En un entorno laboral cada vez más digital, los profesionales del sector IT se han convertido en el blanco principal de grupos de ciberdelincuencia estatal. Recientemente, Sophos, a través de su Counter Threat Unit (CTU), ha revelado detalles sobre “Contagious Interview”, una sofisticada campaña de ataques dirigida por el grupo norcoreano NICKEL ALLEY, así lo informó el Portal Innova.
Este grupo no solo busca robar activos, sino infiltrarse en el corazón de las organizaciones aprovechando la ambición y la buena fe de los desarrolladores y expertos en tecnología.
¿Qué es la campaña «Contagious Interview»?
La campaña se basa en una premisa sencilla pero efectiva: el engaño a través de procesos de selección ficticios. NICKEL ALLEY se especializa en contactar a profesionales IT —especialmente aquellos abiertos a oportunidades freelance— para ofrecerles vacantes atractivas que no existen.
El modus operandi
Para maximizar su credibilidad, los atacantes despliegan una infraestructura de ingeniería social que incluye:
- Páginas falsas en LinkedIn: Crean perfiles de empresas inexistentes pero visualmente profesionales para generar confianza en el candidato.
- Repositorios coordinados en GitHub: Utilizan esta plataforma para distribuir malware bajo la apariencia de pruebas técnicas o herramientas necesarias para la vacante.
Tácticas avanzadas: Del «ClickFix» al compromiso corporativo
Una de las técnicas más preocupantes detectadas por Sophos es el uso de ClickFix, una táctica que consiste en engañar al usuario para que ejecute comandos maliciosos bajo la excusa de «solucionar un error» en la visualización de una supuesta evaluación técnica o página web.
NICKEL ALLEY insiste persistentemente en que los candidatos ejecuten el código en sus equipos de trabajo corporativos. Esto confirma que su objetivo va más allá del robo de criptomonedas personal; buscan comprometer la cadena de suministro y realizar espionaje industrial.
Indicadores de compromiso y señales de alerta técnica
Para los equipos de defensa y administradores de sistemas, la investigación de Sophos identifica patrones críticos que deben ser monitoreados:
- Ejecución desde el Portapapeles: Vigilancia extrema sobre comandos derivados de datos del portapapeles del navegador (común en ataques ClickFix).
- Patrones sospechosos en la consola: Combinaciones inusuales de comandos que involucren: «curl», «PowerShell» o ejecución de archivos desde el directorio %TEMP%.
- Procesos de Node.js: El tráfico de red inusual generado por procesos de Node.js puede ser un indicador de descarga y ejecución de malware.
Cómo proteger a su organización y a sus empleados
La prevención de estos ciberdelitos requiere una combinación de herramientas técnicas y concienciación del personal, por ello las empresas deberían plantearse lo siguiente:
- Monitoreo Activo: Supervisar el tráfico de red y la ejecución de comandos sospechosos en los equipos de los empleados.
- Cultura de Reporte: Incentivar a los empleados a reportar cualquier contacto de reclutamiento no solicitado que resulte sospechoso, ya sea vía LinkedIn o correo electrónico.
- Políticas de Sandboxing: Exigir que cualquier prueba técnica externa se realice en entornos aislados o máquinas virtuales que no tengan acceso a la red corporativa.
La campaña Contagious Interview de NICKEL ALLEY demuestra que la ingeniería social ha evolucionado hacia un nivel de especialización técnica alarmante. En el sector IT, la mejor defensa es la malicia académica: verificar siempre la autenticidad de los reclutadores y nunca ejecutar código de fuentes externas en infraestructura crítica de la empresa.
