Una "entrevista de ensueño", ¿cómo hacer que tu cartera quede en cero?

Imagínate que eres un desarrollador de Web3 con buenas habilidades técnicas. Un día, de repente, alguien te contacta en LinkedIn (parece) de una gran empresa, ofreciéndote un “puesto soñado” que no puedes rechazar.

La otra parte es muy entusiasta y rápidamente te envía un archivo comprimido, diciendo que es un “repositorio de código para la entrevista”. No piensas mucho y tecleas con destreza el comando npm install, listo para mostrar tus habilidades.

En ese momento, justo cuando presionas Enter, te “contagian”.

Tus credenciales de inicio de sesión, datos del navegador e incluso la clave privada de tu billetera encriptada, están siendo empaquetados silenciosamente y enviados a un servidor desconocido. El trabajo se ha acabado, y en cambio, te conviertes en la “máquina de extracción” de alguien más (y además, de hackers de nivel estatal).

Esto no es una película, esto está ocurriendo en la vida real.

Este ataque se llama “Entrevista Contagiosa” (Contagious Interview). El informe más reciente de una empresa de seguridad revela que ya hay más de 300 paquetes de código malicioso subidos a la plataforma npm — que es la “base de la internet moderna”.

Y los cerebros detrás de esto apuntan directamente a Corea del Norte.

Seguramente todos pensarán: ¿otra vez ellos? ¿Cómo es posible que un país tan bloqueado en la percepción global haya desarrollado un ejército de hackers de primer nivel en todo el mundo?

El Lego “contagiado”: ¿Qué tan brutal es este ataque?

Para entender la gravedad, primero debes saber qué es npm.

En pocas palabras, es como una enorme “biblioteca de bloques de construcción digitales”. Los programadores de todo el mundo prefieren no reinventar la rueda y suelen buscar en npm los “bloques” (paquetes de código) ya hechos para ensamblar sus proyectos.

Y “Entrevista Contagiosa” consiste en envenenar estos “bloques” en la “fábrica de Lego”.

Los atacantes se disfrazan de herramientas populares como express, dotenv y suben más de 300 paquetes tóxicos. Los desarrolladores, especialmente los que trabajan en Web3 y criptomonedas, que caen en la tentación de usar estos “bloques tóxicos” en la “entrevista”, activan malware al instante, robando todo lo que tienen.

¿Y lo más aterrador?

Estos “bloques tóxicos” también se usan en innumerables aplicaciones y proyectos, propagando su “toxicidad” de forma invisible. Aunque GitHub (la empresa matriz de npm) intenta eliminarlos, los investigadores dicen que es como jugar a “la máquina de Whac-a-Mole”: eliminan unos, aparecen otros, y no pueden detener la marea.

Este ataque es preciso, paciente y muy astuto. Y esa “paciencia” es precisamente lo que más aterroriza a los hackers norcoreanos.

¿Develando el secreto? ¿Por qué el ejército de hackers de Corea del Norte es tan “invencible”?

Mientras otros hackers todavía muestran sus habilidades, hacen espionaje o ganan dinero extra, los hackers norcoreanos tienen un objetivo muy claro: hacer dinero. Y no solo eso, sino que es para el país.

No son “hackers”, son “soldados cibernéticos” y “ladrones financieros” que trabajan para la nación. Su “invencibilidad” se basa en tres pilares fundamentales:

1. Motivación extrema: esto es “negocio estatal”, para financiar armas nucleares

Esta es la clave para entenderlos.

Debido a sanciones estrictas durante años, Corea del Norte casi no recibe ingresos en divisas. Para mantener sus operaciones, especialmente los programas nucleares y de misiles, el ciberespacio se convirtió en su fuente de ingresos perfecta.

Según informes de la ONU, los hackers norcoreanos han robado en los últimos años más de 3 mil millones de dólares mediante ataques cibernéticos. Sí, ¡tres mil millones de dólares!

Un informe incluso señala que estos ingresos ilegales financian aproximadamente el 40% de sus “armas de destrucción masiva”.

Piensa: cuando el KPI de un hacker es “hacer dinero para el país en forma de misiles”, su motivación, disciplina y capacidad de combate no son comparables con los hackers que actúan de forma independiente.

2. Selección rigurosa: “Escuela de talentos” a nivel estatal

Los hackers norcoreanos no son unos “chicos de cibercafé” que aprendieron por sí mismos. Son “armas geniales” formadas bajo la voluntad del Estado.

Este proceso de selección comienza en la infancia. Buscan en todo el país a los “niños prodigio” con talento en matemáticas y computación, y los envían a instituciones de élite como la Universidad de Computación de Pyongyang.

Allí reciben una educación intensiva, militarizada y de varios años.

Tras graduarse, los mejores son enviados a una institución temible: la Oficina de Reconocimiento de Corea (RGB). Bajo su mando están algunos de los equipos más famosos, como el “Grupo Lazarus” y la “Oficina 121”. Tienen miles de “soldados cibernéticos” a tiempo completo, considerados activos nacionales de primer nivel.

3. Tácticas sorprendentes: paciencia, comprensión psicológica y rapidez en aprender

El ataque de “Entrevista Contagiosa” muestra claramente sus características tácticas.

Primero, una paciencia extrema. Pueden dedicar meses a crear una cuenta de LinkedIn falsa, chatear contigo, crear confianza y esperar el momento justo para “atraparte”.

Luego, dominan la psicología (también conocida como ingeniería social). Aprovechan la “ansiedad por un buen trabajo” del desarrollador. Piensa: en esta etapa, ¿quién revisaría cuidadosamente los paquetes de código enviados por un “entrevistador”? Utilizan esa relajación mental.

Por último, una velocidad de iteración asombrosa. Son los primeros en cambiar su objetivo de bancos tradicionales (como en el robo del Banco de Bangladesh en 2016) a criptomonedas (como el robo de 6.25 mil millones de dólares en Axie Infinity en 2022). Manejan Web3, DeFi y puentes entre cadenas con mayor destreza que nadie.

Cuando “el código abierto” se convierte en “arma”: ¿qué debemos hacer?

Este ataque de “Entrevista Contagiosa” es una advertencia para todos.

Aprovecha la mayor fortaleza del ecosistema de código abierto: su apertura. Antes, subir código era para innovar, ahora se ha convertido en un terreno perfecto para que los atacantes propaguen “virus”.

Incluso si no eres programador, no puedes escapar. Piensa: todas las apps que usas a diario están construidas con estos códigos. La “contaminación” en la parte superior se propaga inevitablemente hacia abajo.

Para los desarrolladores y empresas, las alarmas están sonando a todo volumen. Desde ahora, cada vez que ejecutes npm install, debes hacerlo con la misma cautela que al manipular una bomba, considerándolo una operación potencialmente “de alto riesgo”.

Este juego de “la máquina de Whac-a-Mole” seguramente continuará. Mientras el “negocio estatal” de Corea del Norte siga igual, su “cacería” de criptomonedas y Web3 no se detendrá ni un día. **$LAYER **