Void Dokkaebi GitHub: El sofisticado ataque que infecta repositorios

En el ecosistema del desarrollo de software, la confianza es la moneda de cambio más valiosa. Compartimos código, clonamos repositorios y colaboramos en proyectos de código abierto bajo la premisa de que la comunidad actúa como un filtro natural contra la malicia. Sin embargo, un nuevo y sofisticado ataque atribuido al grupo norcoreano Void Dokkaebi (también conocido como Famous Chollima) ha dinamitado esta base de seguridad. El descubrimiento de la campaña Void Dokkaebi GitHub, detallado en informes técnicos publicados este 28 de abril de 2026, revela una evolución alarmante: el paso de ataques dirigidos a una infraestructura de malware autopropagable que convierte a los propios desarrolladores en vectores de infección involuntarios.

La trampa de Void Dokkaebi GitHub: Un espejismo profesional

La operación, bautizada por algunos investigadores como “Contagious Interview” (Entrevista Contagiosa), no comienza con un exploit de día cero o una vulnerabilidad compleja en un servidor, sino con una simple solicitud de amistad en LinkedIn o un mensaje directo en plataformas profesionales. Los atacantes de Void Dokkaebi se hacen pasar por reclutadores de firmas punteras en Inteligencia Artificial y criptomonedas, sectores donde la competencia por el talento es feroz y las ofertas salariales son astronómicas.

El gancho es una “prueba técnica” o “examen de codificación”. Se le pide al desarrollador que clone un repositorio desde GitHub o GitLab para revisar un error, optimizar una función o implementar una nueva característica. Estos repositorios parecen legítimos a simple vista; contienen archivos README.md bien redactados, estructuras de carpetas convencionales y un historial de commits que simula actividad real. Sin embargo, en su interior yace una de las tácticas más ingeniosas de la ingeniería social moderna vinculada a Void Dokkaebi GitHub.

Anatomía técnica: El abuso de las tareas de Visual Studio Code

El núcleo técnico de este ataque reside en la explotación de una característica de automatización omnipresente en el editor favorito de la comunidad: Visual Studio Code (VS Code). Los atacantes incluyen una carpeta oculta denominada .vscode/ que contiene un archivo tasks.json malicioso.

En condiciones normales, este archivo se utiliza para automatizar tareas como la compilación de código o la ejecución de pruebas unitarias. No obstante, los operadores de Void Dokkaebi configuran estas tareas con la propiedad "runOn": "folderOpen". Esto significa que en el momento en que un desarrollador abre la carpeta del proyecto en su entorno local y acepta el prompt de “Workspace Trust” (Confianza del Espacio de Trabajo), el código malicioso se ejecuta automáticamente sin necesidad de que la víctima compile o ejecute una sola línea del programa.

• Ejecución silenciosa: La tarea maliciosa puede descargar un payload desde un servidor remoto o ejecutar un script de shell (como un archivo .bat o .sh) oculto en el propio repositorio.
• Evasión de detección: Al utilizar herramientas legítimas del sistema operativo y del IDE, el ataque a menudo pasa desapercibido para los antivirus tradicionales que buscan ejecutables sospechosos, no archivos de configuración JSON.
• Persistencia: Una vez que la tarea se ejecuta, instala un backdoor en el sistema que permite al atacante mantener el acceso incluso después de que el repositorio sea eliminado.

El innovador mecanismo de autopropagación

Lo que diferencia a la campaña de Void Dokkaebi GitHub de cualquier otro ataque previo de Corea del Norte es su naturaleza “tipo gusano”. No se trata solo de infectar a un individuo, sino de usar su máquina para infectar al resto de la comunidad. Una vez que el sistema del desarrollador está comprometido, el malware despliega una herramienta de manipulación del historial de Git.

Esta herramienta escanea los repositorios locales de la víctima y, de forma automatizada, inyecta el archivo tasks.json malicioso o fragmentos de JavaScript ofuscado en archivos de configuración populares como postcss.config.mjs, tailwind.config.js o next.config.mjs. Para evitar sospechas, el malware utiliza técnicas de reescritura de historial (similar a git filter-repo), alterando los commits antiguos para que parezca que el código malicioso siempre estuvo allí. Además, emplea el flag --no-verify para saltarse los hooks de pre-commit y los controles de seguridad de CI/CD que el desarrollador pudiera tener instalados.

Manipulación del historial y el factor de “limpieza”

La sofisticación técnica alcanza su cenit en la forma en que ocultan su rastro. Los investigadores han identificado más de 101 instancias de una herramienta de manipulación de commits que retrocede la fecha de los cambios inyectados entre 5 y 35 días. Al hacer esto, el código malicioso se mezcla con el historial legítimo, dificultando enormemente que una revisión manual detecte cuándo o quién introdujo la vulnerabilidad. Cuando el desarrollador infectado realiza un git push a su propia organización o contribuye a un proyecto de código abierto, la infección se propaga a cada nuevo usuario que clone ese repositorio, creando una cadena de suministro contaminada a una escala masiva.

Datos clave del impacto identificado hasta hoy:

• Más de 750 repositorios comprometidos en plataformas públicas.
• Más de 500 configuraciones de tareas de VS Code maliciosas activas.
• Infección confirmada en repositorios de organizaciones de renombre como DataStax y Neutralinojs.

DEV#POPPER: El troyano de acceso remoto (RAT)

El objetivo final de Void Dokkaebi GitHub no es solo la destrucción, sino el espionaje estratégico y el robo de activos financieros. El payload principal entregado en esta campaña es una variante de DEV#POPPER, un troyano de acceso remoto (RAT) altamente modular escrito en Node.js o Python según el entorno de la víctima.

DEV#POPPER otorga a los atacantes control total sobre la máquina del desarrollador, permitiéndoles:

1. Robo de credenciales: Extracción de claves de carteras de criptomonedas (MetaMask, Phantom) y claves SSH almacenadas en el sistema.
2. Exfiltración de código: Acceso a repositorios privados de la empresa para la que trabaja el desarrollador, facilitando futuros ataques a la cadena de suministro corporativa.
3. Captura de datos en tiempo real: Keyloggers, captura de pantalla y monitoreo del portapapeles para interceptar contraseñas de un solo uso (OTP).

Infraestructura en la Blockchain: Un blindaje contra bajas (takedowns)

Para asegurar que su infraestructura de comando y control (C2) sea resiliente, Void Dokkaebi ha recurrido a la tecnología blockchain. En lugar de depender de dominios web tradicionales que pueden ser dados de baja rápidamente por las autoridades, los atacantes utilizan redes como Tron, Aptos y Binance Smart Chain para alojar partes de su infraestructura de entrega y para “resolver” las direcciones IP de sus servidores finales. Al utilizar smart contracts o metadatos de transacciones para almacenar las rutas de sus payloads, hacen que sea técnicamente imposible para los defensores “apagar” la campaña de forma centralizada.

Impacto en el ecosistema Open Source y corporativo

La caída de proyectos como Neutralinojs —que cuenta con miles de estrellas en GitHub— bajo esta táctica demuestra que ningún proyecto es demasiado grande o seguro. En el caso de Neutralinojs, los atacantes lograron realizar un “force-push” de commits maliciosos en cuatro repositorios simultáneamente en un estallido automatizado el pasado marzo. El ataque permaneció oculto durante tres días, tiempo suficiente para que cientos de desarrolladores clonaran la versión infectada.

Para las empresas, el riesgo es existencial. Un solo desarrollador infectado a través de una falsa entrevista de Void Dokkaebi GitHub puede abrir las puertas de toda la infraestructura CI/CD de la compañía. Si el atacante obtiene las claves de firma de código, podría distribuir actualizaciones maliciosas a millones de usuarios finales, transformando una brecha individual en un desastre global de ciberseguridad.

Cómo protegerse ante la amenaza de Void Dokkaebi

La sofisticación de esta campaña exige un cambio en la mentalidad de los desarrolladores y las organizaciones de seguridad. Ya no basta con confiar en la reputación de un perfil de LinkedIn o en la apariencia de un repositorio.

Medidas de mitigación individuales:

• Desconfiar de los exámenes externos: Nunca clone y abra un repositorio de un tercero desconocido en su máquina principal. Utilice siempre entornos aislados (Sandbox) o máquinas virtuales desechables para pruebas técnicas.
• Configurar el “Workspace Trust”: Nunca active el modo de confianza en VS Code para repositorios que no haya auditado previamente. Si el editor le pregunta si confía en los autores, la respuesta por defecto debe ser “No”.
• Revisar archivos ocultos: Antes de abrir un proyecto, inspeccione la existencia de carpetas como .vscode/ o .idea/ y verifique el contenido de los archivos JSON de tareas y lanzamientos.

Medidas para organizaciones:

• Protección de ramas (Branch Protection): Implementar políticas estrictas que prohíban los force-pushes y requieran revisiones de código obligatorias por parte de múltiples pares antes de cualquier fusión en ramas principales.
• Monitoreo de CI/CD: Utilizar herramientas que detecten cambios inusuales en el historial de Git (como discrepancias en las marcas de tiempo de los commits) y escaneen automáticamente los archivos de configuración del IDE en busca de scripts sospechosos.
• Educación en ingeniería social: Capacitar a los equipos técnicos sobre las tácticas de reclutamiento de grupos como Void Dokkaebi, enfatizando que los procesos de contratación legítimos rara vez requieren la ejecución de código no verificado en máquinas locales.

La campaña de Void Dokkaebi GitHub marca un hito oscuro en la ciberseguridad de 2026. Al convertir la curiosidad y la ambición profesional en armas, y al utilizar herramientas de autopropagación que contaminan el tejido mismo del software libre, este grupo norcoreano ha demostrado que la frontera entre una entrevista de trabajo y una catástrofe digital es hoy más delgada que nunca. La comunidad de desarrollo debe responder con una vigilancia renovada y una arquitectura de “confianza cero” que no se detenga en el servidor, sino que comience en el propio teclado del programador.