Advertencia a freelancers: recibí una invitación en Upwork titulada Experienced Node.js Coder Needed for Bug Fix con un pago fijo de 760 USD y un enlace a Dropbox. A simple vista parecía legítima pero varias señales no encajaban: presupuesto irreal para un arreglo menor, insistencia en descargar y ejecutar un ZIP de inmediato y un perfil nuevo sin verificación de pago.

En lugar de ejecutar el archivo inspeccioné el contenido del paquete. Encontré que node/helpers/css.js lee un archivo llamado public/css/types.txt y lo ejecuta con eval solo en entornos Windows. Ese types.txt no es CSS sino JavaScript ofuscado que extrae archivos ZIP ocultos como js.zip node.zip e i.zip y luego lanza ejecutables de Windows de forma silenciosa usando cmd.exe /c start. El proyecto incluso incluye un binario de 7-Zip para descomprimir esos archivos localmente.

Ese patrón de ofuscación más zips ocultos más el lanzamiento desvinculado de .exe es exactamente el comportamiento de un dropper o backdoor. He marcado la oferta y la he reportado a Upwork Trust & Safety para que puedan advertir a otros usuarios y tomar medidas.

Lecciones para freelancers: nunca ejecutar código de desconocidos sin inspeccionarlo primero. Busquen señales de alarma como pago no verificado, pagas elevadas por trabajos triviales o presión para ejecutar código de inmediato. Abran los archivos en texto, revisen scripts de package.json, busquen eval, ofuscación y binarios inesperados. Si algo huele mal deténganse, investiguen y reporten.

En Q2BSTUDIO somos una empresa de desarrollo de software y aplicaciones a medida especializada en software a medida, inteligencia artificial y ciberseguridad. Ofrecemos servicios profesionales de pentesting y protección que ayudan a detectar y mitigar amenazas como la descrita, y también trabajamos con servicios cloud aws y azure y soluciones de inteligencia de negocio y power bi. Conozca nuestras capacidades en ciberseguridad y pentesting en ciberseguridad y pentesting y descubra cómo desarrollamos aplicaciones a medida en aplicaciones y software a medida. También implementamos soluciones de ia para empresas, agentes IA, servicios inteligencia de negocio y automatización para garantizar productos robustos y seguros.

Protejan su trabajo y su reputación: inspeccionen antes de ejecutar y compartan advertencias con la comunidad. Si necesita apoyo en seguridad, desarrollo de aplicaciones a medida o proyectos de inteligencia artificial, en Q2BSTUDIO estamos para ayudar.