De acuerdo con el equipo de inteligencia de amenazas de Sophos X-Ops, esta operación, identificada como “Nickel Alley”, emplea una táctica cada vez más sofisticada basada en el engaño: los atacantes se hacen pasar por reclutadores o compañías legítimas para atraer talento tecnológico y comprometer sus equipos.
LinkedIn, GitHub y npm: el ecosistema del engaño
La investigación revela que los ciberdelincuentes han construido un esquema coordinado que replica el entorno real de reclutamiento y desarrollo de software.
En ataques dirigidos, el grupo crea páginas de empresa falsas en LinkedIn para ganar credibilidad y contactar a posibles víctimas, mientras mantiene cuentas en GitHub desde donde distribuye repositorios con código malicioso.
Además, Sophos identificó el uso de la táctica conocida como “ClickFix”, mediante la cual los atacantes presentan supuestas pruebas técnicas o evaluaciones de habilidades laborales que, en realidad, sirven como vehículo para infectar los equipos de desarrolladores de software, programadores y profesionales de TI.
A esto se suman ataques oportunistas en el ecosistema de desarrollo, como:
Compromiso de repositorios legítimos de paquetes npm
Creación de paquetes falsos mediante typosquatting, que imitan nombres de librerías populares legítimas para engañar a los usuarios
Ofertas laborales: el nuevo gancho para ciberataques
Los atacantes contactan a desarrolladores a través de plataformas profesionales y los invitan a participar en procesos de selección. Como parte de estos, solicitan ejecutar código o descargar proyectos que contienen malware.
Una vez dentro, pueden:
Robar credenciales
Obtener acceso a billeteras digitales
Sustraer criptomonedas
Comprometer sistemas personales y corporativos
Los expertos de detección de amenazas de Sophos advierten que esta campaña refleja una tendencia creciente en ciberseguridad: ataques que no dependen de vulnerabilidades técnicas, sino de la manipulación de procesos legítimos.
Bajo la estrategia conocida como “fake it till you make it”, los atacantes construyen identidades creíbles, simulan procesos de reclutamiento reales e incluso interactúan con las víctimas durante semanas para generar confianza.
La investigación destaca que los desarrolladores son objetivos especialmente atractivos, ya que suelen:
Tener acceso a sistemas críticos
Manejar credenciales o contraseñas sensibles
Ejecutar código de terceros como parte de su trabajo
Operar con activos digitales o criptomonedas
Recomendaciones para evitar caer en la trampa
Ante este panorama, Sophos recomienda a profesionales y empresas en México:
Verificar la autenticidad de reclutadores y empresas
Evitar ejecutar código de repositorios desconocidos
Analizar pruebas técnicas en entornos aislados
Revisar cuidadosamente dependencias y paquetes npm
Implementar soluciones de ciberseguridad con capacidades de detección avanzada
A medida que crece el ecosistema tecnológico y el uso de criptomonedas, este tipo de ataques podría intensificarse en México y América Latina, afectando tanto a talento independiente como a empresas.
Consulta la investigación completa en: https://www.sophos.com/es-es/blog/nickel-alley-strategy-fake-it-til-you-make-it0
Redacción C21
