Me dejaron en shock con el hackeo más brutal y sofisticado que jamás imaginé

«Me la pusieron bien dura con el hackeo más cabrón que he visto en mi vida», contó turshija, un dev que sabe un buen de estafas, pero esta vez se llevó tremendo madrazo. Resulta que lo engañaron con un ataque súper bien armado que le jaló 634 contraseñas del Chrome, el llavero de macOS y hasta la info de su wallet MetaMask.

Todo empezó con un “reclutador” que lo llamó para una supuesta chamba de frontend. La empresa parecía de verdad: tenía web chida, fotos del equipo, y hasta le hicieron dos entrevistas bien formales. La primera con recursos humanos y la segunda con dos ingenieros en videollamada, uno de ellos con foto y todo en la página oficial. Todo estaba a toda madre.

Las primeras pláticas fueron super normales, disfrutables, como las de cualquier chamba bien chida. Al final de la segunda entrevista, le dieron un repo de GitHub para hacer una prueba rápida. Uno de los entrevistadores hasta bromeó “revísalo por puertas traseras”, justo cuando turshija hablaba de las estafas para programadores.

Esa frase fue una trampa. Lo bajó de guardia en el momento exacto.

El repo principal se veía limpio, pero el malware andaba escondido en una dependencia oculta, un paquete llamado ‘winston-middleware’ que traía otro llamado ‘next-runtimejs’. Al correr el proyecto, un script bajaba en secreto una puerta trasera.

Lo único raro fue que macOS le pidió permiso para correr algo en segundo plano, y si cualquiera más lo hubiera visto, seguro habría dado clic sin pensarlo. Pero después de dos entrevistas con gente en la que confías un buen, pues uno baja la guardia. Era justo lo que ellos querían.

Turshija desconectó internet rápido, pero ya para entonces los hackers tenían 634 contraseñas del Chrome, todo el llavero de macOS (que guarda todas las claves, incluso las que abren las contraseñas del navegador) y datos de su MetaMask.

El malware no era nada improvisado, era un programa bien acabado, con su cifrado y comandos para ejecutar cosas a distancia, robar archivos y atacar wallets de criptomonedas.

El ataque no fue casualidad: sitio web falso, perfiles fakes en LinkedIn, ingenieros con apariencia real, entrevistas de varias fases para ganarse la confianza. Todo para que el dev ejecutara el código maldito.

Turshija publicó los nombres y versiones de los paquetes maliciosos (winston-middleware v4.5.3 y next-runtimejs v1.0.3) y reportó todo a npm y GitHub.

Lo peor, dijo él, es que es justamente el tipo que se dedica a cazar este tipo de ataques. Ya había atrapado estafas antes, revisa repos antes de correrlos, y hasta le hicieron chiste de las puertas traseras en la llamada. Y aún así, se lo llevaron al baile.

Este tipo de ataques ya tienen nombre y apellido: es el rollo bien conocido del Grupo Lazarus, que antes habían atacado con el malware “Mach-O Man” en macOS usando la misma técnica de hacerte confiar con infraestructura falsa para que tú mismo lo ejecutes.

Turshija no dijo quién fue exactamente, pero su historia muestra cómo ahora los hackers ya no atacan tanto la tecnología, sino a las personas que la crean, con esta técnica bien sofisticada que te hace bajar la guardia hasta al más cabrón.