Investigadores en ciberseguridad han identificado una nueva oleada dentro de la campaña que se conoce como Contagious Interview, en la que actores norcoreanos han colocado decenas de paquetes maliciosos en el registro de npm haciéndose pasar por herramientas útiles para desarrolladores. La estrategia combina typosquatting, ejecución automática durante la instalación y una capa de ofuscación basada en esteganografía de texto alojada en servicios públicos, lo que dificulta tanto la detección automática como la revisión manual por parte de mantenedores y usuarios.
El hallazgo fue documentado por el equipo de Socket y por el investigador Kieran Miyamoto en kmsec.uk. Puedes leer el informe técnico de Socket aquí: socket.dev — StegaBin, y la investigación complementaria en kmsec.uk aquí: kmsec.uk — DPRK text steganography. Ambos análisis muestran un patrón repetido: paquetes que aparentan ser librerías legítimas y que declaran dependencias con los nombres correctos para dar una falsa sensación de confianza.
Los paquetes identificados incluían un archivo de instalación que se ejecuta automáticamente cuando se instala el paquete en un entorno de desarrollo. Ese instalador, a su vez, carga un componente malicioso incrustado que actúa como decodificador: contacta pastes públicos en servicios como Pastebin, procesa el contenido aparente —ensayos inocentes sobre informática— y reconstruye desde ahí la dirección de la infraestructura de mando y control (C2). La técnica emplea sustituciones en caracteres y marcadores no visibles para ocultar direcciones dentro del texto, una forma de esteganografía textual que pasa desapercibida para la mayoría de escáneres automáticos y revisiones superficiales.
Una vez recuperadas las direcciones C2, la cadena de ataque continúa contactando una infraestructura hospedada en múltiples despliegues de la plataforma Vercel. Socket documentó que los operadores usaron varias instancias en Vercel para distribuir cargas de siguiente etapa, lo que añade redundancia y capacidad de evasión. Puedes consultar la documentación de Vercel como referencia sobre despliegues y hosting aquí: vercel.com/docs.
Los artefactos finales descargados por la cadena maliciosa incluyen un troyano de acceso remoto (RAT) y varias utilidades orientadas específicamente a captar secretos y credenciales de desarrolladores: persistencia dentro de Visual Studio Code mediante un archivo tasks.json malicioso que se activa al abrir proyectos, keylogging y captura del portapapeles, robo de credenciales de navegadores y extensiones de criptomoneda, escaneo de repositorios con herramientas legítimas para extraer secretos, y exfiltración de claves SSH y ficheros relevantes del entorno de desarrollo. Entre estas herramientas, los atacantes incluso descargan la utilidad legítima TruffleHog desde su repositorio oficial para agilizar la búsqueda de secretos; la página del proyecto está disponible en GitHub: trufflesecurity/trufflehog.
Según los análisis, el RAT establece conexiones salientes hacia direcciones IP y puertos concretos para recibir órdenes y proyectar control en tiempo real sobre el equipo comprometido. Desde ahí puede ejecutar comandos, moverse por el sistema de archivos y plantar módulos adicionales para persistencia y exfiltración. El resultado es una suite centrada en extraer inteligencia y credenciales que son especialmente valiosas en un contexto profesional de desarrollo de software, donde los secretos y accesos a repositorios suelen permitir pivotes fáciles a infraestructuras mayores.
El uso combinado de typosquatting (nombres de paquete que imitan a librerías conocidas), scripts que se ejecutan al instalar y la señalización de confianza mediante dependencias válidas es una receta pensada para convencer a desarrolladores desprevenidos. Por eso, los informes recomiendan extremar precauciones al incorporar paquetes nuevos, revisar el contenido de los install scripts y preferir dependencias con historial y mantenimiento verificado. La propia plataforma npm ofrece guías sobre seguridad de paquetes que pueden consultarse en su documentación: docs.npmjs.com — Security.
Además de la técnica de Pastebin, los investigadores han observado intentos paralelos donde los operadores usaron otros servicios públicos, como Google Drive, para alojar cargas de siguiente etapa, lo que subraya la versatilidad y el ensayo de múltiples vectores de entrega por parte del actor. Un análisis sobre el uso de Google Drive en estas cadenas está disponible en el blog de kmsec: kmsec.uk — DPRK GDrive stager.
¿Qué pueden hacer los equipos y desarrolladores para reducir el riesgo? Sin entrar en instrucciones técnicas que faciliten el abuso, las buenas prácticas pasan por auditar dependencias, aplicar controles automáticos que detecten scripts de instalación, usar entornos aislados para pruebas, activar políticas de bloqueo de ejecución de código desconocido y revisar cualquier cambio en la configuración de IDEs y editores —por ejemplo, si aparecen tareas o extensiones desconocidas en Visual Studio Code—. También es recomendable habilitar la verificación de paquetes y firmas cuando el ecosistema lo permita.
Esta campaña pone de manifiesto una tendencia preocupante: los atacantes orientan cada vez más sus esfuerzos a víctimas técnicas, aprovechando la complejidad del flujo de trabajo del desarrollo y la confianza en paquetes de terceros. Protección y vigilancia continuas, junto con una cultura de seguridad en los equipos de desarrollo, son las mejores defensas contra estas amenazas sofisticadas. Para entender el alcance y la metodología con mayor detalle, revisa los informes completos de las entidades que siguieron la campaña: el análisis de Socket y las notas de kmsec.uk enlazadas arriba.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...
PinTheft el exploit público que podría darte root en Arch Linux
Un nuevo exploit público ha llevado a la superficie otra vez la fragilidad del modelo de privilegios en Linux: el equipo de V12 Security bautizó la falla como PinTheft y publicó...