El software espía de iOS filtrado tiene a algunos profesionales de la ciberseguridad generando alarmas urgentes sobre posibles compromisos masivos del iPhone, un desarrollo que se combina siniestramente con el reciente descubrimiento de dos sofisticados kits de explotación de iOS.

Al mismo tiempo, otros expertos dicen que las funciones defensivas de Apple para los iPhone siguen siendo de élite. Pero varios factores han creado circunstancias sin precedentes: la accesibilidad pública de una versión de DarkSword, poco después del descubrimiento de la versión original de DarkSword y el descubrimiento anterior de un kit similar conocido como Coruña, y un mercado creciente para exploits para iPhone impulsado por su alto valor como objetivos.

Allan Liska, jefe de seguridad de la información de Recorded Future, dijo que estaba preocupado por lo que la versión filtrada de DarkSword podría hacer para «democratizar» las vulnerabilidades del iPhone.

«En este momento, las explotaciones del iPhone se encuentran entre las más costosas de investigar e implementar, por lo que han sido, en gran medida, dominio de los estados-nación», dijo. «Si alguien puede explotar un iPhone, de repente algo que ha logrado ser relativamente seguro ahora tendrá una superficie de ataque mucho mayor».

Google, iVerify y Lookout publicaron una investigación la semana pasada sobre el descubrimiento de DarkSword, centrada en Ucrania. Google también dijo que vio objetivos en Arabia Saudita, Turquía y Malasia. Y eso fue antes de que apareciera una versión en GitHub, un desarrollo TechCrunch reportado por primera vez y Google e iVerify lo han analizado. (La semana anterior, iVerify y Google descubrieron Coruña. Google se negó a hacer más comentarios para esta historia).

«Es extremadamente alarmante que esto se haya filtrado en GitHub», dijo Rocky Cole, cofundador de iVerify. «Supongo que se está utilizando en todo el mundo, incluido aquí en los Estados Unidos».

Cientos de millones de iPhones con iOS 18 podrían ser vulnerables a DarkSword.

«Creo que los principales problemas aquí son bastante claros: las personas que tienen dispositivos vulnerables deberían actualizarlos lo antes posible», dijo Eva Galperin, directora de ciberseguridad de Electronic Frontier Foundation. «Es muy probable que estas vulnerabilidades se estén utilizando ahora mismo para explotar dispositivos vulnerables a escala, lo cual es inusual para los productos Apple».

El problema de la propagación

Coruña era lo suficientemente preocupante para Apple que tomó la rara medida de respaldar las actualizaciones de seguridad a versiones aún más antiguas de iOS, dijo Cole. El temor, dijo, era que pudiera ser gusano, capaz de propagarse desde un dispositivo a través de mensajes de texto a todos los que están en la lista de contactos de un teléfono.

Pero Cole dijo que Apple no ha lanzado actualizaciones similares centradas en la seguridad para iOS 18, por razones que desconoce.

Apple ha enfatizado los parches que ha publicado, instó a los usuarios a actualizar sus teléfonos y promocionó el modo de bloqueo como defensa contra el software espía.

«Los dispositivos Apple están diseñados con múltiples capas de seguridad para proteger contra una amplia gama de amenazas potenciales, y todos los días los equipos de seguridad de Apple en todo el mundo trabajan incansablemente para proteger los dispositivos y los datos de los usuarios», dijo la portavoz de Apple, Sarah O'Rourke. «Mantener su software actualizado es lo más importante que puede hacer para mantener la seguridad de sus productos Apple, y los dispositivos con software actualizado no estaban en riesgo de sufrir estos ataques reportados».

El uso generalizado de los iPhone los convierte en objetivos de alto valor, lo que alimenta un próspero mercado de exploits. Coruña y DarkSword son indicadores de esta creciente demanda.

«Es hora de que las organizaciones comiencen a pensar en la seguridad móvil de la misma manera que piensan en la seguridad de las computadoras de escritorio, es decir, que todos saben cómo proteger su computadora portátil», dijo Cole. Y en el caso de la caza de exploits para iPhone en particular, «se está empezando a ver que la gente lo hace a nivel masivo». Además, el mercado de reventa es tal que los exploits que antes eran exclusivos ya no lo son, y la IA hace que sea aún más fácil personalizarlos en el código, afirmó.

DarkSword ha llamado la atención federal: la Agencia de Seguridad de Infraestructura y Ciberseguridad agregó esta semana vulnerabilidades que DarkSword explota a la lista que las agencias federales debe parchear.

La cantidad de personas que todavía usan iOS 18 es grande, hasta el 25% de todos los iPhone. Cole dijo que varios factores están contribuyendo a esto, como que los usuarios desconfían de la inteligencia artificial integrada de iOS 26 o de la interfaz Liquid Glass.

Galperin dijo: «Hay muchas razones por las que las personas no mantienen sus dispositivos actualizados, por lo que cuando les digo a las personas 'simplemente parcheen sus cosas', creo que es importante darse cuenta de que hay circunstancias en las que es más fácil decirlo que hacerlo».

Defensas probadas a pesar de los crecientes riesgos

A pesar de las preocupaciones, Cole le dio crédito al iPhone por sus altos estándares de seguridad, en particular por su tienda de aplicaciones.

Para Natalia Krapiva, asesora jurídica y tecnológica senior de Access Now, una conclusión clave es la preocupante proliferación de software espía comercial y capacidades de intrusión cibernética.

“Esto es exactamente sobre lo que los activistas de derechos humanos y los investigadores de seguridad digital han estado advirtiendo a los gobiernos y las empresas: en ausencia de una regulación efectiva para la industria, estos exploits saldrán a la luz y terminarán en manos de adversarios como Rusia, China, Irán o, como en el caso de DarkSword, se filtrarán en línea para que cualquier delincuente los utilice”, dijo.

Por otro lado, el modo de bloqueo y la aplicación de la integridad de la memoria de Apple son medidas defensivas de primer nivel, dijo Krapiva. «Aún no hemos visto ningún iPhone con modo de bloqueo infectado infectado con software espía», afirmó.

«Creo que seguiremos viendo más intentos de explotar los dispositivos Apple y Android a medida que mejoren la seguridad de su software y hardware», afirmó. «Es el viejo juego del gato y el ratón».

Adam Boynton, gerente senior de estrategia empresarial de Jamf, dijo que lo sucedido con Coruña y DarkSword es evidencia del éxito de Apple.

«Lo que es alentador aquí es que el modelo de seguridad de Apple funciona», afirmó. «Coruña omite los dispositivos que ejecutan las últimas versiones de iOS y evita por completo aquellos con el modo de bloqueo habilitado. Esa es una fuerte validación de las defensas que Apple ha construido.

«DarkSword refuerza el mismo principio», continuó. «Cuando Coruña apuntó a versiones anteriores de iOS, DarkSword demuestra que incluso las versiones relativamente actuales pueden ser atacadas por actores determinados. Apple actuó rápidamente para parchear las vulnerabilidades involucradas, y los dispositivos que ejecutan el último iOS están protegidos».

TeamPCP, el actor de amenazas detrás de los recientes compromisos de Trivy y KICS, ahora ha comprometido un popular paquete de Python llamado litelmoimpulsando dos versiones maliciosas que contienen un recolector de credenciales, un conjunto de herramientas de movimiento lateral de Kubernetes y una puerta trasera persistente.

Múltiples proveedores de seguridad, incluidos Laboratorios Endor y JFrogreveló que las versiones 1.82.7 y 1.82.8 de Litellm eran publicado el 24 de marzo de 2026, probablemente debido a la uso del paquete de Trivy en su flujo de trabajo CI/CD. Desde entonces, ambas versiones con puerta trasera se han eliminado de PyPI.

«La carga útil es un ataque de tres etapas: un recolector de credenciales que barre claves SSH, credenciales de nube, secretos de Kubernetes, billeteras de criptomonedas y archivos .env; un conjunto de herramientas de movimiento lateral de Kubernetes que implementa pods privilegiados en cada nodo; y una puerta trasera persistente systemd (sysmon.service) que sondea ‘checkmarx[.]zona/sin procesar’ para binarios adicionales», dijo el investigador de Endor Labs, Kiran Raj.

Como se observó en casos anteriores, los datos recopilados se extraen como un archivo cifrado («tpcp.tar.gz») a un dominio de comando y control llamado «models.litellm».[.]nube» a través de una solicitud HTTPS POST.

En el caso de 1.82.7, el código malicioso está incrustado en el archivo «litellm/proxy/proxy_server.py», y la inyección se realiza durante o después del proceso de creación de la rueda. El código está diseñado para ejecutarse en el momento de la importación del módulo, de modo que cualquier proceso que importe «litellm.proxy.proxy_server» active la carga útil sin requerir ninguna interacción del usuario.

La siguiente iteración del paquete agrega un «vector más agresivo» al incorporar un «litellm_init.pth» malicioso en la raíz de la rueda, lo que hace que la lógica se ejecute automáticamente en cada inicio de proceso Python en el entorno, no solo cuando se importa litellm.

Otro aspecto que hace que 1.82.8 sea más peligroso es el hecho de que el iniciador .pth genera un proceso secundario de Python a través de subproceso.Popenque permite que la carga útil se ejecute en segundo plano.

«Los archivos Python .pth colocados en los paquetes del sitio son procesados ​​automáticamente por site.py al iniciar el intérprete», dijo Endor Labs. «El archivo contiene una sola línea que importa un subproceso e inicia un proceso Python independiente para decodificar y ejecutar la misma carga útil Base64».

La carga útil se decodifica en un orquestador que descomprime un recolector de credenciales y un cuentagotas de persistencia. El recolector también aprovecha el token de la cuenta de servicio de Kubernetes (si está presente) para enumerar todos los nodos del clúster e implementar un pod privilegiado en cada uno de ellos. La vaina entonces chroots en el sistema de archivos del host e instala el cuentagotas de persistencia como un servicio de usuario systemd en cada nodo.

El servicio systemd está configurado para iniciar un script de Python («~/.config/sysmon/sysmon.py»), el mismo nombre utilizado en el compromiso Trivy, que llega a «checkmarx[.]zona/raw» cada 50 minutos para obtener una URL que apunte a la carga útil de la siguiente etapa. Si la URL contiene youtube[.]com, el script aborta la ejecución, un patrón de interrupción común a todos los incidentes observados hasta ahora.

«Es casi seguro que esta campaña no ha terminado», dijo Endor Labs. «TeamPCP ha demostrado un patrón consistente: cada entorno comprometido genera credenciales que desbloquean el siguiente objetivo. El giro de CI/CD (ejecutores de GitHub Actions) a producción (paquetes PyPI que se ejecutan en clústeres de Kubernetes) es una escalada deliberada».

Con el último desarrollo, TeamPCP ha emprendido una incesante campaña de ataque a la cadena de suministro que ha generado cinco ecosistemas, incluidos GitHub Actions, Docker Hub, npm, Open VSX y PyPI, para expandir su huella de objetivos y poner cada vez más sistemas bajo su control.

«TeamPCP está intensificando una campaña coordinada dirigida a herramientas de seguridad e infraestructura de desarrollo de código abierto, y ahora se está atribuyendo abiertamente el mérito de múltiples ataques posteriores en todos los ecosistemas», Socket dicho. «Esta es una operación sostenida que apunta a puntos de alto apalancamiento en la cadena de suministro de software».

en un mensaje al corriente En su canal de Telegram, TeamPCP dijo: «Estas empresas fueron creadas para proteger sus cadenas de suministro, pero ni siquiera pueden proteger las suyas propias, el estado de la investigación de seguridad moderna es una broma, como resultado, estaremos por mucho tiempo robando terrabytes». [sic] de secretos comerciales con nuestros nuevos socios».

«El efecto bola de nieve de esto será enorme, ya nos estamos asociando con otros equipos para perpetuar el caos, muchas de sus herramientas de seguridad favoritas y proyectos de código abierto serán atacados en los próximos meses, así que estén atentos», dijo el actor de amenazas. agregado.

Se recomienda a los usuarios que realicen las siguientes acciones para contener la amenaza:

• Audite todos los entornos para las versiones 1.82.7 o 1.82.8 de Litellm y, si los encuentra, vuelva a una versión limpia.
• Aislar los huéspedes afectados
• Verifique la presencia de pods no autorizados en los clústeres de Kubernetes
• Revise los registros de red para ver el tráfico de salida a «models.litellm[.]nube» y «checkmarx[.]zona»
• Eliminar los mecanismos de persistencia.
• Audite las canalizaciones de CI/CD para detectar el uso de herramientas como Trivy y KICS durante las ventanas de compromiso.
• Revocar y rotar todas las credenciales expuestas

«La cadena de suministro de código abierto se está derrumbando sobre sí misma», dijo Gal Nagli, jefe de exposición a amenazas en Wiz, propiedad de Google. dicho en una publicación en X. «Trivy se ve comprometido → LiteLLM se ve comprometido → las credenciales de decenas de miles de entornos terminan en manos de atacantes → y esas credenciales conducen al siguiente compromiso. Estamos atrapados en un bucle».

Se ha observado una campaña de publicidad maliciosa a gran escala activa desde enero de 2026 dirigida a personas con sede en EE. UU. que buscan documentos relacionados con impuestos para servir a instaladores fraudulentos de ConnectWise ScreenConnect que colocan una herramienta llamada HwAudKiller para cegar los programas de seguridad utilizando la técnica «traiga su propio controlador vulnerable» (BYOVD).

«La campaña abusa de Google Ads para ofrecer instaladores maliciosos de ScreenConnect (ConnectWise Control), y en última instancia entrega un asesino BYOVD EDR que coloca un controlador de kernel para cegar las herramientas de seguridad antes de comprometerlas aún más», Anna Pham, investigadora de Huntress. dicho en un informe publicado la semana pasada.

El proveedor de ciberseguridad dijo que identificó más de 60 casos de sesiones maliciosas de ScreenConnect vinculadas a la campaña. La cadena de ataques se destaca por un par de razones. A diferencia de campañas recientes destacadas por Microsoft que aprovechan señuelos con temas impositivos, la actividad recientemente señalada emplea servicios de encubrimiento comerciales para evitar la detección por escáneres de seguridad y abusa de un controlador de audio de Huawei previamente no documentado para desarmar las soluciones de seguridad.

Los objetivos exactos de la campaña no están claros actualmente; sin embargo, en un caso, se dice que el actor de amenazas aprovechó el acceso para implementar el asesino de detección y respuesta de endpoints (EDR) y luego volcar las credenciales de la memoria de proceso del Servicio del subsistema de la autoridad de seguridad local (LSASS), además de usar herramientas como NetExec para reconocimiento de redes y movimiento lateral.

Estas tácticas, según Huntress, se alinean con el comportamiento previo al ransomware o del corredor de acceso inicial, lo que sugiere que el actor de la amenaza busca implementar ransomware o monetizar el acceso vendiéndolo a otros actores criminales.

El ataque comienza cuando los usuarios buscan términos como «formulario fiscal W2» o «formulario fiscal W-9 2026» en motores de búsqueda como Google, engañándolos para que hagan clic en resultados de búsqueda patrocinados que dirigen a los usuarios a sitios falsos como «bringetax[.]com/humu/» para activar la entrega del instalador de ScreenConnect.

Además, la página de destino está protegida por un sistema de distribución de tráfico (TDS) basado en PHP y desarrollado por Adspect, un servicio de encubrimiento comercial, para garantizar que se muestre una página benigna a los escáneres de seguridad y los sistemas de revisión de anuncios, mientras que sólo las víctimas reales ven la carga útil real.

Esto se logra generando una huella digital del visitante del sitio y enviándola al backend de Adspect, que luego determina la respuesta adecuada. Además de Adspect, el «index.php» de la página de inicio presenta una segunda capa de encubrimiento impulsada por JustCloakIt (JCI) en el lado del servidor.

«Los dos servicios de encubrimiento están apilados en el mismo index.php: el filtrado del lado del servidor de JCI se ejecuta primero, mientras que Adspect proporciona huellas dactilares de JavaScript del lado del cliente como segunda capa», explicó Pham.

Las páginas web conducen a la distribución de instaladores de ScreenConnect, que luego se utilizan para implementar múltiples instancias de prueba en el host comprometido. También se ha descubierto que el actor de amenazas elimina herramientas adicionales de administración y monitoreo remoto (RMM), como FleetDeck Agent, para lograr redundancia y garantizar un acceso remoto persistente.

La sesión de ScreenConnect se aprovecha para colocar un cifrador de varias etapas que actúa como conducto para un asesino de EDR con nombre en código HwAudKiller que utiliza la técnica BYOVD para finalizar procesos asociados con Microsoft Defender, Kaspersky y SentinelOne. El controlador vulnerable utilizado en el ataque es «HWAuidoOs2Ec.sys», un controlador de kernel de Huawei legítimo y firmado diseñado para hardware de audio de portátiles.

«El controlador finaliza el proceso de destino desde el modo kernel, evitando cualquier protección del modo de usuario en la que se basan los productos de seguridad. Debido a que el controlador está firmado legítimamente por Huawei, Windows lo carga sin quejas a pesar de Driver Signature Enforcement (DSE)», señaló Huntress.

El criptocriptador, por su parte, intenta evadir la detección asignando 2 GB de memoria, llenándola con ceros y luego liberándola, lo que provoca que los motores antivirus y emuladores fallen debido a la alta asignación de recursos.

Actualmente no se sabe quién está detrás de la campaña, pero un directorio abierto expuesto en la infraestructura controlada por el actor de amenazas ha revelado una página falsa de actualización de Chrome que contiene código JavaScript con comentarios en ruso. Esto alude a un desarrollador de habla rusa en posesión de un conjunto de herramientas de ingeniería social para la distribución de malware.

«Esta campaña ilustra cómo las herramientas basadas en productos básicos han reducido la barrera para ataques sofisticados», dijo Pham. «El actor de la amenaza no necesitaba exploits personalizados ni capacidades de estado-nación, combinaron servicios de encubrimiento disponibles comercialmente (Adspect y JustCloakIt), instancias ScreenConnect de nivel gratuito, un cifrador disponible en el mercado y un controlador Huawei firmado con una debilidad explotable para construir una cadena de eliminación de extremo a extremo que va desde una búsqueda en Google hasta la terminación EDR en modo kernel».

«Un patrón consistente entre los hosts comprometidos fue el rápido apilamiento de múltiples herramientas de acceso remoto. Después de que se estableció el relé ScreenConnect inicial, el actor de amenazas implementó instancias de prueba adicionales de ScreenConnect en el mismo punto final, a veces dos o tres en cuestión de horas, y herramientas RMM de respaldo como FleetDeck».

SAN FRANCISCO – Mandiant está respondiendo a un importante ataque en curso a la cadena de suministro que involucra el compromiso de Trivy, una herramienta de código abierto ampliamente utilizada de Aqua Security que está diseñada para encontrar vulnerabilidades y configuraciones erróneas en repositorios de código.

Las consecuencias del ataque, que se detectó por primera vez el 19 de marzo, son extensas y plantean un riesgo sustancial de compromisos posteriores e intentos amenazantes de extorsión.

«Conocemos más de 1.000 entornos SaaS afectados en este momento que están lidiando activamente con esta campaña de amenazas en particular», dijo Charles Carmakal, director de tecnología de Mandiant Consulting, durante una sesión informativa sobre amenazas celebrada junto con la Conferencia RSAC 2026. “Esas más de mil víctimas probablemente se expandirán a otras 500, otras 1.000, tal vez otras 10.000”.

Los atacantes robaron un token de acceso privilegiado y establecieron un punto de apoyo en el proceso de automatización del repositorio de Trivy explotando una mala configuración en el entorno GitHub Actions de la herramienta a finales de febrero, dijo Aqua Security en un publicación de blog.

El 1 de marzo, la empresa intentó bloquear una infracción en curso cambiando sus credenciales. Más tarde se dieron cuenta de que el intento falló, lo que permitió al atacante permanecer en el sistema utilizando inicios de sesión válidos. Los atacantes publicaron versiones maliciosas de Trivy el 19 de marzo.

«Si bien esta actividad inicialmente pareció ser un evento aislado, fue el resultado de un ataque más amplio y de múltiples etapas a la cadena de suministro que comenzó semanas antes», dijo Aqua Security en la publicación del blog.

Al comprometer la herramienta, los atacantes obtuvieron acceso a secretos de muchas organizaciones, dijo Carmakal. «Probablemente habrá muchos otros paquetes de software, ataques a la cadena de suministro y una variedad de otros compromisos como resultado de lo que está sucediendo en este momento».

Mandiant espera que en los próximos meses se produzcan revelaciones generalizadas de infracciones, ataques posteriores y una variedad de impactos posteriores.

Los atacantes, que la empresa de respuesta a incidentes aún no ha identificado, están colaborando con múltiples grupos de amenazas con sede principalmente en Estados Unidos, Canadá y el Reino Unido. Estos ciberdelincuentes “son conocidos por ser excepcionalmente agresivos con su extorsión”, dijo Carmakal. «Son muy ruidosos, muy agresivos».

Mandiant todavía está trabajando para identificar la raíz del ataque inicial. «No podemos decir exactamente cómo se robaron esas credenciales, porque creemos que esas credenciales no fueron robadas del entorno de la víctima», dijo Carmakal.

Las credenciales probablemente fueron robadas de otro entorno de nube, un subcontratista de procesos comerciales, un socio o la computadora personal de un ingeniero, agregó.

Aqua dijo que Sygnia, que está investigando el ataque y ayudando en los esfuerzos de remediación, identificó el domingo actividad sospechosa adicional que involucra cambios no autorizados y cambios en el repositorio, actividad que es consistente con el comportamiento observado previamente del atacante.

«Este desarrollo sugiere que el incidente es parte de un ataque continuo y en evolución, en el que el actor de la amenaza restablece el acceso. Nuestra investigación se centra activamente en validar que todas las rutas de acceso hayan sido identificadas y completamente cerradas», dijo la compañía.

Aqua, en su última actualización del martes, dijo que continúa revocando y rotando credenciales en todos los entornos y afirmó que todavía no hay indicios de que sus productos comerciales se vean afectados.

Actualmente, muchos atacantes están utilizando el acceso como arma y probablemente apuntan a víctimas adicionales, cediendo a posibles intentos de extorsión y comprometiendo software adicional, dijo Carmakal.

«Va a ser un resultado diferente para muchas organizaciones diferentes», afirmó. «Este será un foco muy concentrado de los adversarios y su grupo de expansión de socios con los que están colaborando en este momento».

Una campaña de phishing en curso se dirige a entornos corporativos de habla francesa con currículums falsos que conducen al despliegue de mineros de criptomonedas y ladrones de información.

«La campaña utiliza archivos VBScript altamente ofuscados disfrazados de documentos de currículum vitae, entregados a través de correos electrónicos de phishing», dijeron los investigadores de Securonix Shikha Sangwan, Akshay Gaikwad y Aaron Beardslee. dicho en un informe compartido con The Hacker News.

«Una vez ejecutado, el malware implementa un conjunto de herramientas multipropósito que combina el robo de credenciales, la exfiltración de datos y la minería de criptomonedas Monero para una máxima monetización».

La actividad ha sido nombrada en código. FAUX#ELEVAR por la empresa de ciberseguridad. La campaña se destaca por el abuso de infraestructura y servicios legítimos, como Dropbox para la preparación de cargas útiles, sitios marroquíes de WordPress para alojar la configuración de comando y control (C2) y el correo.[.]ru Infraestructura SMTP para extraer credenciales de navegador y archivos de escritorio robados.

Este es un ejemplo de un ataque estilo vivir de la tierra que eleva el nivel sobre cómo los atacantes pueden engañar a los mecanismos de defensa y colarse en el sistema del objetivo sin llamar mucho la atención.

El archivo dropper inicial es un Visual Basic Script (VBScript) que, al abrirse, muestra un mensaje de error falso en francés, engañando a los destinatarios del mensaje haciéndoles pensar que el archivo está dañado. Sin embargo, lo que sucede detrás de escena es que el script muy ofuscado ejecuta una serie de comprobaciones para evadir los entornos sandbox y entra en un bucle persistente de Control de cuentas de usuario (UAC) que solicita a los usuarios que lo ejecuten con privilegios de administrador.

En particular, de las 224.471 líneas del script, sólo 266 líneas contienen código ejecutable real. El resto del guión está lleno de comentarios basura con frases aleatorias en inglés, lo que aumenta el tamaño del archivo a 9,7 MB.

«El malware también utiliza una puerta de unión a un dominio mediante WMI [Windows Management Instrumentation]asegurando que las cargas útiles sólo se entreguen en máquinas empresariales y que los sistemas domésticos independientes queden excluidos por completo», dijeron los investigadores.

Tan pronto como el dropper obtiene privilegios administrativos, no pierde tiempo en deshabilitar los controles de seguridad y encubrir sus huellas configurando rutas de exclusión de Microsoft Defender para todas las letras de unidades principales (de C a I), deshabilitando UAC mediante un cambio en el Registro de Windows y eliminándose a sí mismo.

El dropper también es responsable de recuperar dos archivos 7-Zip separados protegidos con contraseña alojados en Dropbox:

• gmail2.7z, que contiene varios ejecutables para robar datos y extraer criptomonedas
• gmail_ma.7z, que contiene utilidades para persistencia y limpieza

Entre las herramientas utilizadas para facilitar el robo de credenciales se encuentra un componente que aprovecha el proyecto ChromElevator para extraer datos confidenciales de los navegadores basados ​​en Chromium eludiendo las protecciones de cifrado vinculado a aplicaciones (ABE). Algunas de las otras herramientas incluyen:

• mozilla.vbs, un malware VBScript para robar el perfil y las credenciales de Mozilla Firefox
• wall.vbs, una carga útil de VBScript para la exfiltración de archivos de escritorio
• mservice.exe, un minero de criptomonedas XMRig que se lanza después de recuperar la configuración de minería de un sitio de WordPress marroquí comprometido
• WinRing0x64.sys, un controlador legítimo del kernel de Windows que se utiliza para desbloquear todo el potencial de minería de la CPU
• RuntimeHost.exe, un componente troyano persistente que modifica las reglas del Firewall de Windows y se comunica periódicamente con un servidor C2

Los únicos datos del navegador se extraen mediante dos correos separados.[.]cuentas de remitente ru («olga.aitsaid@mail.ru» y «3pw5nd9neeyn@mail.ru») que comparten la misma contraseña a través de SMTP con otra dirección de correo electrónico operada por el actor de la amenaza («vladimirprolitovitch@duck.com»).

Una vez que se completan las actividades de robo de credenciales y exfiltración, la cadena de ataque inicia una limpieza agresiva de todas las herramientas caídas en un intento por minimizar la huella forense, dejando atrás solo al minero y al troyano.

«La campaña FAUX#ELEVATE demuestra una operación de ataque de múltiples etapas bien organizada que combina varias técnicas notables en una sola cadena de infección», dijo Securonix.

«Lo que hace que esta campaña sea particularmente peligrosa para los equipos de seguridad empresarial es la velocidad de ejecución, la cadena de infección completa se completa en aproximadamente 25 segundos desde la ejecución inicial de VBS hasta la exfiltración de credenciales, y el objetivo selectivo de las máquinas unidas al dominio, lo que garantiza que cada host comprometido proporcione el máximo valor a través del robo de credenciales corporativas y el secuestro persistente de recursos».

La medida de la Comisión Federal de Comunicaciones de prohibir los enrutadores fabricados en el extranjero toca una amenaza real, pero los críticos dicen que la regla de la agencia es demasiado amplia, prácticamente inviable y no aborda de manera significativa las debilidades en la seguridad de los enrutadores que han llevado a importantes violaciones a los gobiernos y empresas estadounidenses.

Según la Ley de Equipos Seguros y la Ley de Redes Seguras, la FCC puede prohibir a los fabricantes de tecnología extranjeros si los considera un riesgo para la seguridad nacional. Pero el gobierno federal casi siempre ha optado por apuntar estrechamente a empresas extranjeras específicas con conexiones conocidas o problemáticas con adversarios extranjeros, como la empresa de telecomunicaciones china Huawei o la empresa rusa de antivirus Kaspersky Labs.

Sin embargo, las restricciones anunciadas el lunes simplemente prohíben todos los enrutadores «producidos en un país extranjero», excepto aquellos que cuentan con aprobación condicional de los departamentos de Defensa o Seguridad Nacional.

La orden impone un cese radical e inmediato de la compra de enrutadores y servicios Wi-Fi no estadounidenses para agencias gubernamentales y empresas, junto con preguntas sin respuesta sobre dónde comprar a continuación y qué hacer con los dispositivos extranjeros ya integrados en sus redes.

Al justificar la decisión, el presidente de la FCC, Brendan Carr, citó un informe interinstitucional dirigido por la Casa Blanca del 20 de marzo que concluía que los enrutadores fabricados en el extranjero plantean riesgos «inaceptables» para la seguridad nacional de Estados Unidos.

“Siguiendo el liderazgo del presidente Trump, la FCC continuará [to do] «Nuestra parte es garantizar que el ciberespacio, la infraestructura crítica y las cadenas de suministro de Estados Unidos sean seguros y protegidos», dijo Carr.

A los responsables políticos estadounidenses les preocupan los posibles riesgos de ciberseguridad que supone depender de tecnología y equipos de países como China o Rusia, donde las leyes locales obligan a las empresas nacionales a cooperar en investigaciones de seguridad nacional y a entregar datos confidenciales.

En 2024, los miembros del Congreso pidieron al Departamento de Comercio que investigara a los fabricantes chinos de enrutadores y Wi-Fi como TP-Link, alegando el «grado inusual de vulnerabilidades y el cumplimiento requerido de la compañía». [Chinese] ley” equivalía a un riesgo inaceptable para la seguridad nacional.

El año pasado, cinco presidentes de comités republicanos de la Cámara de Representantes instaron al secretario de Comercio, Howard Lutnick, a utilizar la autoridad del departamento “para eliminar de las cadenas de suministro nacionales los productos y servicios creados por China y otros adversarios extranjeros que han demostrado tener el potencial de introducir vulnerabilidades de seguridad”. Una lista adjunta de industrias que “necesitan acción inmediata” incluía enrutadores y Wi-Fi, al tiempo que mencionaba a TP-Link y Huawei como entidades “chinas o controladas por chinos”.

Si bien la inseguridad de los enrutadores es un problema importante, vale la pena señalar que los productos fabricados en Estados Unidos están lejos de ser inmunes a la piratería extranjera. Las principales campañas de piratería china, como Salt Typhoon, tuvieron éxito no gracias a las puertas traseras de la tecnología fabricada en China, sino a través de la explotación de vulnerabilidades conocidas y previamente reportadas en productos estadounidenses y occidentales.

Un exlíder de inteligencia de EE. UU. dijo a CyberScoop que el país de origen importa más cuando se trata de un adversario como China, que tiene leyes de divulgación de vulnerabilidades y seguridad nacional que exigen que las empresas chinas de enrutadores revelen primero las vulnerabilidades de ciberseguridad al gobierno.

Pero no son sólo los enrutadores chinos, o los fabricados por rivales directos de Estados Unidos, los que preocupan a los funcionarios de inteligencia.

Incluso en un mundo global y conectado digitalmente, la proximidad sigue siendo importante. Los países extranjeros pueden perturbar o infectar más fácilmente la cadena de suministro de países vecinos o limítrofes que pueden depender de piezas, componentes o infraestructura de Internet similares.

“Los atacantes tienen muchas opciones sobre lo que se puede hacer con el acceso al enrutador. [It’s] Aún más fácil si tienes al país que los dirige y accede a ellos en tu patio trasero”, dijo el funcionario, que solicitó el anonimato para hablar con franqueza.

Los inversores pueden estar sacando conclusiones similares. En particular, las acciones de las empresas asiáticas de enrutadores cayó tras el anuncio de la FCCmientras que la empresa estadounidense NetGear, que no depende de las cadenas de suministro chinas, vio sus acciones subir un 12%.

Un nuevo punto de influencia

La naturaleza amplia de la orden, junto con la capacidad de otorgar exenciones a empresas específicas a voluntad, restablece efectivamente la relación regulatoria entre las empresas extranjeras de enrutadores y el gobierno de Estados Unidos. Según él, cada empresa con operaciones de fabricación en China o en el extranjero tendría que solicitar a la FCC una exención de la regla.

La ambigüedad detrás de lo que, específicamente, una empresa tendría que hacer para obtener una exención podría abrir el proceso a posibles abusos o clientelismo político, dijeron los expertos.

Un exfuncionario de la FCC dijo a CyberScoop que estaban desconcertados por la medida y cuestionó si estaba relacionada con la seguridad nacional o si incluso sería aprobada legalmente en los tribunales.

En lugar de agregar empresas objetivo con vínculos extranjeros o un historial de vulnerabilidades de ciberseguridad a la lista de proveedores prohibidos, como lo ha hecho el gobierno y defendido exitosamente En el pasado, la FCC intentó prohibir todos los enrutadores fabricados en el extranjero en todo el mundo. Esto representa una acción disruptiva potencialmente significativa en un entorno en el que muchas empresas y gobiernos hoy utilizan TP-Link y otras empresas extranjeras para sus necesidades de Internet.

El efecto neto es “en realidad crear un nuevo programa federal de aprobaciones condicionales” para empresas extranjeras de enrutadores, dijo el alumno de la FCC, uno que es tan amplio que requeriría un esfuerzo federal combinado masivo para eliminar efectivamente a los malos actores de la cadena de suministro extranjera.

«Me cuesta creer que esta administración -dado lo que hemos visto en CISA y otras agencias y las salidas masivas- realmente implementará un programa sofisticado y personalizado para abordar adecuadamente este tipo de enorme oscilación de toda una base de productos de consumo», dijo el funcionario, a quien se le concedió el anonimato para hablar con franqueza.

El funcionario señaló un intento a principios de este año por parte de la administración, a través de la Administración Federal de Aviación, de hacer valer una amplia autoridad para regular los vuelos de drones en todo el país, diciendo que había paralelos similares de «grandes cambios» con la justificación legal aquí. Actualmente se está prohibiendo los drones desafiado en la cortey el funcionario dijo que esperan que el pedido de enrutadores de la FCC esté sujeto a demandas similares por parte de empresas.

A principios de este mes, Carr también propuso nuevas regulaciones que impondrían requisitos de idioma inglés a los centros de llamadas en el extranjero y pidió al público información sobre posibles políticas para «alentar» a las empresas a establecer centros de llamadas en los EE. UU., «incluidos límites al volumen de llamadas de los centros de llamadas en el extranjero».

Carr dijo que la FCC también estaba «abriendo un nuevo frente en nuestros esfuerzos por bloquear las llamadas automáticas ilegales desde el extranjero al examinar el uso específico de aranceles o bonos».

El ex funcionario de la FCC dijo que la prioridad de Carr sobre la aplicación novedosa de autoridades arancelarias mientras discutía la implementación de dos leyes: la Ley rastreada y el Ley de verdad en el identificador de llamadas – que no están relacionados con el comercio hace imposible separar las preocupaciones genuinas de seguridad nacional de la agencia de los intentos más amplios de la administración Trump de ganar influencia sobre las empresas extranjeras en sus luchas comerciales.

«Esos son saltos aleatorios extraños que parecen ser una respuesta a este panorama más amplio de la gran decisión arancelaria que surgió», dijo el funcionario.

Otros dos flujos de trabajo de GitHub Actions se han convertido en los últimos en verse comprometidos por malware de robo de credenciales por parte de un actor de amenazas conocido como TeamPCP, la operación cibercriminal nativa de la nube que también está detrás del ataque a la cadena de suministro de Trivy.

Los flujos de trabajo, ambos mantenidos por la empresa de seguridad de la cadena de suministro Checkmarx, se enumeran a continuación:

La empresa de seguridad en la nube Sysdig dijo que observó un ladrón de credenciales idéntico al utilizado en las operaciones de TeamPCP dirigidas al escáner de vulnerabilidad Trivy de Aqua Security y sus acciones GitHub asociadas, aproximadamente cuatro días después de la violación del 19 de marzo de 2026. El compromiso de la cadena de suministro de Try se rastrea bajo el identificador CVE. CVE-2026-33634 (Puntuación CVSS: 9,4).

«Esto sugiere que las credenciales robadas del compromiso Trivy se utilizaron para envenenar acciones adicionales en los repositorios afectados», Sysdig dicho.

El ladrón, conocido como «ladrón de nubes de TeamPCP», está diseñado para robar credenciales y secretos relacionados con claves SSH, Git, Amazon Web Services (AWS), Google Cloud, Microsoft Azure, Kubernetes, Docker, archivos .env, bases de datos y VPN, junto con configuraciones de CI/CD, datos de billeteras de criptomonedas y URL de webhook de Slack y Discord.

Como en el caso de Trivy, se ha descubierto que los actores de amenazas fuerzan la inserción de etiquetas en confirmaciones maliciosas que contienen la carga útil del ladrón («setup.sh»). Los datos robados se exfiltran al dominio «checkmarx[.]zona» (dirección IP: 83.142.209[.]11:443) en forma de archivo cifrado («tpcp.tar.gz»).

La nueva versión crea un repositorio «docs-tpcp» utilizando el GITHUB_TOKEN de la víctima para preparar los datos robados como método de respaldo si falla la filtración al servidor. En el incidente de Trivy, los actores de amenazas utilizaron en su lugar el nombre del repositorio «tpcp-docs».

«El uso de dominios typosquat específicos del proveedor para cada acción envenenada es una técnica de engaño deliberada», dijo Sysdig. «Un analista que revise los registros de CI/CD vería que el tráfico se dirige a lo que parece ser el dominio del propio proveedor de la acción, lo que reduce la probabilidad de detección manual».

El hecho de que la función principal del ladrón sea recolectar credenciales de la memoria del corredor de CI permite a los operadores extraer tokens de acceso personal (PAT) de GitHub y otros secretos cuando se ejecuta una acción Trivy comprometida en un flujo de trabajo. Para empeorar las cosas, si esos tokens tienen acceso de escritura a repositorios que también usan acciones Checkmarx, el atacante puede utilizarlos como arma para enviar código malicioso.

Esto, a su vez, abre la puerta a un compromiso en cascada en la cadena de suministro, donde una acción envenenada captura secretos que se utilizan para facilitar el envenenamiento de otras acciones.

«La carga útil, el esquema de cifrado y la convención de nomenclatura tpcp.tar.gz idénticos confirman que se trata del mismo actor de amenazas que amplía su alcance más allá del compromiso inicial de Trivy», señaló Sysdig. «La revisión del código y el escaneo de dependencias fallaron aquí porque el código malicioso se inyectó en una acción confiable en la fuente».

Según Wiz, el ataque parece haberse llevado a cabo mediante el compromiso de la cuenta de servicio «cx-plugins-releases», y los atacantes también publicar versiones troyanizadas del «resultados-ast» (versión 2.53.0) y «asistencia-cx-dev» (versión 1.7.0) Abra las extensiones VSX. Las versiones de VS Code Marketplace no se ven afectadas.

Una vez activada la extensión, la carga maliciosa comprueba si la víctima tiene credenciales para al menos un proveedor de servicios en la nube, como GitHub, AWS, Google Cloud y Microsoft Azure. Si se detecta alguna credencial, procede a buscar una carga útil de la siguiente etapa del mismo dominio («checkmarx[.]zona»).

«La carga útil intenta la ejecución a través de npx, bunx, pnpx o Yarn dlx. Esto cubre los principales administradores de paquetes de JavaScript», afirman los investigadores de Wiz, Rami McCarthy, James Haughom y Benjamin Read. dicho. «El paquete recuperado contiene un completo ladrón de credenciales. Las credenciales recolectadas luego se cifran, utilizando las claves como en otras partes de esta campaña, y se exfiltran a ‘checkmarx[.]zona/vsx’ como tpcp.tar.gz.»

«En sistemas que no son CI, el malware instala la persistencia a través de un servicio de usuario systemd. El script de persistencia sondea https://checkmarx[.]zona/raw cada 50 minutos para cargas útiles adicionales, con un interruptor de apagado que cancela si la respuesta contiene «youtube». Actualmente, el enlace redirige a The Show Must Go On de Queen».

Para mitigar la amenaza, se recomienda a los usuarios que realicen las siguientes acciones con efecto inmediato:

• Rote todos los secretos, tokens y credenciales de la nube a los que tuvieron acceso los ejecutores de CI durante la ventana afectada.
• Auditar la ejecución del flujo de trabajo de GitHub Actions para cualquier referencia a tpcp.tar.gz, scan.aquasecurity[.]org o checkmarx[.]zona en registros de corredor.
• Busque en la organización de GitHub repositorios llamados «tpcp-docs» o «docs-tpcp», que indican una exfiltración exitosa a través del mecanismo de reserva.
• Fije acciones de GitHub para confirmar SHA por completo en lugar de etiquetas de versión, ya que las etiquetas se pueden forzar.
• Supervise las conexiones de red salientes desde los ejecutores de CI a dominios sospechosos.
• Restrinja el servicio de metadatos de instancia (IMDS) de los contenedores del ejecutor de CI mediante IMDSv2.

En los días posteriores a la infracción inicial, los actores de TeamPCP enviaron imágenes maliciosas de Docker de Trivy que contenían el mismo ladrón y secuestraron la organización GitHub «aquasec-com» de la compañía para manipular docenas de repositorios internos.

También se les ha observado apuntando a clústeres de Kubernetes con un script de shell malicioso que borra todas las máquinas cuando detecta sistemas que coinciden con la zona horaria y la ubicación iraní, lo que destaca una nueva escalada del modus operandi del grupo.

El Departamento del Tesoro está solicitando comentarios del público sobre si debería cambiar un programa de seguro contra riesgos de terrorismo para abordar las pérdidas relacionadas con la cibernética.

en un Aviso del Registro Federal El Tesoro, que se publicará el miércoles, busca comentarios del público para un informe obligatorio que debe entregar al Congreso este verano sobre la eficacia del programa de seguro contra riesgos de terrorismo (TRIP, por sus siglas en inglés) creado por la Ley de Seguro contra Riesgos de Terrorismo de 2002. Esa ley surgió de los ataques terroristas del 11 de septiembre y proporcionó un respaldo federal para hacer que los seguros contra riesgos de terrorismo sean más disponibles y asequibles.

Algunos expertos han sugerido que la industria de los seguros cibernéticos también debería recibir un respaldo federal mientras la industria lucha por desarrollarse plenamente. Dado que la ley expirará a fines de 2027, vincularla a la reautorización de la ley de seguro contra riesgos de terrorismo podría ser una forma de lograr que el Congreso cree dicho respaldo cibernético.

Entre los temas que el Tesoro espera que los comentaristas aborden antes de enviar el informe al Congreso en junio está la interacción entre la ley y el programa de seguro contra riesgos de terrorismo y la ciberseguridad. La agencia aceptará comentarios hasta el 8 de mayo.

Eso incluye: “Cualquier cambio potencial a TRIA o TRIP que fomente la contratación de seguros para pérdidas relacionadas con la cibernética que surjan de actos de terrorismo como se define en TRIA, incluyendo, entre otros, la posible modificación de las líneas de seguro cubiertas por TRIP y revisiones de cualquiera de los mecanismos actuales de reparto para pérdidas relacionadas con la cibernética, como, por ejemplo, el deducible de la aseguradora individual o el porcentaje de participación federal”.

En 2021, el Tesoro emitió una norma que dejaba claro que TRIP podría cubrir pérdidas cibernéticas si se inscribían en una línea de seguro elegible para TRIP. Sin embargo, un Informe de la Oficina de Responsabilidad Gubernamental el año pasado describió algunas de las limitaciones allí.

«Debido a que TRIA fue diseñada específicamente como un respaldo federal para pérdidas por actos de terrorismo, sólo las pérdidas por ciberataques certificados por el Tesoro como actos de terrorismo tendrían cobertura TRIA», afirma. «Como resultado, incluso los grandes ciberataques que provocan pérdidas catastróficas no estarían cubiertos por la TRIA si no estuvieran certificados como actos de terrorismo».

El Tesoro dijo en su aviso del Registro Federal que quiere comentarios sobre las pérdidas relacionadas con el terrorismo cibernético dentro del TRIP y las pérdidas fuera de él.

Para ser certificados, los ataques cibernéticos tendrían que cumplir con las definiciones de la ley de seguros contra riesgos de terrorismo. Deben ser violentos o peligrosos para la vida, la propiedad o la infraestructura, y estar diseñados para influir en la población o el gobierno de Estados Unidos. Es posible que los daños a organizaciones estadounidenses fuera de los Estados Unidos aún no califiquen.

El fabricante de dispositivos médicos Stryker sufrió recientemente un ataque con limpiaparabrisas, con el grupo pro palestino vinculado al gobierno iraní Handala. tomando crédito. Dijo que el ataque fue en represalia por los ataques militares de Estados Unidos e Israel contra Irán, específicamente un Ataque con misiles estadounidenses en una escuela que mató a 175 personas, según el gobierno de Irán.

Investigadores de ciberseguridad han descubierto un nuevo conjunto de paquetes npm maliciosos diseñados para robar billeteras de criptomonedas y datos confidenciales.

ReversingLabs está rastreando la actividad como Fantasma campaña. La lista de paquetes identificados, todos publicados por un usuario llamado mikilanjillo, se encuentra a continuación:

• reaccionar-rendimiento-suite
• reaccionar-estado-optimizador-núcleo
• reaccionar-rápido-utilsa
• ai-fast-auto-trader
• pkgnewfefame1
• clonador-copia-carbon-mac
• coinbase-escritorio-sdk

«Los paquetes en sí son phishing para la contraseña sudo con la que se ejecuta la última etapa, y están tratando de ocultar su funcionalidad real y evitar la detección de una manera sofisticada: mostrando registros de instalación de npm falsos», Lucija Valentić, investigadora de amenazas de software en ReversingLabs, dicho en un informe compartido con The Hacker News.

Las bibliotecas Node.js identificadas, además de afirmar falsamente que descargan paquetes adicionales, insertan retrasos aleatorios para dar la impresión de que el proceso de instalación está en marcha. En un momento durante este paso, se alerta al usuario de que la instalación se está ejecutando con un error debido a que faltan permisos de escritura en «/usr/local/lib/node_modules», que es la ubicación predeterminada para los paquetes Node.js instalados globalmente en sistemas Linux y macOS.

También le indica a la víctima que ingrese su contraseña de root o administrador para continuar con la instalación. Si ingresan la contraseña, el malware recupera silenciosamente el descargador de la siguiente etapa, que luego se comunica con un canal de Telegram para obtener la URL de la carga útil final y la clave necesaria para descifrarla.

El ataque culmina con la implementación de un troyano de acceso remoto que es capaz de recopilar datos, apuntar a billeteras de criptomonedas y esperar más instrucciones de un servidor externo.

ReversingLabs dijo que las actividades compartidas se superponen con un grupo de actividades documentado por JFrog con el nombre de GhostClaw a principios de este mes, aunque actualmente no se sabe si es trabajo del mismo actor de amenazas o de una campaña completamente nueva.

GhostClaw utiliza repositorios de GitHub y flujos de trabajo de IA para ofrecer macOS Stealer

Jamf Threat Labs, en un análisis publicado la semana pasada, dijo que la campaña GhostClaw utiliza repositorios de GitHub y flujos de trabajo de desarrollo asistidos por inteligencia artificial (IA) para entregar cargas útiles de robo de credenciales en macOS.

«Estos repositorios se hacen pasar por herramientas legítimas, incluidos robots comerciales, SDK y utilidades para desarrolladores, y están diseñados para parecer creíbles a primera vista», dijo el investigador de seguridad Thijs Xhaflaire. dicho. «Varios de los repositorios identificados han acumulado un compromiso significativo, en algunos casos superando los cientos de estrellas, lo que refuerza aún más su legitimidad percibida».

En esta campaña, los repositorios se llenan inicialmente con código benigno o parcialmente funcional y se dejan sin cambios durante un período prolongado para generar confianza entre los usuarios antes de introducir componentes maliciosos. Específicamente, los repositorios cuentan con un archivo README que guía a los desarrolladores a ejecutar un script de shell como parte del paso de instalación.

Una variante de estos repositorios presenta un archivo SKILL.md, dirigido principalmente a flujos de trabajo orientados a Al con el pretexto de instalar habilidades externas a través de agentes de IA como OpenClaw. Independientemente del método utilizado, el script de shell inicia un proceso de infección de varias etapas que finaliza con la implementación de un ladrón. La secuencia completa de acciones es la siguiente:

• Identifica la arquitectura del host y la versión de macOS, verifica si Node.js ya está presente e instala una versión compatible si es necesario. La instalación se realiza en un directorio controlado por el usuario para evitar generar señales de alerta.
• Invoca «node scripts/setup.js» y «node scripts/postinstall.js», lo que provoca que la ejecución pase a cargas útiles de JavaScript, lo que le permite robar credenciales del sistema, entregar el malware GhostLoader contactando a un servidor de comando y control (C2) y eliminar rastros de actividad maliciosa limpiando la Terminal.

El script también viene con una variable de entorno llamada «GHOST_PASSWORD_ONLY», que, cuando se establece en cero, presenta un flujo de instalación interactivo completo, completo con indicadores de progreso y mensajes para el usuario. Si se establece en 1, el script inicia una ruta de ejecución simplificada centrada principalmente en la recopilación de credenciales sin ningún elemento adicional de la interfaz de usuario.

Curiosamente, al menos en algunos casos, el script «postinstall.js» muestra un mensaje de éxito benigno, indicando que la instalación fue exitosa y que los usuarios pueden configurar la biblioteca en sus proyectos ejecutando el comando «npx reaccionar-state-optimizer».

Según un informe de la compañía de seguridad en la nube Panther el mes pasado, «react-state-optimizer» es uno de varios otros paquetes npm publicados por «mikilanjillo», lo que indica que los dos grupos de actividad son uno y el mismo.

• reaccionar-consulta-core-utils
• optimizador de estado de reacción
• reaccionar-rápido-utils
• reaccionar-rendimiento-suite
• ai-fast-auto-trader
• clonador-copia-carbon-mac
• clonador-copias-carbon-mac
• pkgnewfefame
• barra oscura

«Los paquetes contienen un ‘asistente de configuración’ CLI que engaña a los desarrolladores para que ingresen su contraseña sudo para realizar ‘optimizaciones del sistema’», dijo la investigadora de seguridad Alessandra Rizzo. «La contraseña capturada luego se pasa a una carga útil integral de ladrón de credenciales que recopila credenciales del navegador, billeteras de criptomonedas, claves SSH, configuraciones de proveedores de nube y tokens de herramientas de desarrollador».

«Los datos robados se enrutan a bots de Telegram específicos de los socios en función de un identificador de campaña integrado en cada cargador, con credenciales almacenadas en el contrato inteligente de BSC y actualizadas sin modificar el malware en sí».

El paquete npm inicial captura las credenciales y recupera la configuración de un canal de Telegram o de una página Teletype.in que está disfrazada de documentación de blockchain para implementar el ladrón. Según Panther, el malware implementa un modelo de ingresos dual, donde el ingreso principal proviene del robo de credenciales transmitido a través de canales asociados de Telegram, y el ingreso secundario proviene de redirecciones de URL de afiliados almacenadas en un contrato inteligente de Binance Smart Chain (BSC) separado.

«Esta campaña destaca un cambio continuo en el arte de los atacantes, donde los métodos de distribución se extienden más allá de los registros de paquetes tradicionales hacia plataformas como GitHub y flujos de trabajo de desarrollo emergentes asistidos por IA», dijo Jamf. «Al aprovechar ecosistemas confiables y prácticas de instalación estándar, los atacantes pueden introducir código malicioso en entornos con mínima fricción».

Un tribunal federal de Indiana condenó a un ciberdelincuente ruso a 81 meses de prisión por cargos relacionados con su papel como intermediario de acceso inicial para grupos de ransomware.

Aleksei Volkov, de 26 años, de San Petersburgo, Rusia, se declaró culpable en noviembre de 2025 de seis cargos federales derivados de su trabajo con el grupo de ransomware Yanluowang y otras organizaciones cibercriminales entre julio de 2021 y noviembre de 2022. Fue arrestado en Roma y posteriormente extraditado a Estados Unidos.

Volkov, también conocido como “chubaka.kor”, operaba como intermediario de acceso inicial, una función especializada en la que identificaba y explotaba vulnerabilidades en redes corporativas y vendía ese acceso a operadores de ransomware. La función se ha vuelto cada vez más común en el ecosistema de ransomware, lo que permite a los delincuentes beneficiarse de los ataques sin implementar malware directamente ni ejecutar demandas de extorsión.

Según documentos judiciales, Volkov facilitó docenas de ataques que resultaron en más de 9 millones de dólares en pérdidas confirmadas para las víctimas y más de 24 millones de dólares en pérdidas previstas. Los fiscales identificaron siete empresas estadounidenses específicas que fueron objeto de ataques durante el período de 16 meses, entre ellas una empresa de ingeniería y un banco. Dos víctimas pagaron un total de 1,5 millones de dólares en pagos de rescate.

El grupo de ransomware Yanluowang empleó tácticas que van más allá del simple cifrado de datos. Las víctimas informaron haber recibido llamadas telefónicas de acoso y haber experimentado ataques distribuidos de denegación de servicio después de que les robaron sus datos, lo que representa una evolución en la forma en que los operadores de ransomware aplican presión a los objetivos.

Volkov recibió una compensación a través de tarifas fijas por proporcionar acceso a la red o porcentajes de los pagos de rescate cobrados a las víctimas. Cuando las víctimas se negaron a pagar, los conspiradores publicaron datos robados en sitios web de filtración diseñados para avergonzar a las empresas y potencialmente alentar a futuras víctimas a cumplir con las demandas.

Su declaración de culpabilidad cubrió cargos presentados en dos jurisdicciones separadas que luego se consolidaron, incluida la transferencia ilegal de un medio de identificación, tráfico de información de acceso, fraude de dispositivos de acceso, robo de identidad agravado, conspiración para cometer fraude informático y conspiración para cometer lavado de dinero.

Como parte de su sentencia, Volkov debe pagar una restitución total a las víctimas, incluidos al menos 9,1 millones de dólares a empresas identificadas, y confiscar el equipo utilizado en sus actividades delictivas.