DEV Community

Christian Marbel Vega Mamani
Christian Marbel Vega Mamani

Posted on

πŸ›‘οΈ Threat Intel Diario β€” 24/05/2026

#security

πŸ€– Auto-generated daily threat intelligence digest β€” May 24, 2026

🚨 Alertas en la red: Vulnerabilidades en cadenas de suministro y ataques cibernéticos
Fuentes: Group-IB, MSRC Microsoft, SANS ISC, The Hacker News

La seguridad cibernΓ©tica enfrenta desafΓ­os cada vez mΓ‘s complejos, desde vulnerabilidades en cadenas de suministro hasta ataques cibernΓ©ticos que comprometen la privacidad de los usuarios. Hoy, exploraremos las ΓΊltimas amenazas en el panorama de la ciberseguridad, destacando las alertas mΓ‘s importantes y los consejos para proteger su organizaciΓ³n.

Cibercrimen β€” Ejemplo de Strings en Pila en Lenguaje de Alto Nivel, (Sat, May 23rd)

πŸ” QuΓ© estΓ‘ pasando

  • Un instructor de la SANS ISC estΓ‘ impartiendo un curso de formaciΓ³n en red teaming llamado SEC670.
  • El curso se centra en herramientas de red teaming, desarrollo de implantes de Windows, shellcode y control de comando.
  • El instructor comparte un ejemplo de cΓ³mo crear strings en pila en un lenguaje de alto nivel.

⚠️ Por qué importa

El curso SEC670 se enfoca en la creaciΓ³n de malware y herramientas de red teaming, lo que puede ser utilizado por cibercriminales para lanzar ataques maliciosos. Las tΓ©cnicas aprendidas en este curso pueden ser utilizadas para desarrollar malware que pueda evadir detecciΓ³n y causar daΓ±os a organizaciones y usuarios.

βš™οΈ CΓ³mo funciona

En el ejemplo compartido, el instructor muestra cΓ³mo crear strings en pila en un lenguaje de alto nivel, como C o C++. Esto se hace utilizando tΓ©cnicas de programaciΓ³n como el uso de variables y operadores de punteros. El objetivo es crear un cΓ³digo que sea difΓ­cil de detectar para sistemas de seguridad y que pueda ejecutarse en entornos de Windows.

πŸ‘οΈ QuΓ© vigilar

  • IOC: El uso de tΓ©cnicas de programaciΓ³n para crear malware que evada detecciΓ³n.
  • Parche: Asegurarse de que los sistemas de seguridad estΓ©n actualizados con los ΓΊltimos parches y firmware.
  • RecomendaciΓ³n: Realizar pruebas de penetraciΓ³n regulares para identificar y remediar vulnerabilidades en el entorno de TI.

πŸ”— Fuente consultada: SANS ISC

Vulnerabilidad β€” CVE-2026-41054 Missing exit out of permission check en haveged podrΓ­a llevar a explotaciΓ³n de raΓ­z

πŸ” QuΓ© estΓ‘ pasando

  • Se ha detectado una vulnerabilidad en la herramienta de generaciΓ³n de nΓΊmeros aleatorios "haveged".
  • La vulnerabilidad, identificada como CVE-2026-41054, se debe a una falta de verificaciΓ³n de permisos.
  • La herramienta en cuestiΓ³n es utilizada en sistemas Linux.

⚠️ Por qué importa

La vulnerabilidad en haveged podrΓ­a permitir a un atacante explotar el sistema y obtener acceso de raΓ­z. Esto podrΓ­a llevar a una pΓ©rdida de datos, instalaciΓ³n de malware o incluso a una toma de control del sistema. Las organizaciones que utilizan haveged en sus sistemas deben tomar medidas para mitigar la vulnerabilidad de inmediato.

βš™οΈ CΓ³mo funciona

La vulnerabilidad se debe a una falta de verificaciΓ³n de permisos en la funciΓ³n de generaciΓ³n de nΓΊmeros aleatorios de haveged. Esto permite a un atacante aprovechar la vulnerabilidad y ejecutar cΓ³digo arbitrario con privilegios de root. El ataque podrΓ­a ocurrir mediante la ejecuciΓ³n de un comando malicioso en un entorno de sistema.

πŸ‘οΈ QuΓ© vigilar

  • Parche disponible: Microsoft ha publicado un parche para la vulnerabilidad CVE-2026-41054.
  • IOC: La ejecuciΓ³n de comandos maliciosos en un entorno de sistema Linux.
  • RecomendaciΓ³n: Las organizaciones deben actualizar de inmediato a la versiΓ³n parcheada de haveged y verificar los logs de sistema para detectar cualquier actividad sospechosa.

πŸ”— Fuente consultada: MSRC Microsoft

Vulnerabilidad β€” CVE-2025-68768 inet: frags: flush pending skbs in fqdir_pre_exit()

πŸ” QuΓ© estΓ‘ pasando

  • Se ha publicado una vulnerabilidad en el kernel de Linux.
  • El CVE ID asignado es CVE-2025-68768.
  • La vulnerabilidad afecta al mΓ³dulo inet de Linux.

⚠️ Por qué importa

La vulnerabilidad CVE-2025-68768 puede permitir a un atacante corromper la memoria de un sistema Linux, lo que podrΓ­a llevar a una falla de seguridad crΓ­tica. Esto podrΓ­a resultar en la pΓ©rdida de datos o la toma del control del sistema. Es importante que las organizaciones que utilizan Linux tomen medidas para parchear esta vulnerabilidad lo antes posible.

βš™οΈ CΓ³mo funciona

La vulnerabilidad se produce en el mΓ³dulo inet de Linux, especΓ­ficamente en la funciΓ³n fqdir_pre_exit(). Cuando un paquete IP se fragmenta, se almacenan en una cola de espera (skbs) hasta que se envΓ­e. Sin embargo, si la funciΓ³n fqdir_pre_exit() no se ejecuta correctamente, se pueden dejar pendientes estos skbs, lo que permite a un atacante corromper la memoria del sistema.

πŸ‘οΈ QuΓ© vigilar

  • Parches disponibles: Microsoft no ha publicado informaciΓ³n sobre parches especΓ­ficos para esta vulnerabilidad, pero es probable que se publique en el futuro. Es importante verificar el sitio web de Linux para obtener informaciΓ³n actualizada sobre parches.
  • IOCs: No se han publicado IOCs (Indicadores de Actividad Maliciosa) para esta vulnerabilidad.
  • Recomendaciones: Las organizaciones que utilizan Linux deben monitorear los parches disponibles y aplicarlos lo antes posible. Es importante tambiΓ©n verificar la configuraciΓ³n de seguridad del sistema y asegurarse de que se estΓ©n ejecutando las ΓΊltimas actualizaciones de seguridad.

πŸ”— Fuente consultada: MSRC Microsoft

Vulnerabilidad β€” CVE-2025-38096 wifi: iwlwifi: don't warn when if there is a FW error

πŸ” QuΓ© estΓ‘ pasando

  • Se ha publicado una vulnerabilidad en el controlador de WiFi iwlwifi.
  • La vulnerabilidad se identifica con el CVE-2025-38096.
  • No se proporcionan detalles adicionales sobre la vulnerabilidad en el resumen.

⚠️ Por qué importa

La vulnerabilidad en el controlador de WiFi iwlwifi puede permitir a un atacante explotar errores en el firmware y potencialmente comprometer la seguridad de la conexiΓ³n WiFi. Esto puede tener un impacto significativo en la seguridad de los dispositivos que utilizan el controlador iwlwifi, especialmente en entornos de red confidenciales.

βš™οΈ CΓ³mo funciona

El controlador de WiFi iwlwifi es un driver de hardware que permite a los dispositivos comunicarse con redes WiFi. La vulnerabilidad se produce cuando el controlador no emite advertencias cuando se produce un error en el firmware. Esto puede permitir a un atacante explotar el error para comprometer la seguridad de la conexiΓ³n WiFi.

πŸ‘οΈ QuΓ© vigilar

  • Parches disponibles: No se han proporcionado parches en el resumen, pero es probable que Microsoft publique parches en un futuro prΓ³ximo.
  • Recomendaciones: Los administradores de redes deben estar atentos a cualquier actualizaciΓ³n de seguridad relacionada con el controlador iwlwifi y aplicar los parches de inmediato.
  • Monitoreo de la red: Los administradores de redes deben monitorear su red para detectar cualquier actividad sospechosa relacionada con la vulnerabilidad en el controlador iwlwifi.

πŸ”— Fuente consultada: MSRC Microsoft

Vulnerabilidad β€” CVE-2025-51480

Path Traversal vulnerability in onnx.external_data_helper.save_external_data en ONNX 1.17.0 permite a los atacantes sobreescribir archivos arbitrarios suministrando direcciones de ubicaciΓ³n de external_data contenidas secuencias de navegaciΓ³n, ignorando restricciones de directorios previstas.

πŸ” QuΓ© estΓ‘ pasando

  • Se ha identificado una vulnerabilidad de Path Traversal en ONNX 1.17.0.
  • La vulnerabilidad afecta a la funciΓ³n save_external_data en onnx.external_data_helper.
  • El CVE ID asignado es CVE-2025-51480.

⚠️ Por qué importa

La vulnerabilidad de Path Traversal en ONNX 1.17.0 puede permitir a los atacantes acceder y sobreescribir archivos arbitrarios en el sistema, lo que puede provocar daΓ±os significativos a la integridad de los datos y la seguridad general de la organizaciΓ³n. Esta vulnerabilidad puede ser aprovechada por atacantes malintencionados para realizar ataques de ingenierΓ­a social o para ejecutar cΓ³digo malicioso en el sistema.

βš™οΈ CΓ³mo funciona

La vulnerabilidad se produce cuando el atacante suministra una direcciΓ³n de ubicaciΓ³n de external_data que contiene secuencias de navegaciΓ³n, lo que permite acceder a archivos fuera de la carpeta prevista. Esto puede ser utilizado para acceder a archivos confidenciales, sobreescribir archivos importantes o incluso ejecutar cΓ³digo malicioso en el sistema.

πŸ‘οΈ QuΓ© vigilar

  • Verifique si su sistema utiliza ONNX 1.17.0 y actualice a una versiΓ³n mΓ‘s reciente.
  • Utilice un firewall para bloquear trΓ‘fico no autorizado a puertos sensibles.
  • Verifique regularmente los logs de seguridad para detectar cualquier actividad sospechosa.

πŸ”— Fuente consultada: MSRC Microsoft

Vulnerabilidad β€” CVE-2025-38140 dm: limit swapping tables for devices with zone write plugs

πŸ” QuΓ© estΓ‘ pasando

  • Se ha publicado una nueva vulnerabilidad identificada como CVE-2025-38140 en el componente dm de Linux.
  • La vulnerabilidad se relaciona con la limitaciΓ³n de tablas de intercambio para dispositivos con plugins de escritura de zona.
  • No se proporcionan detalles adicionales sobre la vulnerabilidad en el momento de la publicaciΓ³n.

⚠️ Por qué importa

La vulnerabilidad CVE-2025-38140 puede permitir a un atacante aprovechar la limitaciΓ³n de tablas de intercambio para dispositivos con plugins de escritura de zona, lo que podrΓ­a llevar a una inestabilidad en el sistema o incluso a una pΓ©rdida de datos. Aunque no se han reportado explotaciones conocidas de esta vulnerabilidad, es importante que las organizaciones y usuarios afectados tomen medidas para mitigar el riesgo.

βš™οΈ CΓ³mo funciona

La vulnerabilidad se produce debido a una falla en la implementaciΓ³n de la limitaciΓ³n de tablas de intercambio para dispositivos con plugins de escritura de zona en el componente dm de Linux. Cuando un dispositivo con un plugin de escritura de zona intenta acceder a una tabla de intercambio, el componente dm no verifica adecuadamente la configuraciΓ³n de la tabla, lo que permite a un atacante aprovechar la vulnerabilidad.

πŸ‘οΈ QuΓ© vigilar

  • Revisa la configuraciΓ³n de las tablas de intercambio en tus dispositivos con plugins de escritura de zona.
  • Aplica los parches disponibles para el componente dm de Linux.
  • Verifica la integridad de tus datos y configura una copia de seguridad regular.

πŸ”— Fuente consultada: MSRC Microsoft

Cibercrimen β€” PrevenciΓ³n de Fraude en Pagos en LΓ­nea: Mejores PrΓ‘cticas para Organizaciones

πŸ” QuΓ© estΓ‘ pasando

  • El fraude en pagos en lΓ­nea es un problema creciente que afecta a organizaciones de todo el mundo.
  • El fraude en pagos en lΓ­nea puede ocurrir en cualquier etapa del proceso de pago.
  • No hay CVE ID especΓ­fico para este artΓ­culo, ya que se centra en prΓ‘cticas recomendadas para prevenir el fraude.

⚠️ Por qué importa

El fraude en pagos en lΓ­nea puede tener un impacto significativo en las organizaciones, ya que puede causar pΓ©rdidas financieras y daΓ±ar la reputaciΓ³n de la empresa. AdemΓ‘s, el fraude en pagos en lΓ­nea puede afectar a los usuarios, ya que pueden perder dinero o tener sus datos personales comprometidos.

βš™οΈ CΓ³mo funciona

El fraude en pagos en lΓ­nea puede ocurrir a travΓ©s de varias tΓ©cnicas, como el phishing, el uso de herramientas de captura de tarjetas de crΓ©dito, o el uso de malware para robar informaciΓ³n de pago. Los ciberdelincuentes pueden aprovecharse de vulnerabilidades en los sistemas de pago o en las aplicaciones mΓ³viles para realizar transacciones fraudulentas.

πŸ‘οΈ QuΓ© vigilar

  • Monitorear las transacciones: Implementar sistemas de detecciΓ³n de fraude que monitoren las transacciones en tiempo real para identificar posibles actividades fraudulentas.
  • Verificar la autenticidad: Verificar la autenticidad de los pagos y evitar pagar a terceros no autorizados.
  • Actualizar los sistemas de pago: Mantener los sistemas de pago actualizados con los ΓΊltimos parches de seguridad y seguir las mejores prΓ‘cticas de seguridad para evitar vulnerabilidades conocidas.

πŸ”— Fuente consultada: Group-IB

Cibercrimen β€” Volume Obfuscation Game: Los corredores de datos lΓ­deres juegan al juego de la obstrucciΓ³n del volumen

πŸ” QuΓ© estΓ‘ pasando

  • Los corredores de datos estΓ‘n publicitando grandes volΓΊmenes de datos supuestamente robados de organizaciones de todo el mundo en foros de la oscura web china y canales de Telegram.
  • Estos datos son promocionados en foros de la oscura web china y canales de Telegram.
  • No hay evidencia de que estos datos sean reales o estΓ©n asociados a una vulnerabilidad especΓ­fica.

⚠️ Por qué importa

El aumento de estos anuncios puede ser un indicador de una nueva ola de ataques de phishing o de suplantaciΓ³n de identidad. Los usuarios y organizaciones pueden ser engaΓ±ados a creer que sus datos han sido comprometidos, lo que podrΓ­a llevar a una pΓ©rdida de confianza y un daΓ±o a la reputaciΓ³n. AdemΓ‘s, si estos datos son utilizados para ataques de phishing o suplantaciΓ³n de identidad, podrΓ­a haber un impacto significativo en la seguridad de los usuarios.

βš™οΈ CΓ³mo funciona

Los corredores de datos publicitan grandes volΓΊmenes de datos supuestamente robados en foros de la oscura web china y canales de Telegram. Estos anuncios pueden ser un intento de engaΓ±ar a los usuarios y organizaciones para que crean que sus datos han sido comprometidos. Sin embargo, no hay evidencia de que estos datos sean reales o estΓ©n asociados a una vulnerabilidad especΓ­fica.

πŸ‘οΈ QuΓ© vigilar

  • IOC: Anuncios en foros de la oscura web china y canales de Telegram que promocionan datos supuestamente robados.
  • RecomendaciΓ³n: Ser cauteloso con correos electrΓ³nicos o mensajes que soliciten informaciΓ³n personal o que alerten sobre una supuesta vulnerabilidad.
  • Parche: No hay parches especΓ­ficos disponibles para esta amenaza, pero es importante mantener actualizados los sistemas y aplicaciones para evitar ataques de phishing o suplantaciΓ³n de identidad.

πŸ”— Fuente consultada: Group-IB

Cibercrimen β€” ΒΏEstafa en tus nΓΊmeros de crecimiento de iGaming?

πŸ” QuΓ© estΓ‘ pasando

  • La estafa en el sector de iGaming estΓ‘ creciendo, lo que puede distorsionar los nΓΊmeros reales de crecimiento.
  • Los ciberdelincuentes estΓ‘n aprovechando las debilidades de las plataformas de apuestas en lΓ­nea para cometer fraude.
  • La estafa puede tener un impacto significativo en la confianza de los usuarios y la reputaciΓ³n de las empresas de iGaming.

⚠️ Por qué importa

La estafa en el sector de iGaming puede tener graves consecuencias para las empresas y los usuarios. Los ciberdelincuentes pueden comprometer la seguridad de la informaciΓ³n de los usuarios, robar sus fondos y daΓ±ar la reputaciΓ³n de las empresas. AdemΓ‘s, la estafa puede llevar a una pΓ©rdida de confianza en el sector, lo que puede afectar negativamente el crecimiento del negocio.

βš™οΈ CΓ³mo funciona

Los ciberdelincuentes estΓ‘n utilizando tΓ©cnicas de fraude avanzadas para engaΓ±ar a los usuarios y el sistema. Algunas de estas tΓ©cnicas incluyen:

  • Uso de malware y herramientas de ingenierΓ­a social para comprometer la seguridad de los dispositivos y las cuentas de los usuarios.
  • CreaciΓ³n de perfiles falsos y manipulaciΓ³n de datos para engaΓ±ar a los sistemas de pago y obtener fondos.
  • Uso de vulnerabilidades en las plataformas de apuestas en lΓ­nea para acceder a informaciΓ³n confidencial y cometer fraude.

πŸ‘οΈ QuΓ© vigilar

  • IOCs: Buscar trΓ‘fico sospechoso en las plataformas de apuestas en lΓ­nea, incluyendo transacciones anormales y actividad de malware.
  • Parches disponibles: Asegurarse de que las plataformas de apuestas en lΓ­nea estΓ©n actualizadas con los ΓΊltimos parches de seguridad y estΓ©n utilizando tecnologΓ­as de autenticaciΓ³n y autorizaciΓ³n robustas.
  • Recomendaciones: Las empresas de iGaming deben implementar medidas de seguridad robustas, incluyendo la autenticaciΓ³n de dos factores, la verificaciΓ³n de identidad y la monitoreo de transacciones. Los usuarios deben estar atentos a cualquier actividad sospechosa en sus cuentas y denunciar cualquier incidente de fraude a las autoridades correspondientes.

πŸ”— Fuente consultada: Group-IB

Ciberseguridad β€” Introducing Group-IB Prevyn AI

πŸ” QuΓ© estΓ‘ pasando

  • Group-IB lanza Prevyn AI, un nΓΊcleo cognitivo que anticipa amenazas antes de que ocurran.
  • Prevyn AI utiliza inteligencia artificial y aprendizaje automΓ‘tico para analizar datos y predecir posibles ataques.
  • El objetivo de Prevyn AI es reducir la superficie de ataque y mejorar la respuesta a incidentes de ciberseguridad.

⚠️ Por qué importa

La capacidad de anticipar amenazas antes de que ocurran es fundamental para la ciberseguridad. Con Prevyn AI, las organizaciones pueden reducir el riesgo de ataques y minimizar el daΓ±o en caso de que ocurra una incidente. AdemΓ‘s, Prevyn AI puede ayudar a mejorar la respuesta a incidentes, lo que puede reducir el tiempo de respuesta y minimizar la pΓ©rdida de datos.

βš™οΈ CΓ³mo funciona

Prevyn AI utiliza inteligencia artificial y aprendizaje automΓ‘tico para analizar grandes cantidades de datos en tiempo real. Esto le permite identificar patrones y tendencias que pueden indicar un posible ataque. La plataforma utiliza algoritmos de aprendizaje automΓ‘tico para entrenar modelos que puedan predecir posibles amenazas. Estos modelos se actualizan constantemente para reflejar cambios en el entorno de ciberseguridad.

πŸ‘οΈ QuΓ© vigilar

  • Prevyn AI es una plataforma en desarrollo y no hay informaciΓ³n disponible sobre IOCs (Indicators of Compromise) especΓ­ficos.
  • No hay parches disponibles para Prevyn AI, ya que es una plataforma de inteligencia artificial y no un software vulnerable.
  • Las organizaciones deben vigilar la evoluciΓ³n de las tecnologΓ­as de inteligencia artificial y aprendizaje automΓ‘tico en ciberseguridad, y considerar la posibilidad de implementar soluciones similares para mejorar su respuesta a incidentes de ciberseguridad.

πŸ”— Fuente consultada: Group-IB

Privacidad β€” ΒΏQuΓ© es un retador de respuesta a incidentes? (Y por quΓ© esperar hasta que se produzca una violaciΓ³n es demasiado tarde)

πŸ” QuΓ© estΓ‘ pasando

  • Las organizaciones pueden contratar un retador de respuesta a incidentes para tener acceso inmediato a expertos en ciberseguridad en caso de una violaciΓ³n.
  • Este modelo permite evitar retrasos legales, de contrataciΓ³n o de onboarding que pueden perderse crΓ­ticos minutos en la respuesta a un incidente.
  • Los retadores de respuesta a incidentes pueden ser contratados con diferentes modelos.

⚠️ Por qué importa

El retraso en la respuesta a un incidente de ciberseguridad puede causar daΓ±os significativos a una organizaciΓ³n, incluyendo la pΓ©rdida de datos confidenciales, la interrupciΓ³n de servicios y la pΓ©rdida de credibilidad. Un retador de respuesta a incidentes puede ayudar a minimizar estos daΓ±os y reducir el tiempo de inactividad (downtime) durante un incidente.

βš™οΈ CΓ³mo funciona

Un retador de respuesta a incidentes es un contrato que otorga a una organizaciΓ³n acceso inmediato a expertos en ciberseguridad de una empresa de seguridad cibernΓ©tica, como por ejemplo Group-IB. Estos expertos pueden ayudar a la organizaciΓ³n a responder y mitigar el impacto de un incidente de ciberseguridad de forma rΓ‘pida y eficiente.

πŸ‘οΈ QuΓ© vigilar

  • Mantenga una lista de contactos de emergencia de su proveedor de respuesta a incidentes para asegurarse de que estΓ© listo para actuar en caso de un incidente.
  • Verifique si su proveedor de respuesta a incidentes ofrece diferentes modelos de retadores, como por ejemplo un retador de respuesta a incidentes bΓ‘sico o avanzado.
  • AsegΓΊrese de que su proveedor de respuesta a incidentes tenga experiencia en respuesta a incidentes de ciberseguridad y conozca los requisitos y regulaciones de su industria.

πŸ”— Fuente consultada: Group-IB

Ciberseguridad β€” npm Incorpora PublicaciΓ³n con AutenticaciΓ³n de 2 FASES y Control de InstalaciΓ³n de Paquetes para Atacar la Cadena de Abastecimiento

πŸ” QuΓ© estΓ‘ pasando

  • npm ha implementado un nuevo sistema de publicaciΓ³n controlada, llamado "publicaciΓ³n etapa".
  • Los mantenedores deben aprobar una publicaciΓ³n mediante un desafΓ­o de autenticaciΓ³n de 2 factores (2FA) antes de que los paquetes estΓ©n disponibles para la instalaciΓ³n pΓΊblica.
  • Este cambio busca mejorar la seguridad de la cadena de suministro de software.

⚠️ Por qué importa

La seguridad de la cadena de suministro de software es un tema crΓ­tico en la industria de la tecnologΓ­a. Los ataques de cadena de suministro pueden tener un impacto significativo en las organizaciones, causando pΓ©rdidas financieras, daΓ±os a la reputaciΓ³n y comprometiendo la confidencialidad de los datos. Con esta medida, npm busca reducir el riesgo de ataques maliciosos y mejorar la confianza en la plataforma.

βš™οΈ CΓ³mo funciona

La publicaciΓ³n etapa es un proceso que requiere que un mantenedor humano apruebe una publicaciΓ³n antes de que los paquetes estΓ©n disponibles para la instalaciΓ³n pΓΊblica. Para hacer esto, el mantenedor debe realizar un desafΓ­o de autenticaciΓ³n de 2 factores, lo que garantiza que solo un mantenedor autorizado pueda aprobar la publicaciΓ³n. Una vez aprobada la publicaciΓ³n, los paquetes se vuelven disponibles para la instalaciΓ³n pΓΊblica.

πŸ‘οΈ QuΓ© vigilar

  • Mantenedores de paquetes: asegΓΊrese de activar la publicaciΓ³n controlada en su cuenta de npm.
  • Desarrolladores: verifique que los paquetes que instalan sean legΓ­timos y no estΓ©n comprometidos.
  • Organizaciones: revise su cadena de suministro de software y asegΓΊrese de que estΓ© protegida contra ataques maliciosos.

πŸ”— Fuente consultada: The Hacker News

Cibercrimen β€” Ataque de cadena de suministro a Packagist infecta 8 paquetes utilizando malware Linux alojado en GitHub

πŸ” QuΓ© estΓ‘ pasando

  • Un ataque de cadena de suministro coordinado ha afectado ocho paquetes en Packagist.
  • El malware se diseΓ±Γ³ para ejecutar un binario Linux recuperado de una URL de lanzamiento de GitHub.
  • El cΓ³digo malicioso se insertΓ³ en package.json en lugar de composer.json.

⚠️ Por qué importa

Este ataque de cadena de suministro puede tener un impacto significativo en las organizaciones que utilizan los paquetes afectados. Si no se detecta y se corrige a tiempo, el malware puede permitir a los atacantes acceder a sistemas y datos confidenciales. AdemΓ‘s, la inclusiΓ³n de cΓ³digo malicioso en package.json puede ser difΓ­cil de detectar, lo que hace que el ataque sea particularmente peligroso.

βš™οΈ CΓ³mo funciona

El ataque consistiΓ³ en insertar cΓ³digo malicioso en package.json, lo que permite a los atacantes ejecutar un binario Linux recuperado de una URL de lanzamiento de GitHub. El malware se diseΓ±Γ³ para ser difΓ­cil de detectar, ya que no se agregΓ³ a composer.json, lo que hace que sea mΓ‘s difΓ­cil para los desarrolladores detectar la presencia de cΓ³digo malicioso.

πŸ‘οΈ QuΓ© vigilar

  • Verifica la integridad de tus paquetes Composer y revisa package.json para detectar cualquier cΓ³digo malicioso.
  • AsegΓΊrate de que tus proyectos estΓ©n actualizados y utilicen versiones recientes de los paquetes afectados.
  • Considera utilizar herramientas de seguridad de la cadena de suministro para monitorear tus paquetes y detectar cualquier actividad sospechosa.

πŸ”— Fuente consultada: The Hacker News

Vulnerabilidad β€” Claude Mythos AI descubre 10,000 vulnerabilidades de alta gravedad en software ampliamente utilizado

πŸ” QuΓ© estΓ‘ pasando

  • Se ha descubierto mΓ‘s de 10,000 vulnerabilidades de alta o crΓ­tica gravedad en software crΓ­tico globalmente importante.
  • El descubrimiento se debiΓ³ al proyecto Glasswing, una iniciativa de ciberseguridad lanzada por la empresa de inteligencia artificial (IA) Anthropic.
  • El proyecto se lanzΓ³ hace un mes y ha estado funcionando desde entonces.

⚠️ Por qué importa

La existencia de estas vulnerabilidades puede tener un impacto significativo en la seguridad de las organizaciones y usuarios que dependen de estos software. Si no se abordan adecuadamente, pueden permitir a atacantes acceder a datos confidenciales, realizar ciberataques y causar daΓ±os a la reputaciΓ³n de las empresas. Es fundamental que las organizaciones prioricen la actualizaciΓ³n y parcheo de estos software para evitar posibles incidentes.

βš™οΈ CΓ³mo funciona

El proyecto Glasswing utiliza inteligencia artificial (IA) para analizar y detectar vulnerabilidades en software crΓ­tico. El proceso implica la creaciΓ³n de un modelo de IA que se enfoca en identificar patrones y debilidades en el cΓ³digo del software. Una vez detectadas las vulnerabilidades, el modelo proporciona recomendaciones para su correcciΓ³n y parcheo.

πŸ‘οΈ QuΓ© vigilar

  • IOCs: Aunque no se proporcionan IOCs especΓ­ficos, es importante que las organizaciones monitoreen sus sistemas y software para detectar cualquier actividad sospechosa.
  • Parches disponibles: Esperamos que Anthropic y los desarrolladores de los software identificados publiquen parches y actualizaciones para abordar estas vulnerabilidades.
  • Recomendaciones: Las organizaciones deben priorizar la actualizaciΓ³n y parcheo de sus software crΓ­ticos, y realizar pruebas de penetraciΓ³n regulares para identificar y abordar cualquier debilidad.

πŸ”— Fuente consultada: The Hacker News

Cibercrimen β€” Laravel-Lang PHP Packages Compromised to Deliver Cross-Platform Credential Stealer

πŸ” QuΓ© estΓ‘ pasando

  • Un ataque de cadena de suministro de software ha comprometido mΓΊltiples paquetes PHP de Laravel-Lang.
  • Los paquetes afectados incluyen laravel-lang/lang, laravel-lang/http-statuses, laravel-lang/attributes y laravel-lang/actions.
  • El ataque entrega un framework de robo de credenciales transversal a mΓΊltiples plataformas.

⚠️ Por qué importa

Las organizaciones que dependen de estos paquetes PHP pueden estar en riesgo de ser vΓ­ctimas de un robo de credenciales masivo. Si no se toman medidas para actualizar o reemplazar los paquetes comprometidos, los atacantes podrΓ­an obtener acceso no autorizado a sistemas y datos confidenciales. AdemΓ‘s, la naturaleza transversal del framework de robo de credenciales significa que los atacantes pueden apuntar a mΓΊltiples plataformas, lo que aumenta el riesgo de daΓ±o.

βš™οΈ CΓ³mo funciona

El ataque se produce a travΓ©s de la publicaciΓ³n de versiones comprometidas de los paquetes PHP en la plataforma de Laravel-Lang. Cuando un desarrollador instala uno de estos paquetes, el framework de robo de credenciales se ejecuta en segundo plano, recopilando y enviando credenciales de acceso a los atacantes. El framework es capaz de robar credenciales de acceso a sistemas, bases de datos y aplicaciones en diversas plataformas.

πŸ‘οΈ QuΓ© vigilar

  • Verifica si has instalado alguno de los paquetes afectados (laravel-lang/lang, laravel-lang/http-statuses, laravel-lang/attributes y laravel-lang/actions) y actualΓ­zalos a versiones seguras.
  • Revisa tu cΓ³digo para detectar cualquier llamada a funciones del framework de robo de credenciales.
  • AsegΓΊrate de tener actualizadas tus herramientas de seguridad y monitorea tus sistemas y aplicaciones para detectar cualquier actividad sospechosa.

πŸ”— Fuentes consultadas (2):

Top comments (0)