Investigadores de Sophos alertaron sobre una campaña de ciberataques que utiliza empresas ficticias, ofertas laborales falsas y repositorios de código manipulados para engañar a desarrolladores de software y robar criptomonedas.
De acuerdo con el equipo de inteligencia de amenazas de Sophos X-Ops, esta operación, identificada como “Nickel Alley”, emplea una táctica cada vez más sofisticada basada en el engaño: los atacantes se hacen pasar por reclutadores o compañías legítimas para atraer talento tecnológico y comprometer sus equipos.
Plataformas utilizadas para el engaño
La investigación revela que los ciberdelincuentes han construido un esquema coordinado que replica el entorno real de reclutamiento y desarrollo de software. En ataques dirigidos, el grupo crea páginas de empresa falsas en LinkedIn para ganar credibilidad y contactar a posibles víctimas.
Además, mantienen cuentas en GitHub desde donde distribuyen repositorios con código malicioso. Sophos identificó el uso de la táctica conocida como “ClickFix”, mediante la cual los atacantes presentan supuestas pruebas técnicas que sirven como vehículo para infectar los equipos de programadores.
Métodos de infección y robo
A esto se suman ataques oportunistas en el ecosistema de desarrollo, como el compromiso de repositorios legítimos de paquetes npm. También se ha detectado la creación de paquetes falsos mediante typosquatting, que imitan nombres de librerías populares legítimas para engañar a los usuarios.
Los atacantes contactan a desarrolladores a través de plataformas profesionales y los invitan a participar en procesos de selección donde solicitan ejecutar código o descargar proyectos que contienen malware. Una vez dentro, pueden robar credenciales y obtener acceso a billeteras digitales.
Vulnerabilidad y recomendaciones de seguridad
Bajo la estrategia conocida como “fake it till you make it”, los atacantes construyen identidades creíbles e interactúan con las víctimas durante semanas para generar confianza. Los desarrolladores son objetivos atractivos ya que suelen tener acceso a sistemas críticos y manejar contraseñas sensibles.
Ante este panorama, Sophos recomienda verificar la autenticidad de reclutadores y analizar pruebas técnicas en entornos aislados. Es fundamental revisar cuidadosamente las dependencias y paquetes npm para evitar que este tipo de ataques se intensifique en México y América Latina.
