicas.