Oferta falsa en LinkedIn prometía teletrabajo y videojuegos: hackers norcoreanos ocultaban triple malware

Lazarus Group envía repositorios maliciosos como parte de procesos de selección falsos: el malware se activa al abrir el proyecto en VS Code, sin descargar ningún ejecutable adicional

Ciberseguridad · Lazarus Group · LinkedIn · Desarrolladores · Blockchain

Lazarus Group usa ofertas de empleo falsas en LinkedIn para infectar a desarrolladores blockchain con malware en VS Code

El grupo de ciberespionaje vinculado a Corea del Norte ha perfeccionado una campaña que convierte los procesos de selección de empleo en vectores de ataque. El malware se activa al abrir un repositorio en Visual Studio Code, sin ejecutar ningún archivo sospechoso. Un desarrollador español estuvo a punto de ser víctima.

⚠️ En resumen

• Lazarus Group usa perfiles falsos en LinkedIn para contactar a desarrolladores blockchain con ofertas de trabajo atractivas, incluyendo videollamadas y procesos de selección creíbles.
• El ataque se activa al abrir un repositorio enviado como "prueba técnica" en Visual Studio Code: tareas automáticas y scripts npm ejecutan malware sin interacción adicional del usuario.
• El triple mecanismo de infección (tareas de VS Code, scripts npm y payload encadenado) garantiza la infección aunque uno de los vectores falle.
• El objetivo es robar monederos de criptomonedas, contraseñas del navegador, claves SSH y tokens de servicios cloud como AWS, Stripe y OpenAI.
• Según el FBI, Lazarus Group ha acumulado más de 1.500 millones de dólares en criptomonedas mediante campañas similares. La campaña actual está activa desde septiembre de 2025.

Índice

1. El flujo completo del ataque: de LinkedIn al malware
2. El triple mecanismo de infección en el repositorio
3. Qué roba y cómo evade la detección
4. Señales de alerta y cómo protegerse

Un desarrollador español recibió en LinkedIn una oferta para trabajar en un proyecto de videojuegos descentralizado con teletrabajo total. El proceso de selección parecía completamente legítimo: contacto profesional, propuesta detallada, agendado de entrevista por Calendly y una videollamada. Lo que no sabía era que estaba siendo objetivo de Lazarus Group, el grupo de ciberespionaje vinculado al aparato estatal de Corea del Norte.

El ataque no llegó por un enlace sospechoso ni por un archivo ejecutable. Llegó como un repositorio de código para una "evaluación técnica", exactamente la acción que cualquier desarrollador realiza como parte rutinaria de un proceso de selección.

El flujo completo del ataque: de LinkedIn al malware

La campaña de Lazarus Group está diseñada para imitar con precisión un proceso de selección real. Cada paso está optimizado para generar confianza antes del momento crítico.

1

Contacto inicial en LinkedIn con perfil creíble Un reclutador con perfil elaborado contacta al desarrollador con una oferta específica para su perfil: proyecto blockchain, teletrabajo, compensación atractiva. El contacto imita el lenguaje y el tono de los reclutadores reales del sector tech.

2

Agendado de entrevista y videollamada La selección avanza con normalidad: se agenda una videollamada mediante Calendly y se realiza una entrevista. En algunos casos analizados se han detectado posibles deepfakes o inconsistencias de identidad durante estas llamadas.

3

Envío del repositorio como "prueba técnica" Como siguiente paso del proceso, el atacante envía un repositorio de código para que el candidato lo evalúe o complete una tarea técnica. La instrucción es abrirlo en Visual Studio Code, el IDE estándar del sector.

4

Activación del malware al abrir el proyecto Al abrir el repositorio en VS Code, las tareas automáticas del editor ejecutan código malicioso de forma silenciosa. No se necesita descargar ningún archivo adicional, confirmar ningún diálogo ni desactivar ninguna protección.

Por qué este vector es especialmente efectivo: Abrir un repositorio en VS Code es tan rutinario para un desarrollador como abrir un documento en Word para un administrativo. No activa ninguna alerta cognitiva de seguridad porque es exactamente lo que se espera hacer en esa fase del proceso. Lazarus Group no está explotando una vulnerabilidad técnica: está explotando el comportamiento estándar del trabajo.

El triple mecanismo de infección en el repositorio

El repositorio malicioso no depende de un único vector de ataque. Contiene tres mecanismos diseñados para ejecutarse en paralelo, garantizando la infección aunque alguno de ellos falle o sea detectado.

⚡

Tareas automáticas de VS Code El repositorio incluye un archivo .vscode/tasks.json configurado para ejecutar comandos automáticamente al abrir el proyecto. Esta funcionalidad existe para automatizar tareas de desarrollo legítimas, pero aquí ejecuta código malicioso de forma silenciosa, sin que el usuario vea ningún indicador visible de ejecución.

📦

Scripts maliciosos en npm El archivo package.json contiene scripts que se ejecutan durante el proceso estándar de instalación de dependencias (npm install). En ese momento, se exfiltran credenciales de AWS, Stripe y OpenAI almacenadas en el sistema y se establece control remoto del equipo.

🔗

Payload encadenado como respaldo Si los dos métodos anteriores son bloqueados o detectados, un tercer payload encadenado garantiza que al menos una vía de infección se complete. La redundancia ofensiva está diseñada para maximizar la tasa de éxito en entornos con diferentes configuraciones de seguridad.

El detalle que hace este ataque tan peligroso

El ataque no requiere que el desarrollador haga nada inusual. No hay que descargar un ejecutable, confirmar una advertencia de seguridad ni desactivar protecciones. Solo abrir una carpeta en el editor. Esa ausencia de fricción es deliberada: reduce drásticamente la probabilidad de que el objetivo se detenga a pensar si algo está mal antes de que el malware ya se haya ejecutado.

Qué roba y cómo evade la detección

El objetivo final de la campaña no es el espionaje corporativo sino el robo financiero. Lazarus Group ha acumulado, según el FBI, más de 1.500 millones de dólares en criptomonedas mediante campañas similares dirigidas específicamente al ecosistema blockchain.

💰 Monederos de criptomonedas

🔑 Contraseñas del navegador

🖥️ Claves SSH

☁️ Tokens de AWS

💳 Credenciales de Stripe

🤖 Claves de OpenAI

El flujo completo del ataque de Lazarus Group: contacto en LinkedIn, videollamada creíble, repositorio malicioso y extracción silenciosa de credenciales al abrir el proyecto en VS Code

La infraestructura de la campaña opera con servidores de comando y control que rotan dinámicamente desde septiembre de 2025. El grupo monitoriza activamente sus operaciones: durante el análisis de uno de los repositorios, detectaron la conexión procedente de un entorno cloud de AWS y bloquearon la respuesta en tiempo real, evidenciando que hay operadores humanos supervisando cada intento de análisis.

Señales de alerta y cómo protegerse

En los casos documentados donde el ataque no se materializó, la diferencia fue una decisión: no ejecutar el código sin auditarlo primero. Los investigadores detectaron inconsistencias que levantaron sospechas antes de que fuera demasiado tarde.

• Proceso de selección que exige ejecutar o abrir código del candidato en fases iniciales, antes de cualquier oferta formal
• Urgencia o presión para "probar" el proyecto o completar la tarea técnica rápidamente
• Repositorios con documentación genérica, generada por IA o con inconsistencias técnicas respecto a la supuesta empresa
• Entrevistadores con acento incoherente con su perfil declarado o con comportamientos que sugieren deepfake
• Ofertas especialmente atractivas para el perfil específico del objetivo, con condiciones difícilmente encontrables en el mercado

Si trabajas con código externo, estas medidas no son opcionales:

• Desactiva las tareas automáticas en VS Code Añade "task.autoDetect": "off" a tu configuración o revisa manualmente .vscode/tasks.json antes de abrir cualquier repositorio externo.
• Audita package.json antes de ejecutar npm install Revisa siempre los campos scripts y las dependencias antes de instalar. Un preinstall o postinstall no reconocido es una señal de alerta inmediata.
• Nunca ejecutes repositorios desconocidos en tu máquina host Usa siempre entornos aislados: máquinas virtuales o contenedores Docker sin acceso a tus credenciales del sistema anfitrión.
• Monitoriza conexiones salientes durante la ejecución Herramientas como Little Snitch (macOS) o simples capturas de tráfico pueden revelar conexiones a servidores externos inesperadas durante la apertura de un proyecto.
• Segmenta credenciales en entornos de prueba Nunca uses cuentas de producción de AWS, Stripe u otros servicios en entornos donde ejecutas código de terceros. Las credenciales de prueba deben tener permisos mínimos y sin acceso a datos reales.

---

Conclusión: La campaña de Lazarus Group no explota vulnerabilidades técnicas desconocidas: explota el comportamiento estándar de los desarrolladores en procesos de selección reales. Esa es su fortaleza y también la razón por la que seguirá siendo efectiva mientras no se instale como hábito la auditoría de repositorios antes de ejecutarlos. Con 1.500 millones acumulados según el FBI, el modelo de negocio de Lazarus está demostrando ser extraordinariamente rentable. El punto crítico no es el malware. Es la confianza que se deposita en el proceso de selección, y el momento en que esa confianza se convierte en el vector de ataque más efectivo disponible.