DEV Community

Christian Marbel Vega Mamani
Christian Marbel Vega Mamani

Posted on

🛡️ Threat Intel Diario — 18/03/2026

#security

🤖 Auto-generated daily threat intelligence digest — March 18, 2026

🚨 Alertas cibernéticas diarias: amenazas en la nube y vulnerabilidades
Fuentes: AWS Security, Bitdefender Labs, Cisco Security Advisories, Kaspersky Securelist, MSRC Microsoft, SANS ISC, SentinelOne Labs, Talos Intelligence, Unit 42 (Palo Alto)
El día de hoy, nos encontramos frente a una mezcla de amenazas cibernéticas que buscan aprovechar las vulnerabilidades en la nube y explotar debilidades en sistemas de seguridad. Las tácticas de los ciberdelincuentes incluyen ataques de ransomware, malware y phishing, para robar información confidencial y extorsionar a las víctimas. En este resumen diario, exploraremos las últimas notificaciones de seguridad y advertencias de threat intelligence.

Vulnerabilidad — Scans para "adminer", (Wed, Mar 18th)

🔍 Qué está pasando

  • Atacantes están realizando escaneos en trampas de honeypots con el objetivo de encontrar instancias de "adminer".
  • "Adminer" es una herramienta de administración de bases de datos similar a phpMyAdmin, pero con una rica historia de vulnerabilidades.
  • El objetivo de los atacantes parece ser explotar vulnerabilidades en "adminer" para acceder a sistemas sensibles.

⚠️ Por qué importa

Las vulnerabilidades en "adminer" pueden permitir a los atacantes acceder a bases de datos sensibles, lo que puede tener graves consecuencias para las organizaciones afectadas. Además, la presencia de escaneos en trampas de honeypots indica que los atacantes están buscando sistemáticamente vulnerabilidades en esta herramienta, lo que aumenta el riesgo de una posible explotación en el futuro.

⚙️ Cómo funciona

"Adminer" es una herramienta web que permite la administración de bases de datos MySQL, PostgreSQL y otros sistemas de gestión de bases de datos. Sin embargo, debido a su rica historia de vulnerabilidades, es posible que haya errores de seguridad críticos en versiones antiguas o no actualizadas de la herramienta. Los atacantes pueden explotar estas vulnerabilidades para acceder a bases de datos sensibles y comprometer la seguridad de la organización.

👁️ Qué vigilar

  • IOC: Escaneos en trampas de honeypots con el objetivo de encontrar instancias de "adminer".
  • Parches disponibles: Asegúrese de que todas las instancias de "adminer" están actualizadas con las últimas versiones y parches de seguridad.
  • Recomendaciones: Verifique la configuración de seguridad de todas las instancias de "adminer" y asegúrese de que estén protegidas con contraseñas fuertes y autenticación segura.

🔗 Fuente consultada: SANS ISC

ThreatIntel — ISC Stormcast For Wednesday, March 18th, 2026 https://isc.sans.edu/podcastdetail/9854, (Wed, Mar 18th)

🔍 Qué está pasando

  • El podcast del ISC Stormcast de hoy informa sobre una serie de ataques de phishing dirigidos a organizaciones de salud y educación en Estados Unidos.
  • Los atacantes están utilizando un dominio de phishing que imita a una empresa de software de salud, con el objetivo de obtener credenciales de acceso a sistemas de salud.
  • El dominio de phishing utilizado es "softwarehealthcare[.]info" y se ha observado que está siendo utilizado desde al menos el 10 de marzo de 2026.

⚠️ Por qué importa

Las organizaciones de salud y educación deben estar especialmente alertas a estos ataques de phishing, ya que pueden comprometer la seguridad de la información de los pacientes y estudiantes. Si se accede a sistemas de salud o educación con credenciales obtenidas de manera fraudulenta, los atacantes pueden obtener acceso a información confidencial y comprometer la seguridad de la organización.

Además, la utilización de un dominio de phishing que imita a una empresa de software de salud puede llevar a los usuarios a descuidar sus habilidades de vigilancia y prevención de ataques, lo que puede hacer que sean más vulnerables a este tipo de ataques.

⚙️ Cómo funciona

El ataque de phishing funciona de la siguiente manera: los atacantes envían correos electrónicos a los usuarios con el objetivo de que accedan al dominio de phishing y proporcionen sus credenciales de acceso. Una vez que el usuario ingresa sus credenciales, los atacantes pueden acceder a los sistemas de salud o educación y obtener acceso a información confidencial.

El dominio de phishing utilizado es un dominio de tipo "lookalike" que imita a una empresa de software de salud legítima. Esto puede llevar a los usuarios a creer que el dominio es confiable y que es seguro proporcionar sus credenciales.

👁️ Qué vigilar

  • IOCs: El dominio de phishing utilizado es "softwarehealthcare[.]info".
  • Parches disponibles: No se han reportado parches disponibles para este ataque.
  • Recomendaciones concretas: Las organizaciones de salud y educación deben estar especialmente alertas a este tipo de ataques de phishing y deben tomar medidas para proteger la seguridad de la información de los pacientes y estudiantes. Esto puede incluir la implementación de tecnologías de detección de phishing, la capacitación de los usuarios para identificar y evitar los ataques de phishing, y la realización de simulacros de ataques

🔗 Fuentes consultadas (2):

ThreatIntel — IPv4 Mapped IPv6 Addresses, (Tue, Mar 17th)

🔍 Qué está pasando

  • Atacantes están utilizando direcciones IPv4 mapeadas a IPv6 para posiblemente ocultar sus ataques.
  • Estas direcciones están definidas en RFC 4038, una de las muchas mecánicas de transición utilizadas para mantener la compatibilidad hacia atrás mientras se implementa IPv6.
  • Se han detectado escaneos de URLs "/proxy/" que involucran estas direcciones.

⚠️ Por qué importa

El uso de direcciones IPv4 mapeadas a IPv6 puede dificultar la detección de ataques, ya que estas direcciones pueden ser difíciles de detectar en sistemas de seguridad tradicionales. Además, la creciente adopción de IPv6-only networking code en aplicaciones modernas puede aumentar la superficie de ataque para estos tipos de ataques.

⚙️ Cómo funciona

IPv4-mapped IPv6 addresses son direcciones IPv6 que contienen el valor de una dirección IPv4 mapeada en los 32 bits menos significativos de la dirección IPv6. Esto permite que los sistemas IPv6 interactúen con sistemas IPv4 de manera transparente. Sin embargo, esta característica también puede ser utilizada para ocultar la identidad de los atacantes, ya que estas direcciones pueden ser difíciles de resolver en sistemas de seguridad.

👁️ Qué vigilar

  • IOCs: Direcciones IPv4 mapeadas a IPv6 que se han detectado en escaneos de URLs "/proxy/".
  • Parches disponibles: No se han informado parches específicos para este tipo de ataques, pero se recomienda actualizar los sistemas a la última versión de IPv6.
  • Recomendaciones: Implementar mecanismos de detección y prevención de ataques que puedan utilizar IPv4-mapped IPv6 addresses, y asegurarse de que los sistemas de seguridad estén configurados para detectar estas direcciones.

🔗 Fuente consultada: SANS ISC

Vulnerabilidad — Cisco Catalyst SD-WAN Vulnerabilities

🔍 Qué está pasando

  • Se han encontrado múltiples vulnerabilidades en el Cisco Catalyst SD-WAN Manager (anteriormente SD-WAN vManage).
  • Estas vulnerabilidades podrían permitir a un atacante acceder al sistema afectado, elevar privilegios a root, acceder a información sensible y sobreescribir archivos arbitrarios.
  • Se refiere a la advisory de seguridad de Cisco con más detalles.

⚠️ Por qué importa

Las vulnerabilidades en el Cisco Catalyst SD-WAN Manager podrían tener un impacto significativo en las organizaciones que utilizan esta tecnología. Un atacante con acceso a estas vulnerabilidades podría obtener acceso no autorizado a información confidencial, comprometer la integridad del sistema y potencialmente causar daños a la reputación de la organización. Además, la capacidad de elevar privilegios a root permitiría a los atacantes realizar acciones maliciosas con total control sobre el sistema.

⚙️ Cómo funciona

Las vulnerabilidades en el Cisco Catalyst SD-WAN Manager se deben a fallos de implementación y diseño en el software. Un atacante podría aprovechar estas vulnerabilidades enviando solicitudes específicas al sistema, lo que permitiría acceder a información sensible y realizar cambios no autorizados en el sistema. La capacidad de sobreescribir archivos arbitrarios permitiría a los atacantes introducir malware o realizar cambios permanentes en el sistema.

👁️ Qué vigilar

  • Verifique la versión del software y aplique las actualizaciones disponibles de Cisco.
  • Esté atento a cualquier solicitud inusual o anormal en el sistema.
  • Asegúrese de que los usuarios y sistemas tengan acceso controlado y limitado para minimizar el riesgo de un ataque exitoso.

🔗 Fuente consultada: Cisco Security Advisories

Vulnerabilidad — CVE-2026-23241 audit: add missing syscalls to read class

🔍 Qué está pasando

  • Se publicó una nueva vulnerabilidad CVE-2026-23241.
  • La vulnerabilidad afecta a la clase de syscalls de lectura.
  • La información disponible indica que se trata de una vulnerabilidad de auditoría.

⚠️ Por qué importa

La vulnerabilidad CVE-2026-23241 puede permitir a atacantes explotar vulnerabilidades en sistemas operativos que no tienen en cuenta syscalls específicas de la clase de lectura. Esto podría llevar a la ejecución de código arbitrario, lo que puede tener consecuencias graves para la seguridad de las organizaciones y usuarios afectados.

⚙️ Cómo funciona

La vulnerabilidad se debe a la falta de consideración de syscalls específicas de la clase de lectura en la auditoría del sistema. Esto permite a un atacante explotar vulnerabilidades en el sistema operativo, lo que puede llevar a la ejecución de código arbitrario.

👁️ Qué vigilar

  • Verificar la disponibilidad de parches para la vulnerabilidad CVE-2026-23241.
  • Revisar la auditoría del sistema para asegurarse de que se estén considerando syscalls específicas de la clase de lectura.
  • Implementar medidas de seguridad adicionales para proteger contra ataques basados en esta vulnerabilidad.

🔗 Fuente consultada: MSRC Microsoft

Vulnerabilidad — CVE-2025-71239 audit: add fchmodat2() a la clase de atributos

🔍 Qué está pasando

  • Se ha publicado información sobre una vulnerabilidad en la clase de atributos fchmodat2().
  • La vulnerabilidad se identificó como CVE-2025-71239.
  • No se proporcionan detalles adicionales sobre la vulnerabilidad.

⚠️ Por qué importa

La publicación de información sobre esta vulnerabilidad puede indicar que es crítica y que las organizaciones deben estar preparadas para abordarla. Aunque no se proporcionan detalles, es probable que afecte a sistemas operativos Windows y que las organizaciones que utilizan esas plataformas deban tomar medidas para mitigar el riesgo.

⚙️ Cómo funciona

La vulnerabilidad se relaciona con la clase de atributos fchmodat2(), que se utiliza para cambiar los atributos de un archivo. Sin embargo, no se proporcionan detalles técnicos sobre cómo funciona la vulnerabilidad. Es probable que se trate de una vulnerabilidad de derechos de acceso, donde un atacante podría explotarla para modificar atributos de archivos sin permiso.

👁️ Qué vigilar

  • CVE-2025-71239: vigilar este ID de vulnerabilidad en la base de datos de vulnerabilidades de tu organización.
  • Parches disponibles: Microsoft probablemente publicará parches para esta vulnerabilidad en el futuro. Vigila los anuncios de parches de Microsoft para aplicarlos a tus sistemas operativos Windows.
  • Recomendaciones: Revisa tus políticas de acceso y permisos en los sistemas operativos Windows para asegurarte de que estén configurados de manera segura. Considera realizar un análisis de vulnerabilidades en tus sistemas para identificar y abordar cualquier riesgo potencial.

🔗 Fuente consultada: MSRC Microsoft

Vulnerabilidad — CVE-2026-4111 Libarchive: infinite loop denial of service in rar5 decompression via archive_read_data() in libarchive

🔍 Qué está pasando

  • Se ha descubierto una vulnerabilidad en la biblioteca Libarchive que afecta la descompresión de archivos RAR5.
  • La vulnerabilidad provoca un bucle infinito que puede provocar una denegación de servicio (DoS).
  • El CVE ID asignado es CVE-2026-4111.

⚠️ Por qué importa

La vulnerabilidad en Libarchive puede ser explotada por atacantes para provocar una denegación de servicio (DoS) en sistemas que utilizan la biblioteca para descomprimir archivos RAR5. Esto puede tener un impacto significativo en la disponibilidad de los servicios y aplicaciones que dependen de la biblioteca. Además, si la vulnerabilidad no se parchea a tiempo, los atacantes pueden aprovecharla para realizar ataques dirigidos contra sistemas específicos.

⚙️ Cómo funciona

La vulnerabilidad se produce en la función archive_read_data() de la biblioteca Libarchive, que se utiliza para descomprimir archivos RAR5. Cuando un atacante proporciona un archivo RAR5 malformado, la función archive_read_data() entra en un bucle infinito que consume recursos del sistema y provoca una denegación de servicio. La vulnerabilidad se puede explotar mediante un archivo RAR5 malformado que contenga un patrón específico de datos que causa el bucle infinito.

👁️ Qué vigilar

  • Parche disponible: Verifique si hay un parche disponible para la biblioteca Libarchive en su sistema.
  • Verifique la versión de Libarchive: Asegúrese de que la versión de Libarchive en su sistema es la más reciente y parcheada.
  • Revisión de código: Revisar el código que utiliza la biblioteca Libarchive para asegurarse de que no esté utilizando versiones anteriores de la biblioteca que sean vulnerables a esta vulnerabilidad.

🔗 Fuente consultada: MSRC Microsoft

Vulnerabilidad — CVE-2026-23066 rxrpc: Fix recvmsg() unconditional requeue

🔍 Qué está pasando

  • Se ha anunciado la vulnerabilidad CVE-2026-23066 en el componente rxrpc.
  • Se trata de una vulnerabilidad relacionada con la función recvmsg().
  • No hay detalles adicionales disponibles en la publicación.

⚠️ Por qué importa

La vulnerabilidad CVE-2026-23066 puede permitir a un atacante aprovechar la funcionalidad de reenvío de mensajes en el componente rxrpc. Esto podría llevar a la ejecución de código no autorizado, lo que podría tener graves consecuencias para la seguridad de la organización. Es importante abordar esta vulnerabilidad lo antes posible para evitar posibles ataques.

⚙️ Cómo funciona

La vulnerabilidad se encuentra en la función recvmsg() del componente rxrpc. Esta función se utiliza para recibir mensajes de otros procesos. Sin embargo, debido a un error en la implementación, la función puede reenviar mensajes sin realizar la debida validación, lo que permite a un atacante enviar comandos maliciosos y ejecutar código no autorizado.

👁️ Qué vigilar

  • CVE-2026-23066: vigilar la existencia de esta vulnerabilidad en los componentes rxrpc instalados.
  • Parche disponible: Microsoft no proporciona detalles sobre la disponibilidad de parches para esta vulnerabilidad en la publicación proporcionada.
  • Recomendación: Es fundamental mantener los componentes rxrpc actualizados y realizar revisiones de seguridad regulares para detectar y abordar posibles vulnerabilidades.

🔗 Fuente consultada: MSRC Microsoft

Vulnerabilidad — CVE-2026-1703 Limited path traversal when instalando archivos de rueda

🔍 Qué está pasando

  • Se identificó una vulnerabilidad en la instalación de archivos de rueda (wheel archives) que permite un acceso limitado a través de traversal de ruta.
  • La vulnerabilidad está asociada con el CVE-2026-1703.
  • No se proporcionan detalles adicionales sobre la información publicada.

⚠️ Por qué importa

Esta vulnerabilidad puede permitir a un atacante realizar un acceso no autorizado a ciertas áreas del sistema, lo que podría llevar a la exfiltración de datos confidenciales o la ejecución de código malicioso. Además, si una organización utiliza archivos de rueda para instalar software o actualizar dependencias, esta vulnerabilidad podría ser explotada para comprometer el entorno de desarrollo.

⚙️ Cómo funciona

La vulnerabilidad se produce cuando se instalan archivos de rueda (con extensión .whl) en un entorno de Windows. Los archivos de rueda contienen un archivo de metadatos (con extensión .dist-info) que contiene información sobre la versión y la dependencia del archivo. Un atacante podría utilizar un archivo de rueda malicioso para realizar un acceso no autorizado a través de traversal de ruta, lo que permitiría acceder a archivos o directorios no autorizados.

👁️ Qué vigilar

  • Verificar la versión de las herramientas de instalación de Python para asegurarse de que estén actualizadas.
  • Utilizar un gestor de paquetes de Python seguro, como pip, para instalar archivos de rueda.
  • Revisar los archivos de rueda antes de instalarlos para asegurarse de que no contengan código malicioso.

🔗 Fuente consultada: MSRC Microsoft

CloudSecurity — AWS completa la segunda auditoría comunitaria GDV con aseguradoras participantes en Alemania

🔍 Qué está pasando

  • AWS completa la segunda auditoría comunitaria GDV con la participación de 36 aseguradoras de la industria alemán.
  • La auditoría abarca más del 63% del mercado alemán en términos de prima de seguro.
  • Participan más de la mitad de los aseguradores alemanes.

⚠️ Por qué importa

La auditoría comunitaria de GDV ofrece una seguridad adicional a las aseguradoras que participan, asegurando que sus datos y operaciones en AWS se encuentren en conformidad con las regulaciones y normas de la industria. Esto es especialmente importante para las organizaciones que manejan grandes cantidades de datos sensibles, como información de clientes y políticas de seguro.

⚙️ Cómo funciona

Las auditorías comunitarias de GDV implican una evaluación independiente de la conformidad de AWS con las regulaciones y normas de la industria alemán. Esta evaluación incluye la revisión de la arquitectura de seguridad, la implementación de controles de seguridad y la evaluación de la respuesta a incidentes de AWS. El objetivo es proporcionar una seguridad adicional a las aseguradoras que participan, asegurando que sus datos y operaciones en AWS se encuentren en conformidad con las regulaciones y normas de la industria.

👁️ Qué vigilar

  • Revisa la lista de aseguradoras participantes en la auditoría GDV para asegurarte de que tu organización esté cumpliendo con las regulaciones y normas de la industria.
  • Asegúrate de que tus controles de seguridad estén alineados con las mejores prácticas de la industria y cumplan con las regulaciones y normas de la industria alemán.
  • Considera participar en auditorías comunitarias o evaluar la conformidad de tu proveedor de servicios en la nube con las regulaciones y normas de la industria.

🔗 Fuente consultada: AWS Security

ThreatIntel — LLMs Fragiles: Fuzzing de Prompts Revela Debilidad en Modelos Abiertos y Cerrados

🔍 Qué está pasando

  • Un equipo de investigación de Unit 42 ha descubierto debilidades en modelos de inteligencia artificial de lenguaje (LLMs) utilizando un método de fuzzing inspirado en algoritmos genéticos.
  • El método de fuzzing se aplicó a modelos de LLMs tanto abiertos como cerrados.
  • No se proporciona un CVE ID específico.

⚠️ Por qué importa

La fragilidad de los LLMs puede tener graves implicaciones para la seguridad de los sistemas de inteligencia artificial generativa (GenAI). Los atacantes pueden aprovechar estas debilidades para llevar a cabo ataques de evasión y exfiltración de datos sensibles. Esto puede comprometer la confidencialidad y la integridad de la información sensible en las organizaciones que utilizan LLMs.

⚙️ Cómo funciona

El equipo de investigación de Unit 42 utilizó un método de fuzzing inspirado en algoritmos genéticos para generar una gran cantidad de promotores aleatorios y evaluar la respuesta de los modelos de LLMs. Esto permitió identificar patrones y debilidades en la respuesta de los modelos. El método se aplicó tanto a modelos de LLMs abiertos como cerrados, lo que sugiere que la fragilidad es un problema común en la industria.

👁️ Qué vigilar

  • IOCs: No se proporcionan IOCs específicos en la noticia.
  • Parches: No se mencionan parches disponibles para abordar la debilidad.
  • Recomendaciones: Las organizaciones que utilizan LLMs deben considerar la implementación de medidas de seguridad adicionales para proteger contra ataques de evasión y exfiltración de datos. Esto puede incluir la implementación de técnicas de detección de anomalías y la configuración de controles de acceso restrictivos.

🔗 Fuente consultada: Unit 42 (Palo Alto)

Vulnerabilidad — LABScon25 Replay | Ciberdelincuentes explotan arquitectura DeFi y se llevan $9 mil millones

🔍 Qué está pasando

  • Ciberdelincuentes explotan vulnerabilidades en la arquitectura DeFi para llevar a cabo heists en criptomercados.
  • Se estima que los ciberdelincuentes han obtenido $9 mil millones a través de estos ataques.
  • El experto Andrew MacPherson revela cómo se utilizan servicios de "drainers-as-a-service" y lavado de fondos para esconder el dinero obtenido.

⚠️ Por qué importa

La explotación de la arquitectura DeFi por parte de ciberdelincuentes supone un riesgo significativo para las criptomonedas y los usuarios de los servicios de DeFi. Estos ataques pueden llevar a la pérdida de grandes cantidades de dinero y, en última instancia, erosionar la confianza en la industria de la criptomoneda. Además, la facilidad con la que se pueden llevar a cabo estos ataques también plantea preocupaciones sobre la seguridad en general de los sistemas financieros.

⚙️ Cómo funciona

Los ciberdelincuentes explotan vulnerabilidades en la arquitectura DeFi para acceder a fondos de usuarios y criptomonedas. Una vez que tienen acceso, utilizan servicios de "drainers-as-a-service" para transferir el dinero a cuentas seguras y, posteriormente, lo lavan a través de diversas transacciones para evitar ser detectados. Estos servicios permiten a los ciberdelincuentes llevar a cabo heists en criptomercados, como el que sucedió en Bybit, donde se perdieron $1.5 mil millones.

👁️ Qué vigilar

  • IOC: Investigar la posible presencia de malware y herramientas de ciberdelincuentes en sistemas y redes.
  • Parche: Actualizar y mantener actualizados los sistemas y aplicaciones para evitar la explotación de vulnerabilidades conocidas.
  • Recomendación: Realizar un análisis de riesgo exhaustivo de la arquitectura DeFi y tomar medidas para fortalecer la seguridad y la resistencia a ataques.

🔗 Fuente consultada: SentinelOne Labs

ThreatIntel — The SOC Files: Time a "Sapecar". Desglosando una nueva campaña Horabot en México

🔍 Qué está pasando

  • Se ha detectado una campaña compleja de Horabot en México.
  • La campaña fue descubierta y analizada por Kaspersky SOC.
  • Los analistas de Kaspersky comparten sus hallazgos sobre cómo se desplega y cómo detectar este tipo de amenazas.

⚠️ Por qué importa

Las campañas de Horabot pueden tener un impacto significativo en las organizaciones mexicanas, ya que pueden comprometer sistemas y datos confidenciales. Además, la complejidad de estas campañas dificulta su detección y análisis, lo que las hace aún más peligrosas. Es fundamental que las organizaciones estén preparadas y tengan medidas de seguridad adecuadas para protegerse contra este tipo de amenazas.

⚙️ Cómo funciona

La campaña de Horabot se despliega a través de una combinación de técnicas de phishing y explotación de vulnerabilidades en sistemas operativos y aplicaciones. Los atacantes utilizan herramientas de automatización para identificar y explotar vulnerabilidades en sistemas de red y dispositivos finales. Una vez que se ha comprometido el sistema, los atacantes pueden instalar malware y acceder a datos confidenciales.

👁️ Qué vigilar

  • IOCs: busque actividad sospechosa relacionada con la campaña Horabot, como archivos y directorios específicos asociados con el malware.
  • Parches disponibles: asegúrese de que los sistemas operativos y aplicaciones estén actualizados con los últimos parches de seguridad.
  • Recomendaciones concretas: implemente medidas de seguridad avanzadas, como detección de amenazas basada en comportamiento y análisis de redes, para detectar y prevenir ataques de Horabot.

🔗 Fuente consultada: Kaspersky Securelist

Cibercrimen — Windsurf IDE Extension Drops Malware via Solana Blockchain

🔍 Qué está pasando

  • Se ha descubierto una extensión malsana de Windsurf IDE que utiliza la cadena de bloques Solana como infraestructura de payload.
  • La extensión deploys un robo de nodos multi-etapa NodeJS.
  • El ataque se realizó mediante el uso de la extensión de Windsurf IDE.

⚠️ Por qué importa

El ataque puede tener un impacto significativo en las organizaciones que utilizan la extensión de Windsurf IDE. La extensión puede permitir a los atacantes acceder a información confidencial y comprometer la seguridad de los sistemas. Además, la utilización de la cadena de bloques Solana como payload infrastructure puede dificultar la detección y respuesta a los ataques.

⚙️ Cómo funciona

La extensión de Windsurf IDE se utiliza para depolar un robo de nodos multi-etapa NodeJS. El ataque comienza con la descarga de la extensión, que se instala en el entorno de desarrollo. La extensión luego utiliza la cadena de bloques Solana para descargar el payload, que es un robo de nodos NodeJS. El robo de nodos se ejecuta en el entorno de desarrollo, permitiendo a los atacantes acceder a información confidencial y comprometer la seguridad de los sistemas.

👁️ Qué vigilar

  • IOCs: La extensión de Windsurf IDE malsana se ha descubierto y se recomienda evitar su uso.
  • Parches disponibles: No hay parches disponibles para la extensión de Windsurf IDE, pero se recomienda eliminarla de los entornos de desarrollo.
  • Recomendaciones concretas: Las organizaciones deben revisar su uso de la extensión de Windsurf IDE y eliminarla de los entornos de desarrollo. Además, se recomienda utilizar herramientas de detección de malware y realizar análisis de seguridad regular para identificar y responder a posibles ataques.

🔗 Fuente consultada: Bitdefender Labs

Vulnerabilidad — Transparent COM instrumentation for malware analysis

In this article, Cisco Talos presents DispatchLogger, a new open-source tool that delivers high visibility into late-bound IDispatch COM object interactions via transparent proxy interception.

🔗 Fuente consultada: Talos Intelligence

Top comments (0)