Un nuevo informe de inteligencia ha vuelto a poner sobre la mesa una amenaza persistente y sofisticada que combina ingeniería social, abuso de herramientas de desarrollo y explotaciones en la cadena de suministro del software. Según los datos compartidos por Recorded Future, una operación rastreada bajo el apelativo PurpleBravo habría apuntado a miles de direcciones IP y a decenas de empresas en múltiples continentes, usando ofertas de empleo falsas y proyectos de desarrollo comprometidos como señuelos para desplegar malware.
Los hallazgos describen que hasta 3.136 direcciones IP individuales fueron vinculadas a objetivos potenciales de esta actividad entre agosto de 2024 y septiembre de 2025, y que la campaña reclamó haber orientado a una veintena de organizaciones en sectores que van desde la inteligencia artificial y las criptomonedas hasta servicios financieros, marketing y desarrollo de software. Las víctimas identificadas se distribuyen por países como Bélgica, India, Italia, Pakistán, Rumanía, Emiratos Árabes Unidos y Vietnam, lo que subraya el alcance transnacional del actor.
Lo relevante de este operativo no es solo la cantidad de máquinas potencialmente afectadas, sino la táctica utilizada: perfiles falsos en redes profesionales y repositorios maliciosos que se hacen pasar por proyectos legítimos de Visual Studio Code o GitHub. Investigaciones de firmas de seguridad, entre ellas las publicaciones de Jamf Threat Labs, han mostrado cómo los atacantes insertan backdoors y cargadores en paquetes que los desarrolladores podrían clonar y ejecutar confiando en que provienen de fuentes fiables. De este modo, se aprovechan los flujos de trabajo normalizados del desarrollo para introducir malware sin necesidad de vulnerabilidades tradicionales.
Entre las familias de malware vinculadas a la campaña aparecen ladrones de información y puertas traseras escritas en distintos lenguajes, incluidos un infostealer en JavaScript conocido como BeaverTail y una puerta trasera desarrollada en Go —apodada GolangGhost o variantes similares— que reutiliza componentes de herramientas de código abierto para robar credenciales y exfiltrar datos. Los servidores de mando y control (C2) asociados estuvieron alojados en múltiples proveedores y gestionados a través de la VPN Astrill, un patrón de infraestructura que ya ha sido observado en actividades maliciosas atribuidas a actores norcoreanos.
Además de la distribución de malware por medio de repositorios, la operación ha combinado el reclutamiento falso con pruebas de código: candidatos contactados por los atacantes realizaron ejercicios técnicos en dispositivos corporativos, lo que en numerosos casos implicó la ejecución de código malicioso en equipos de la empresa contratante. El efecto colateral es evidente: el riesgo ya no queda circunscrito al individuo que recibe la oferta, sino que se extiende a clientes y socios de la organización afectada, creando un vector de compromisos en la cadena de suministro de software.
Este modo de operar complementa otra línea de actividad conocida desde hace años: la inserción de trabajadores informáticos norcoreanos bajo identidades falsas para acceder desde dentro a organizaciones en el extranjero, tanto con fines de espionaje como de lucro. Aunque los dos frentes —empleos fraudulentos y campañas de suministro de software comprometido— se tratan por separado, las investigaciones señalan importantes solapamientos en tácticas, infraestructura y operadores, lo que complica la atribución y multiplica el impacto potencial cuando convergen.
Para las empresas que subcontratan desarrollo o mantienen equipos distribuidos, la lección es clara y urgente. No basta con confiar en la procedencia aparente de un repositorio o en la veracidad de una oferta de trabajo verificada superficialmente. Revisar pipelines de integración, imponer restricciones sobre la ejecución de código en dispositivos corporativos y separar entornos de evaluación técnica de aquellos con acceso a entornos productivos son medidas que deberían incorporarse cuanto antes a las políticas de seguridad. Organismos oficiales como CISA y marcos como MITRE ATT&CK ofrecen recursos y referencias para entender tácticas y mitigar riesgos relacionados con campañas de amenaza persistente.
También conviene recordar que los atacantes explotan la confianza: un proyecto popular de Visual Studio Code, un paquete de ejemplo o un reto técnico pueden parecer inocuos, pero una sola ejecución imprudente puede abrir una puerta a la red corporativa. Las buenas prácticas incluyen validación estricta de dependencias, bloqueo de ejecución de scripts no firmados en máquinas corporativas, uso de entornos aislados para pruebas y educación continua para equipos de contratación y recursos humanos, ya que son quienes más interactúan con candidatos externos.
En un nivel operativo, la diversificación de controles —detección en endpoints, monitorización de tráfico hacia infraestructuras sospechosas, listas de bloqueo y la segmentación de redes— reduce la probabilidad de que un único error lleve a una brecha mayor. Y en el plano estratégico, las organizaciones deben considerar el riesgo que representa un proveedor con gran base de clientes en regiones donde estas campañas ejecutan sus señuelos, porque una infracción en la cadena de suministro puede multiplicar las consecuencias.
Los incidentes que combinan ingeniería social, abuso de plataformas de desarrollo y usos creativos de infraestructuras como VPN comerciales son complejos y requieren respuestas igualmente multidisciplinares. Informes como el de Recorded Future y las publicaciones de laboratorios de amenazas como los de Jamf ayudan a comprender el panorama y a priorizar defensas, pero la implementación recae en cada organización: no existe una cura única, sino la necesidad de capas combinadas de prevención, detección y respuesta.
En definitiva, la campaña conocida como Contagious Interview y las operaciones relacionadas muestran cómo actores con motivaciones diversas pueden aprovechar tanto técnicas novedosas como prácticas humanas previsibles. La seguridad del software y de los procesos de contratación deben tratarse como un todo integrado, y tanto equipos técnicos como áreas de negocio deben coordinarse para reducir la ventana de oportunidad de estos atacantes. Para mantenerse al día, sigue siendo recomendable consultar fuentes especializadas y actualizar políticas en función de los nuevos informes públicos.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...