Hace meses que la escena de la seguridad informática viene advirtiendo sobre campañas de suplantación vinculadas a ofertas de empleo, pero el último informe público eleva el engaño a otra categoría: los atacantes no sólo fabrican empresas falsas y anuncios atractivos para desarrolladores, sino que construyen ejercicios técnicos diseñados para que la propia víctima ejecute código que instala malware. Según el análisis de ReversingLabs, una variación de esta estafa —apodada “Graphalgo” por los investigadores— ha estado en marcha desde, al menos, mayo de 2025, y se dirige específicamente a desarrolladores de JavaScript y Python con tareas relacionadas con criptomonedas.
La estrategia es elegante y peligrosa: los operadores crean identidades corporativas en el sector blockchain y de trading, publican ofertas y pruebas técnicas en plataformas públicas como LinkedIn, Facebook o Reddit, y luego piden a los candidatos que descarguen, ejecuten o depuren un repositorio de ejemplo para demostrar sus capacidades. Ese repositorio, aparentemente inocente, contiene una dependencia que apunta a paquetes publicados en registros oficiales (npm y PyPI). En lugar de código útil, esas dependencias funcionan como descargadores que instalan un remote access trojan (RAT) en la máquina del desarrollador.
ReversingLabs localizó un conjunto amplio: 192 paquetes maliciosos asociados a la campaña, distribuidos entre npm y PyPI. En algunos casos los paquetes populares eran benignos en versiones iniciales y adquirieron funcionalidad maliciosa en actualizaciones posteriores; como ejemplo, mencionan un paquete con miles de descargas que se volvió hostil en la versión 1.1.0 y poco después fue marcado como “deprecated”, una maniobra para dificultar el rastreo.
El nombre Graphalgo viene de la recurrencia de la cadena “graph” en muchos de los paquetes, aunque los atacantes variaron la denominación a partir de diciembre de 2025, pasando a publicar módulos con “big” en su nombre. Los repositorios de GitHub que sirven de fachada suelen estar limpios y normales a primera vista; la infección llega gracias a las dependencias externas, lo que complica la detección para un candidato que solo quiere demostrar su capacidad técnica. ReversingLabs documenta además el uso de organizaciones en GitHub para agrupar proyectos, otra señal de que el atacante busca dar una apariencia legítima y colaborativa.
El malware que se entrega mediante estas dependencias tiene capacidades típicas de un backdoor: listar procesos, ejecutar comandos remotos según instrucciones del servidor de mando y control (C2), exfiltrar archivos y descargar cargas adicionales. Un detalle revelador es que el código inspecciona la presencia de extensiones de criptobilleteras como MetaMask en el navegador del usuario, lo que apunta claramente a un objetivo monetario: robar activos digitales o credenciales asociadas.
La arquitectura de la campaña muestra modularidad calculada: los paquetes maliciosos actúan como descargadores ligeros que traen luego un RAT más completo. Esa modularidad facilita que la operación se reactive incluso si algunos componentes se detectan y eliminan. Los investigadores encontraron variantes del malware escritas en JavaScript, Python e incluso VBS, buscando abarcar tanto entornos de desarrollo modernos como máquinas Windows con configuraciones distintas.
En su atribución, ReversingLabs considera que el grupo Lazarus —vinculado a Corea del Norte— es el principal sospechoso con una confianza de media a alta. El razonamiento se apoya en varios elementos: la elección del blanco (actores vinculados a criptomonedas), el uso de retos de codificación como vector de infección —técnica observada en campañas previas—, la activación diferida del código malicioso en algunos paquetes y metadatos como los sellos horarios de commits en GMT+9. Para quienes quieran comparar contexto y antecedentes sobre este actor, organizaciones como MITRE mantienen perfiles técnicos de grupos de amenazas reconocidos: MITRE ATT&CK — Lazarus.
El aspecto más inquietante es la facilidad con la que un desarrollador distraído puede convertirse en víctima: ejecutar una prueba de código en un equipo con permisos amplios o con credenciales expuestas puede ser suficiente para que se instalen puertas traseras y se pierda el control de cuentas y claves. ReversingLabs incluso contactó a varios programadores que habían caído en la trampa para entender mejor el flujo de reclutamiento y la ejecución del código. Los indicadores de compromiso (IoC) y detalles técnicos están disponibles en el informe original de los investigadores para quienes necesiten verificar paquetes o artefactos específicos: informe de ReversingLabs.
Desde el punto de vista de la gestión de riesgo y de la higiene digital, el caso Graphalgo vuelve a subrayar varias reflexiones prácticas para profesionales y equipos que consumen dependencias de terceros. No basta con confiar en que un paquete está en un registro oficial; es necesario revisar la cadena de suministro, aislar la ejecución de código desconocido y mantener políticas estrictas sobre privilegios y tokens. GitHub y las plataformas de registro han publicado guías y herramientas para reforzar la seguridad del software supply chain: una lectura útil es la documentación de GitHub sobre cómo proteger esta cadena de suministro (Guía de seguridad de GitHub), mientras que npm y PyPI mantienen páginas con políticas y recomendaciones de seguridad para autores y consumidores de paquetes (Seguridad en npm, Seguridad en PyPI).
Si crees que pudiste haber instalado alguno de los paquetes señalados o haber ejecutado código relacionado con una oferta de empleo sospechosa, las acciones a tomar deben ser inmediatas: revocar cualquier token, cambiar contraseñas y claves, revisar accesos a cuentas de intercambio o monederos, y, en muchos casos, reinstalar el sistema desde cero para asegurar la eliminación completa del malware. ReversingLabs recomienda explícitamente estas medidas y publica IoC para facilitar la remediación.
Más allá de la urgencia técnica, Graphalgo es un recordatorio de que la ingeniería social ha aprendido a explotar los vectores modernos de colaboración: una prueba técnica bien diseñada no solo mide habilidades, sino que puede convertirse en una trampa. Para los desarrolladores y responsables de contratación, la lección es clara: mantener procesos de entrevista que no requieran ejecutar artefactos en entornos de producción, preferir ejercicios en entornos aislados y revisar dependencias con herramientas de análisis de software supply chain antes de aceptar cualquier código de terceros.
En un panorama donde los actores estatales han demostrado una persistente inclinación por atacar activos digitales, especialmente en el mundo cripto, la combinación de suplantación de identidad, paquetes aparentemente legítimos y persistencia modular conforma una amenaza sofisticada. Mantenerse informado, aplicar buenas prácticas de aislamiento y revisión de dependencias y seguir las guías de las plataformas es hoy más necesario que nunca para no convertirse en la vía de entrada de un ataque más amplio.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...