{"id":59,"date":"2026-02-26T18:49:29","date_gmt":"2026-02-26T18:49:29","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/02\/26\/microsoft-advierte-a-los-desarrolladores-sobre-repositorios-de-trabajos-falsos-de-next-js-que-entregan-malware-en-la-memoria-cyberdefensa-mx\/"},"modified":"2026-02-26T18:49:29","modified_gmt":"2026-02-26T18:49:29","slug":"microsoft-advierte-a-los-desarrolladores-sobre-repositorios-de-trabajos-falsos-de-next-js-que-entregan-malware-en-la-memoria-cyberdefensa-mx","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/02\/26\/microsoft-advierte-a-los-desarrolladores-sobre-repositorios-de-trabajos-falsos-de-next-js-que-entregan-malware-en-la-memoria-cyberdefensa-mx\/","title":{"rendered":"Microsoft advierte a los desarrolladores sobre repositorios de trabajos falsos de Next.js que entregan malware en la memoria \u2013 CYBERDEFENSA.MX"},"content":{"rendered":"<div id=\"articlebody\">\n<p>Una \u00abcampa\u00f1a coordinada dirigida a desarrolladores\u00bb utiliza repositorios maliciosos disfrazados de evaluaciones t\u00e9cnicas y proyectos Next.js leg\u00edtimos para enga\u00f1ar a las v\u00edctimas para que los ejecuten y establezcan un acceso persistente a las m\u00e1quinas comprometidas.<\/p>\n<p>\u00abLa actividad se alinea con un grupo m\u00e1s amplio de amenazas que utilizan se\u00f1uelos con temas laborales para integrarse en los flujos de trabajo rutinarios de los desarrolladores y aumentar la probabilidad de ejecuci\u00f3n de c\u00f3digo\u00bb, dijo el equipo de investigaci\u00f3n de seguridad de Microsoft Defender. <a href=\"https:\/\/www.microsoft.com\/en-us\/security\/blog\/2026\/02\/24\/c2-developer-targeting-campaign\/\" rel=\"noopener\" target=\"_blank\">dicho<\/a> en un informe publicado esta semana.<\/p>\n<p>El gigante tecnol\u00f3gico dijo que la campa\u00f1a se caracteriza por el uso de m\u00faltiples puntos de entrada que conducen al mismo resultado, donde el JavaScript controlado por el atacante se recupera en tiempo de ejecuci\u00f3n y se ejecuta para facilitar el comando y control (C2).<\/p>\n<p>Los ataques se basan en que los actores de amenazas establezcan repositorios falsos en plataformas de desarrolladores confiables como Bitbucket, usando nombres como \u00abCryptan-Platform-MVP1\u00bb para enga\u00f1ar a los desarrolladores que buscan trabajos para que se ejecuten como parte de un proceso de evaluaci\u00f3n.<\/p>\n<p>Un an\u00e1lisis m\u00e1s profundo de los repositorios identificados ha descubierto tres rutas de ejecuci\u00f3n distintas que, si bien se activan de diferentes maneras, tienen el objetivo final de ejecutar un JavaScript controlado por el atacante directamente en la memoria:<\/p>\n<ul>\n<li><strong>Ejecuci\u00f3n del espacio de trabajo de Visual Studio Code<\/strong>donde los proyectos de Microsoft Visual Studio Code (VS Code) con configuraci\u00f3n de automatizaci\u00f3n del espacio de trabajo se utilizan para ejecutar c\u00f3digo malicioso recuperado de un dominio Vercel tan pronto como el desarrollador abre y conf\u00eda en el proyecto. Esto implica el uso de runOn: \u00abfolderOpen\u00bb para configurar la tarea.<\/li>\n<li><strong>Ejecuci\u00f3n en tiempo de compilaci\u00f3n durante el desarrollo de aplicaciones<\/strong>donde se ejecuta manualmente el servidor de desarrollo a trav\u00e9s de \u00ab<a href=\"https:\/\/docs.npmjs.com\/cli\/v11\/commands\/npm-run\" rel=\"noopener\" target=\"_blank\">npm ejecutar desarrollador<\/a>\u00bb es suficiente para activar la ejecuci\u00f3n de c\u00f3digo malicioso incrustado en bibliotecas de JavaScript modificadas que se hacen pasar por jquery.min.js, lo que hace que busque un cargador de JavaScript alojado en Vercel. Luego, Node.js ejecuta la carga \u00fatil recuperada en la memoria.<\/li>\n<li><strong>Ejecuci\u00f3n de inicio del servidor mediante exfiltraci\u00f3n del entorno y ejecuci\u00f3n din\u00e1mica de c\u00f3digo remoto<\/strong>donde el inicio del backend de la aplicaci\u00f3n provoca que se ejecute una l\u00f3gica de carga maliciosa oculta dentro de un m\u00f3dulo de backend o un archivo de ruta. El cargador transmite el entorno del proceso al servidor externo y ejecuta JavaScript recibido como respuesta en la memoria dentro del proceso del servidor Node.js.<\/li>\n<\/ul>\n<div class=\"dog_two clear\">\n<div class=\"cf\"><a href=\"https:\/\/thehackernews.uk\/sse-customer-awards-d\" rel=\"nofollow noopener sponsored\" target=\"_blank\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEg5Ij_-TeqFMEsRFzgRRFzSRlVK6oHCncN_eJ2fkOdsA_1tN9HQbAlEEife2Z2JUt1lPv4st5n9KZP84jGEYY9Up6BQ7QE-N5rs6OhzL5thxGzVxnMx3JH9cGRLi9S5Kl-iV5PgjBeTdkBLnv_inF8UUAo88iqdmgJuPIc_6qiPyUMXwFyZWbZvkZkcRXSw\/s728-e100\/gartner-d.jpg\" width=\"729\" height=\"91\"\/><\/a><\/div>\n<\/div>\n<p>Microsoft se\u00f1al\u00f3 que los tres m\u00e9todos conducen a la misma carga \u00fatil de JavaScript que es responsable de crear perfiles del host y sondear peri\u00f3dicamente un punto final de registro para obtener un identificador \u00abinstanceId\u00bb \u00fanico. Este identificador se proporciona posteriormente en encuestas de seguimiento para correlacionar la actividad.<\/p>\n<p>Tambi\u00e9n es capaz de ejecutar JavaScript proporcionado por el servidor en la memoria, lo que en \u00faltima instancia allana el camino para un controlador de segunda etapa que convierte el punto de apoyo inicial en una v\u00eda de acceso persistente para recibir tareas contactando a un servidor C2 diferente y ejecut\u00e1ndolas en la memoria para minimizar dejar rastros en el disco.<\/p>\n<table cellpadding=\"0\" cellspacing=\"0\" class=\"tr-caption-container\" style=\"float: left;\">\n<tbody>\n<tr>\n<td style=\"text-align: center;\"><a href=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEhzGI9iV-bE1ntmMnQ-w-QwcSYnwzvYpiVHfVIm0cDwy2hnIQGYsjeRJ0Qy8WkM8NzqlrlnsFQNyfGXu1-M9nrKOEF9R1tn4eAzbQesV3nnJYbN5NzuJ_470pHUJk2i7wqBTTvjtC5suBVHkNYhRm3snmdBNYfP9wyBmMMo2ylqd79jYExs1mMFChG8rWt3\/s1700-e365\/ms.jpg\" style=\"clear: left; display: block; margin-left: auto; margin-right: auto;  text-align: center;\"><img decoding=\"async\" src=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEhzGI9iV-bE1ntmMnQ-w-QwcSYnwzvYpiVHfVIm0cDwy2hnIQGYsjeRJ0Qy8WkM8NzqlrlnsFQNyfGXu1-M9nrKOEF9R1tn4eAzbQesV3nnJYbN5NzuJ_470pHUJk2i7wqBTTvjtC5suBVHkNYhRm3snmdBNYfP9wyBmMMo2ylqd79jYExs1mMFChG8rWt3\/s1700-e365\/ms.jpg\" alt=\"\" border=\"0\" data-original-height=\"654\" data-original-width=\"936\"\/><\/a><\/td>\n<\/tr>\n<tr>\n<td class=\"tr-caption\" style=\"text-align: center;\">Descripci\u00f3n general de la cadena de ataque<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p>\u00abEl controlador mantiene la estabilidad y la continuidad de la sesi\u00f3n, publica telemetr\u00eda de errores en un punto final de informes e incluye l\u00f3gica de reintento para mayor resistencia\u00bb, dijo Microsoft. \u00abTambi\u00e9n rastrea los procesos generados y puede detener la actividad administrada y salir limpiamente cuando se le indique. M\u00e1s all\u00e1 de la ejecuci\u00f3n de c\u00f3digo bajo demanda, la Etapa 2 admite el descubrimiento y la exfiltraci\u00f3n impulsados \u200b\u200bpor el operador\u00bb.<\/p>\n<p>Si bien el fabricante de Windows no atribuy\u00f3 la actividad a un actor de amenaza espec\u00edfico, el uso de tareas de VS Code y dominios de Vercel para organizar malware es una t\u00e1ctica que ha sido adoptada por piratas inform\u00e1ticos vinculados a Corea del Norte asociados con una campa\u00f1a de larga duraci\u00f3n conocida como Contagious Interview.<\/p>\n<p>El objetivo final de estos esfuerzos es obtener la capacidad de distribuir malware a los sistemas de los desarrolladores, que a menudo contienen datos confidenciales, como c\u00f3digo fuente, secretos y credenciales, que pueden brindar oportunidades para profundizar en la red de destino.<\/p>\n<table cellpadding=\"0\" cellspacing=\"0\" class=\"tr-caption-container\" style=\"float: left;\">\n<tbody>\n<tr>\n<td style=\"text-align: center;\"><a href=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEiDeT7l2usETy_DewWz7_4vz35sZ_Q8seXbyLcVjOHaQ637uzOE-DvumPIFjcW87HRrLarDcRKlN6DS4oqGlEHK-f880iYIKp0jOskjc9ZFRVPA2CRD5NzTikKWGKhQ2sitY_quuv85DYQb96i5qnYI_r9fxMDxOniY9egSfKOTEf_d16maJip8fdvHKSPP\/s1700-e365\/code.png\" style=\"clear: left; display: block; margin-left: auto; margin-right: auto;  text-align: center;\"><img decoding=\"async\" src=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEiDeT7l2usETy_DewWz7_4vz35sZ_Q8seXbyLcVjOHaQ637uzOE-DvumPIFjcW87HRrLarDcRKlN6DS4oqGlEHK-f880iYIKp0jOskjc9ZFRVPA2CRD5NzTikKWGKhQ2sitY_quuv85DYQb96i5qnYI_r9fxMDxOniY9egSfKOTEf_d16maJip8fdvHKSPP\/s1700-e365\/code.png\" alt=\"\" border=\"0\" data-original-height=\"831\" data-original-width=\"1331\"\/><\/a><\/td>\n<\/tr>\n<tr>\n<td class=\"tr-caption\" style=\"text-align: center;\">Usar las esencias de GitHub en VS Code task.json en lugar de las URL de Vercel<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p>En un informe publicado el mi\u00e9rcoles, Abstract Security <a href=\"https:\/\/www.abstract.security\/blog\/contagious-interview-evolution-of-vscode-and-cursor-tasks-infection-chains\" rel=\"noopener\" target=\"_blank\">dicho<\/a> ha observado un cambio en las t\u00e1cticas de los actores de amenazas, en particular un aumento en los servidores de preparaci\u00f3n alternativos utilizados en los comandos de tareas de VS Code en lugar de las URL de Vercel. Esto incluye el uso de scripts alojados en GitHub gists (\u00abgist.githubusercontent[.]com\u00bb) para descargar y ejecutar cargas \u00fatiles de la siguiente etapa. Un enfoque alternativo emplea acortadores de URL como short[.]gy para ocultar las URL de Vercel.<\/p>\n<p>La compa\u00f1\u00eda de ciberseguridad dijo que tambi\u00e9n identific\u00f3 un paquete npm malicioso vinculado a la campa\u00f1a denominada \u00abeslint-validator\u00bb que recupera y ejecuta una carga \u00fatil ofuscada desde una URL de Google Drive. La carga \u00fatil en cuesti\u00f3n es un conocido malware de JavaScript denominado BeaverTail.<\/p>\n<p>Adem\u00e1s, se ha descubierto que una tarea maliciosa de VS Code integrada en un repositorio de GitHub inicia una cadena de infecci\u00f3n exclusiva de Windows que ejecuta un script por lotes para descargar el tiempo de ejecuci\u00f3n de Node.js en el host (si no existe) y aprovecha el programa certutil para analizar un bloque de c\u00f3digo contenido en el script. Luego, el script decodificado se ejecuta con el tiempo de ejecuci\u00f3n de Node.js obtenido previamente para implementar un malware de Python protegido con PyArmor.<\/p>\n<p>La empresa de ciberseguridad Red Asgard, que tambi\u00e9n ha sido <a href=\"https:\/\/redasgard.com\/blog\/hunting-lazarus-part3-infrastructure-too-perfect\" rel=\"noopener\" target=\"_blank\">extensamente<\/a> rastreando el <a href=\"https:\/\/redasgard.com\/blog\/hunting-lazarus-part4-real-blood-on-the-wire\" rel=\"noopener\" target=\"_blank\">campa\u00f1a<\/a>, <a href=\"https:\/\/redasgard.com\/blog\/hunting-lazarus-part2-blockchain-dead-drop\" rel=\"noopener\" target=\"_blank\">dicho<\/a> Los actores de amenazas han aprovechado proyectos de c\u00f3digo VS dise\u00f1ados que utilizan el disparador runOn: \u00abfolderOpen\u00bb para implementar malware que, a su vez, consulta la cadena de bloques Polygon para recuperar JavaScript almacenado dentro de un contrato NFT para mejorar la resiliencia. La carga \u00fatil final es un ladr\u00f3n de informaci\u00f3n que recopila credenciales y datos de navegadores web, billeteras de criptomonedas y administradores de contrase\u00f1as.<\/p>\n<table cellpadding=\"0\" cellspacing=\"0\" class=\"tr-caption-container\" style=\"float: left;\">\n<tbody>\n<tr>\n<td style=\"text-align: center;\"><a href=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEg-1Gq2kRAtvxvGzceOsrKqOW6ASEfqBbDlWTp5My8OfE_cqI6F-XVhLlXMgD7j7LP8-ODUWZ8t6Si3d6bm-uYlx3vRweShLcNEi4v05LITSmYQgu_Jz2lf1vWXPGhdEazgDLHChTZwNkjffcr61W1IhYP61MQjVFfKgZnUh3RbZ-R7VkV9_MQuCV_sy8i1\/s1700-e365\/staging.jpg\" style=\"clear: left; display: block; margin-left: auto; margin-right: auto;  text-align: center;\"><img decoding=\"async\" src=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEg-1Gq2kRAtvxvGzceOsrKqOW6ASEfqBbDlWTp5My8OfE_cqI6F-XVhLlXMgD7j7LP8-ODUWZ8t6Si3d6bm-uYlx3vRweShLcNEi4v05LITSmYQgu_Jz2lf1vWXPGhdEazgDLHChTZwNkjffcr61W1IhYP61MQjVFfKgZnUh3RbZ-R7VkV9_MQuCV_sy8i1\/s1700-e365\/staging.jpg\" alt=\"\" border=\"0\" data-original-height=\"517\" data-original-width=\"1130\"\/><\/a><\/td>\n<\/tr>\n<tr>\n<td class=\"tr-caption\" style=\"text-align: center;\">Distribuci\u00f3n de la infraestructura de prueba utilizada por los actores de amenazas norcoreanos en 2025<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p>\u00abEsta campa\u00f1a dirigida a desarrolladores muestra c\u00f3mo un \u2018proyecto de entrevista\u2019 con tema de reclutamiento puede convertirse r\u00e1pidamente en un camino confiable hacia la ejecuci\u00f3n remota de c\u00f3digo al integrarse en flujos de trabajo rutinarios de desarrolladores, como abrir un repositorio, ejecutar un servidor de desarrollo o iniciar un backend\u00bb, concluy\u00f3 Microsoft.<\/p>\n<p>Para contrarrestar la amenaza, la compa\u00f1\u00eda recomienda que las organizaciones endurezcan los l\u00edmites de confianza del flujo de trabajo de los desarrolladores, apliquen una autenticaci\u00f3n s\u00f3lida y un acceso condicional, mantengan una estricta higiene de las credenciales, apliquen el principio de privilegio m\u00ednimo a las cuentas de los desarrolladores y creen identidades, y separe la infraestructura de construcci\u00f3n cuando sea posible. <\/p>\n<p>El desarrollo se produce cuando GitLab dijo que prohibi\u00f3 131 cuentas \u00fanicas que participaban en la distribuci\u00f3n de proyectos de c\u00f3digo malicioso vinculados a la campa\u00f1a Contagious Interview y el esquema fraudulento de trabajadores de TI conocido como Wagemole.<\/p>\n<p>\u00abLos actores de amenazas normalmente se originaban en VPN de consumidores cuando interactuaban con GitLab.com para distribuir malware; sin embargo, tambi\u00e9n se originaban de forma intermitente en infraestructuras VPS dedicadas y probablemente en direcciones IP de granjas de port\u00e1tiles\u00bb, Oliver Smith de GitLab. <a href=\"https:\/\/about.gitlab.com\/blog\/gitlab-threat-intelligence-reveals-north-korean-tradecraft\/\" rel=\"noopener\" target=\"_blank\">dicho<\/a>. \u00abLos actores de amenazas crearon cuentas utilizando direcciones de correo electr\u00f3nico de Gmail en casi el 90% de los casos\u00bb.<\/p>\n<div class=\"dog_two clear\">\n<div class=\"cf\"><a href=\"https:\/\/thehackernews.uk\/ztw-hands-on-d\" rel=\"nofollow noopener sponsored\" target=\"_blank\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEhC66R4wPZ8qksTJukqlCCmrHCUX65DnpWW1nKnkOhy0Poe219tacbU6h09qEfUgRHxoObBazf3SVJ4OAd_iVd0EFecj-vskZSfroQ7rh0XyxQd6Ep_zNgqDW95YU4zG1Gpin8rHPK8Rqu_1KV7tf-G-7JJhxOVHhRJDWnj0qfq82uZSAvAG2rxK-Fe5fwd\/s728-e100\/ThreatLocker-d.png\" width=\"729\" height=\"91\"\/><\/a><\/div>\n<\/div>\n<p>En m\u00e1s del 80% de los casos, seg\u00fan la plataforma de desarrollo de software, se dice que los actores de amenazas aprovecharon al menos seis servicios leg\u00edtimos para alojar cargas \u00fatiles de malware, incluidos JSON Keeper, Mocki, npoint.io, Render, Railway.app y Vercel. Entre ellos, Vercel fue el m\u00e1s utilizado, y los actores de amenazas confiaron en la plataforma de desarrollo web no menos de 49 veces en 2025.<\/p>\n<p>\u00abEn diciembre, observamos un grupo de proyectos que ejecutaban malware a trav\u00e9s de tareas de VS Code, ya sea canalizando contenido remoto a un shell nativo o ejecutando un script personalizado para decodificar malware a partir de datos binarios en un archivo de fuente falso\u00bb, agreg\u00f3 Smith, corroborando los hallazgos de Microsoft antes mencionados.<\/p>\n<table cellpadding=\"0\" cellspacing=\"0\" class=\"tr-caption-container\" style=\"float: left;\">\n<tbody>\n<tr>\n<td style=\"text-align: center;\"><a href=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEiK_akacWzNRfqsCmG9hjJ4E3DBAsPTBX2LqT5gM-l-RwC09hX-CA9NXT1KNbjWVXFimFqkeohaaZoDP139QdEreiZtDCsgeqoxhIdnFlaprfJ9UnvqETasJilpOgeDfsPelkK48zRIXc4Vr20pist0X1kbA85DtguXXqrPpStTFJE9QSAgi3Bqj48VhmDe\/s1700-e365\/gitlab.jpg\" style=\"clear: left; display: block; margin-left: auto; margin-right: auto;  text-align: center;\"><img decoding=\"async\" src=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEiK_akacWzNRfqsCmG9hjJ4E3DBAsPTBX2LqT5gM-l-RwC09hX-CA9NXT1KNbjWVXFimFqkeohaaZoDP139QdEreiZtDCsgeqoxhIdnFlaprfJ9UnvqETasJilpOgeDfsPelkK48zRIXc4Vr20pist0X1kbA85DtguXXqrPpStTFJE9QSAgi3Bqj48VhmDe\/s1700-e365\/gitlab.jpg\" alt=\"\" border=\"0\" data-original-height=\"540\" data-original-width=\"960\"\/><\/a><\/td>\n<\/tr>\n<tr>\n<td class=\"tr-caption\" style=\"text-align: center;\">Organigrama evaluado de la c\u00e9lula de trabajadores de TI de Corea del Norte<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p>GitLab tambi\u00e9n descubri\u00f3 un proyecto privado \u00abcasi con certeza\u00bb controlado por un ciudadano norcoreano que administra una c\u00e9lula de trabajadores de TI de Corea del Norte que conten\u00eda registros financieros y de personal detallados que mostraban ganancias de m\u00e1s de $ 1,64 millones entre el primer trimestre de 2022 y el tercer trimestre de 2025. El proyecto inclu\u00eda m\u00e1s de 120 hojas de c\u00e1lculo, presentaciones y documentos que rastreaban el desempe\u00f1o de los ingresos trimestrales de los miembros individuales del equipo.<\/p>\n<p>\u00abLos registros demuestran que estas operaciones funcionan como empresas estructuradas con objetivos y procedimientos operativos definidos y una estrecha supervisi\u00f3n jer\u00e1rquica\u00bb, se\u00f1al\u00f3 GitLab. \u00abLa capacidad demostrada de esta c\u00e9lula para cultivar facilitadores a nivel mundial proporciona un alto grado de resiliencia operativa y flexibilidad en el lavado de dinero\u00bb.<\/p>\n<table cellpadding=\"0\" cellspacing=\"0\" class=\"tr-caption-container\" style=\"float: left;\">\n<tbody>\n<tr>\n<td style=\"text-align: center;\"><a href=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEjkaDDJpUFQDARL2GFzzeKFuI_boqPfsVcugqB5J0hzPEuzhhCwycWvfJi4GuQW3vFRFZVIJ9dG-J7i8Esfkhb4v_Yi5oa2WWadbLXKbwQxvtcYbGfmfpo8mOs7Q5rc-xeqCrlr04eg_xR1_E92Z3y6SwwydG6V3QZlrszJ-QHZ2OJzbPvxtiQt1aZiZSxF\/s1700-e365\/okta.png\" style=\"clear: left; display: block; margin-left: auto; margin-right: auto;  text-align: center;\"><img decoding=\"async\" src=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEjkaDDJpUFQDARL2GFzzeKFuI_boqPfsVcugqB5J0hzPEuzhhCwycWvfJi4GuQW3vFRFZVIJ9dG-J7i8Esfkhb4v_Yi5oa2WWadbLXKbwQxvtcYbGfmfpo8mOs7Q5rc-xeqCrlr04eg_xR1_E92Z3y6SwwydG6V3QZlrszJ-QHZ2OJzbPvxtiQt1aZiZSxF\/s1700-e365\/okta.png\" alt=\"\" border=\"0\" data-original-height=\"747\" data-original-width=\"1224\"\/><\/a><\/td>\n<\/tr>\n<tr>\n<td class=\"tr-caption\" style=\"text-align: center;\">Una cuenta de GitHub asociada con un trabajador de TI de Corea del Norte<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p>En un informe publicado a principios de este mes, Okta dijo que la \u00abgran mayor\u00eda\u00bb de las entrevistas con trabajadores de TI no avanzan hacia una segunda entrevista u oferta de trabajo, pero se\u00f1al\u00f3 que est\u00e1n \u00abaprendiendo de sus errores\u00bb y que un gran n\u00famero de ellos buscan trabajo por contrato temporal como desarrolladores de software contratados por empresas de terceros para aprovechar el hecho de que es poco probable que apliquen verificaciones de antecedentes rigurosas.<\/p>\n<p>\u00abSin embargo, algunos actores parecen ser m\u00e1s competentes a la hora de crear personajes y pasar entrevistas de proyecci\u00f3n\u00bb, afirma. <a href=\"https:\/\/www.okta.com\/blog\/threat-intelligence\/the-north-korean-on-your-payroll\/\" rel=\"noopener\" target=\"_blank\">agregado<\/a>. Est\u00e1 en juego una especie de selecci\u00f3n natural del trabajador de TI. Los actores m\u00e1s exitosos son muy prol\u00edficos y programaron cientos de entrevistas cada uno.\u00bb<\/p>\n<\/div>\n","protected":false},"excerpt":{"rendered":"<p>Una \u00abcampa\u00f1a coordinada dirigida a desarrolladores\u00bb utiliza repositorios maliciosos disfrazados de evaluaciones t\u00e9cnicas y proyectos Next.js leg\u00edtimos para enga\u00f1ar a las v\u00edctimas para que los ejecuten y establezcan un acceso persistente a las m\u00e1quinas comprometidas. \u00abLa actividad se alinea con un grupo m\u00e1s amplio de amenazas que utilizan se\u00f1uelos con temas laborales para integrarse en [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":55,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[25],"tags":[51,24,53,59,57,52,60,61,50,58,55,54,56],"class_list":["post-59","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-noticias","tag-advierte","tag-cyberdefensa-mx","tag-desarrolladores","tag-entregan","tag-falsos","tag-los","tag-malware","tag-memoria","tag-microsoft","tag-next-js","tag-repositorios","tag-sobre","tag-trabajos"],"_links":{"self":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/59","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/comments?post=59"}],"version-history":[{"count":0,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/59\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media\/55"}],"wp:attachment":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media?parent=59"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/categories?post=59"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/tags?post=59"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}