Security

Contagious Interview: malware que ataca desarrolladores

3 min de lectura

Resumen

Microsoft alertó sobre "Contagious Interview", una campaña activa desde al menos diciembre de 2022 que usa falsas ofertas laborales, pruebas técnicas y repositorios manipulados para infectar a desarrolladores con malware. El hallazgo importa porque estos profesionales suelen tener acceso a código fuente, secretos, pipelines de CI/CD y entornos cloud, por lo que una intrusión inicial a través del proceso de contratación puede escalar rápidamente al compromiso de toda la organización.

¿Necesita ayuda con Security?Hablar con un experto

Introducción

La investigación de amenazas más reciente de Microsoft destaca un riesgo creciente para las organizaciones que emplean desarrolladores de software: los atacantes ahora están abusando del propio proceso de contratación como vector de acceso inicial. La campaña Contagious Interview muestra cómo las entrevistas técnicas, los coding challenges y el contacto de reclutadores pueden convertirse en armas para comprometer endpoints de desarrolladores que a menudo tienen acceso a source code, pipelines de CI/CD, entornos cloud y secretos con privilegios.

Novedades

Microsoft afirma que la campaña ha estado activa al menos desde diciembre de 2022 y que todavía se sigue detectando en entornos de clientes. La operación apunta principalmente a desarrolladores de proveedores de soluciones empresariales y de empresas de medios y comunicaciones.

Las tácticas clave observadas incluyen:

  • Contacto falso de reclutadores que se hacen pasar por empresas de criptomonedas o de AI
  • Repositorios de código maliciosos alojados en GitHub, GitLab o Bitbucket
  • Paquetes NPM troyanizados usados como parte de evaluaciones para llevar a casa o coding tests
  • Abuso de tareas de Visual Studio Code, donde confiar en el autor de un repositorio puede activar archivos de configuración de tareas maliciosos
  • Comandos para copiar, pegar y ejecutar presentados como soluciones a problemas técnicos simulados en sitios falsos de entrevistas

Microsoft también observó varias cargas útiles y backdoors asociados con la campaña:

  • Invisible Ferret: un backdoor basado en Python usado para ejecución remota de comandos, reconocimiento y persistencia
  • FlexibleFerret: un backdoor modular disponible en variantes de Go y Python, con soporte para C2 cifrado, carga de plugins, exfiltración, persistencia y movimiento lateral

Por qué esto importa a los administradores de IT

Esta campaña es notable porque apunta a los usuarios durante un proceso de negocio de alta confianza y alta presión. Es más probable que los desarrolladores ejecuten código, instalen dependencias o confíen en repositorios cuando creen que están participando en una entrevista legítima.

Para los defensores, el riesgo es significativo:

  • Las máquinas de los desarrolladores suelen almacenar API keys, credenciales cloud, certificados de firma y datos de gestores de contraseñas
  • Los endpoints comprometidos pueden derivar en robo de source code, compromiso de pipelines o un acceso cloud más amplio
  • Los atacantes están recurriendo a tooling y flujos de trabajo legítimos, lo que dificulta más la detección que los métodos tradicionales de entrega de malware

Próximos pasos recomendados

Las organizaciones deben tratar los flujos de trabajo de reclutamiento como parte de su superficie de ataque.

Acciones inmediatas

  • Exigir que los coding tests y las asignaciones para llevar a casa se completen en entornos aislados y no persistentes como VMs desechables
  • Prohibir la ejecución de código proporcionado por reclutadores en estaciones de trabajo corporativas principales
  • Revisar cualquier repositorio externo antes de ejecutar scripts, tareas o instalaciones de dependencias
  • Capacitar a los desarrolladores para identificar señales de alerta como enlaces cortos, cuentas de repositorios nuevas, pasos de configuración inusuales o solicitudes para confiar en autores desconocidos

Controles de seguridad que conviene revisar

  • Asegurarse de que tamper protection, real-time AV y las actualizaciones de endpoint estén habilitados
  • Restringir scripting y runtimes como Node.js, Python y PowerShell donde sea posible
  • Considerar application control para bloquear la ejecución desde las carpetas Descargas y temporales
  • Supervisar patrones de download-and-execute, comportamiento sospechoso de repositorios y tráfico saliente hacia hosts de baja reputación
  • Reducir la exposición de secretos mediante credenciales de corta duración, almacenamiento basado en vault y MFA

Contagious Interview es un recordatorio de que los ataques modernos explotan cada vez más los flujos de trabajo del negocio, no solo las vulnerabilidades de software. Para los equipos de seguridad, proteger a los desarrolladores ahora también significa asegurar el proceso de entrevistas.

¿Necesita ayuda con Security?

Nuestros expertos pueden ayudarle a implementar y optimizar sus soluciones Microsoft.

Hablar con un experto

Manténgase actualizado sobre tecnologías Microsoft

Leer el artículo original de Microsoft Defender Experts and Microsoft Defender Security Research Team
SecurityMicrosoft Defendermalwaredeveloperssocial engineering

Artículos relacionados

Security

Compromiso de la cadena de suministro de Trivy

Microsoft ha publicado orientación de detección, investigación y mitigación sobre el compromiso de la cadena de suministro de Trivy de marzo de 2026, que afectó al binario de Trivy y a GitHub Actions relacionados. El incidente es importante porque convirtió una herramienta de seguridad de CI/CD de confianza en un arma para robar credenciales de pipelines de compilación, entornos en la nube y sistemas de desarrolladores mientras aparentaba ejecutarse con normalidad.

Security

Gobernanza de agentes de AI para alinear la intención

Microsoft describe un modelo de gobernanza para agentes de AI que alinea la intención del usuario, del desarrollador, basada en roles y organizacional. El marco ayuda a las empresas a mantener los agentes útiles, seguros y en cumplimiento al definir límites de comportamiento y un orden claro de prioridad cuando surgen conflictos.

Security

Microsoft Defender predictive shielding frena ransomware GPO

Microsoft detalló un caso real de ransomware en el que predictive shielding de Defender detectó el abuso malicioso de Group Policy Object antes de que comenzara el cifrado. Al reforzar la propagación de GPO e interrumpir cuentas comprometidas, Defender bloqueó alrededor del 97 % de la actividad de cifrado intentada y evitó que cualquier dispositivo fuera cifrado mediante la ruta de entrega por GPO.

Security

Seguridad para Agentic AI de Microsoft en RSAC 2026

En RSAC 2026, Microsoft presentó una estrategia integral para asegurar la adopción empresarial de Agentic AI, con el anuncio de la disponibilidad general de Agent 365 el 1 de mayo como plano de control para gobernar, proteger y supervisar agentes de AI a escala. La noticia importa porque refuerza la visibilidad y gestión del riesgo de AI en toda la empresa mediante herramientas como Security Dashboard for AI y Shadow AI Detection, ayudando a reducir la sobreexposición de datos, controlar accesos y responder a nuevas amenazas.

Security

Microsoft lanza CTI-REALM open source para detección AI

Microsoft ha presentado CTI-REALM, un benchmark open source que evalúa si los agentes de IA pueden crear y validar detecciones de seguridad de extremo a extremo a partir de informes reales de inteligencia de amenazas, en lugar de limitarse a responder preguntas teóricas. Esto importa porque ofrece a los equipos SOC una forma más práctica de medir el valor operativo de la IA en ingeniería de detección, incluyendo pasos clave como mapeo MITRE ATT&CK, consultas KQL y reglas Sigma en entornos Linux, AKS y Azure.

Security

Zero Trust for AI de Microsoft: taller y arquitectura

Microsoft presentó Zero Trust for AI (ZT4AI), una guía y arquitectura que adapta los principios de Zero Trust a entornos de IA para proteger modelos, agentes, datos y decisiones automatizadas frente a riesgos como prompt injection y data poisoning. Además, actualizó su Zero Trust Workshop con un nuevo pilar de IA y cientos de controles, lo que importa porque da a los equipos de seguridad y TI un marco práctico para evaluar riesgos, coordinar áreas de negocio y desplegar controles de seguridad de IA de forma más estructurada.