Se ha descubierto un sofisticado ataque de cadena de suministro dirigido a desarrolladores a través de falsas entrevistas de trabajo en el sector Web3, según un análisis técnico realizado por el investigador de seguridad reymom.xyz.
El ataque comienza con ingeniería social: reclutadores en plataformas como LinkedIn o Telegram contactan a los desarrolladores con ofertas de empleo convincentes. Tras una entrevista inicial, se les pide a los candidatos que clonen y ejecuten un repositorio de prueba (conocido como 'take-home assignment'), a menudo durante una sesión de pantalla compartida en vivo.
Según el informe, el repositorio malicioso, que suplantaba al proyecto legítimo 0G Labs bajo el nombre 'MGVerse', utilizaba un gancho (hook) de 'prepare' de npm para ejecutar una carga útil oculta. Cuando el desarrollador ejecutaba 'npm install', el proceso iniciaba silenciosamente un proceso de Node en segundo plano diseñado para la exfiltración de datos sensibles.
"La presión social de una entrevista en vivo es el vector crítico. No tienes tiempo para auditar el repositorio. Estás compartiendo tu pantalla. Quieres causar una buena impresión, así que ejecutas npm install", afirmó la fuente.
Ejecución técnica y robo de datos
La cadena de ataque consta de tres etapas distintas. La primera utiliza un cargador alojado en Vercel (ipcheck-six.vercel.app) para iniciar el proceso. La segunda etapa establece un faro (beacon) TCP personalizado en el puerto 1224, conectado a un servidor controlado por los atacantes ubicado en Texas.
Una vez establecida la conexión, el malware utiliza un primitivo de ejecución remota de código (RCE) mediante un comando 'new Function' para ejecutar código arbitrario. El objetivo principal de la exfiltración es el robo de los datos de 'process.env' de la víctima, que pueden incluir claves de API, claves SSH, cookies del navegador y semillas de monederos de criptomonedas.
El investigador, que fue blanco personal de esta campaña, detectó el proceso en segundo plano aproximadamente 44 minutos después de ejecutar el comando malicioso. El análisis confirmó que el ataque estaba diseñado para evadir la detección tradicional, presentándose como una parte estándar del ciclo de vida de instalación del software.
Los investigadores han identificado la etiqueta de la campaña como 'tid=Y3nt2cyBoYWQgZ3V5cw==' y señalaron que la infraestructura sigue activa. El repositorio utilizado en el ataque ya ha sido archivado para una investigación forense más profunda.
