Una puerta trasera en una oferta de empleo de LinkedIn
Patrón de ataque y prevalencia
- Muchos comentaristas informan estafas casi idénticas: “reclutadores” de LinkedIn (y a veces de Upwork/email) para empleos de crypto/web3 que envían repos o “clientes VPN” y presionan a los candidatos para que ejecuten código localmente.
- Las tácticas incluyen: repos de PoC rotos, “por favor corrige módulos obsoletos / instalación rota”, scripts falsos de descarga de VPN y proyectos que solicitan conexiones de wallet o auto-scripts del IDE.
- Varios señalan que esto ya es común, especialmente en torno a crypto y gaming, y que apunta específicamente a desarrolladores y mantenedores que pueden tener credenciales o acceso a la cadena de suministro.
Vector técnico y riesgos de npm/cadena de suministro
- Vector principal: scripts maliciosos de ciclo de vida de npm (
prepareetc.) que se ejecutan connpm install, dando ejecución remota de código y exfiltración/persistencia de datos. - Algunos argumentan que esto es un defecto de diseño de npm; otros dicen que cualquier sistema de compilación/pruebas puede ejecutar código arbitrario, y que npm solo es el más popular y el que más cambios tiene.
- Se discute npm v12 y sus “valores predeterminados más seguros”, así como la compensación entre romper flujos de trabajo y reducir la superficie de ataque.
- Se destaca que los agentes LLM que ejecutan automáticamente
npm installen repos son un nuevo amplificador de riesgo.
Comportamiento de la plataforma: LinkedIn, GitHub, Microsoft
- Varios informes indican que repos maliciosos y cuentas falsas de reclutadores siguieron activos incluso después de ser reportados; las eliminaciones son lentas o inexistentes.
- Se critica a LinkedIn por: verificación de identidad débil, no permitir que las empresas desautoricen empleados falsos, mala gestión de abusos y un volumen creciente de estafas y contenido laboral de baja calidad.
- La gestión de GitHub de los repos maliciosos se percibe como lenta; algunos sugieren que, irónicamente, el DMCA es más efectivo que los reportes de abuso.
Aplicación de la ley y “cyber 911”
- Hay consenso en que esto es claramente delictivo, pero la aplicación práctica es rara, especialmente cuando los atacantes están en jurisdicciones poco cooperativas.
- Debate sobre un “cyber 911” global o nacional para una respuesta coordinada, frente al escepticismo sobre financiación, abuso y extralimitación gubernamental.
- Se mencionan recursos de EE. UU. como FBI/IC3; las experiencias van desde “inútiles” hasta ocasionalmente útiles.
Impacto en desarrolladores y prácticas defensivas
- El mercado laboral duro y la desesperación hacen que la gente pase por alto señales de alarma; algunos cuentan que estuvieron a punto de caer en estas estafas.
- Defensas sugeridas: nunca ejecutar repos no confiables en la máquina principal; usar VMs/VPS desechables; leer primero los scripts de instalación/prueba; negarse a ejecutar código como parte de una “entrevista” sin filtrar.
- Algunos abogan por minimizar dependencias y gestores de paquetes, o por escanear y sandboxear todas las herramientas de desarrollo: “antivirus para desarrolladores”.