«Ustedes nos vienen bien, solo queda ejecutar este archivo». Cómo los desarrolladores acaban descargando virus en lugar de trabajar
El grupo NICKEL ALLEY roba criptomonedas mediante pruebas técnicas falsas.
Una entrevista de trabajo ideal puede resultar en la instalación de software malicioso, y una tarea de prueba puede acabar con el robo de criptomonedas. Detrás de estos ataques está el grupo NICKEL ALLEY, relacionado con Corea del Norte. Los atacantes se hacen pasar por empleadores y atraen metódicamente a desarrolladores hacia la trampa.
Los especialistas de Sophos analizaron los casos recientes de la campaña Contagious Interview y observaron que el esquema apenas cambia. Los atacantes crean páginas falsas de empresas en LinkedIn, abren cuentas en GitHub y convocan a candidatos a una "entrevista". Después, a la víctima le piden que realice una tarea de prueba que en realidad ejecuta código malicioso.
Una de las técnicas principales recibió el nombre ClickFix. Al candidato le muestran una página con un "error" y le piden ejecutar un comando para "arreglar el problema". En realidad, el comando descarga un archivo comprimido desde el servidor de los atacantes, extrae los archivos en la carpeta temporal de Windows y ejecuta un script. En la cadena de infección se usa un intérprete de Python renombrado y un archivo con un nombre como nvidia.py que se hace pasar por un componente del sistema.
Como resultado se activa el troyano PyLangGhost. El programa puede ejecutar comandos, recopilar información del sistema, robar archivos y extraer contraseñas y cookies de los navegadores. Llaman especialmente la atención las extensiones con monederos de criptomonedas en Google Chrome, lo que indica de forma directa una motivación financiera en los ataques.
Los atacantes actualizan la infraestructura con rapidez. Registran dominios para los ataques pocos días antes de usarlos. Por ejemplo, una de las direcciones apareció menos de dos semanas antes del inicio de la campaña. En esos sitios colocan páginas falsas con errores para no despertar sospechas en quienes decidan comprobar el enlace manualmente.
Además de las "entrevistas", NICKEL ALLEY opera activamente a través de repositorios de código. A la víctima le ofrecen descargar un proyecto desde GitHub y ejecutarlo con comandos habituales como npm install. En el interior se oculta código malicioso que se comunica con un servidor y descarga otro troyano, por ejemplo BeaverTail u OtterCookie.
A veces los atacantes van aún más lejos y disfrazan las acciones maliciosas como funciones del entorno de desarrollo Visual Studio Code. En los archivos de configuración del proyecto ocultan comandos que descargan y ejecutan automáticamente código malicioso tan pronto como el usuario abre la carpeta del proyecto.
A simple vista esas "empresas" parecen creíbles, pero se delatan por pequeños detalles. Los sitios están montados sobre plantillas, las páginas contienen inconsistencias en los dominios y las descripciones son generales. En un caso, un enlace en LinkedIn conducía al sitio de una empresa aeroespacial real que no tenía relación con el ataque.
El objetivo principal de la campaña es el robo de criptomonedas, pero el escenario puede ir más allá. Si obtienen acceso al equipo de trabajo del desarrollador, los atacantes pueden atacar a la empresa mediante la cadena de suministro o dedicarse al espionaje industrial. Por eso a menudo insisten en que se ejecute el código precisamente en la máquina laboral.
Ese tipo de ataques afectan a los desarrolladores, sobre todo en los sectores financiero y tecnológico. Las empresas recomiendan vigilar comandos sospechosos, la ejecución de programas desde carpetas temporales y la actividad de red relacionada con Node.js. Y aconsejan a los empleados que sean cautelosos ante ofertas de trabajo inesperadas y que no ejecuten código ajeno sin comprobarlo.