El senador Ron Wyden, demócrata por Oregón, advirtió al jefe de la Administración de la Seguridad Social, Frank Bisignano, que cualquier seguimiento de la orden ejecutiva del presidente Donald Trump que crea una nueva base de datos de votantes estadounidenses utilizando datos de la agencia sería visto por los demócratas como una elección consciente por parte de los funcionarios de la SSA de participar en una “descarada supresión de votantes”.

«Facilitar la directiva de Donald Trump de crear una base de datos de votantes defectuosa sería participar voluntariamente en una flagrante supresión de votantes antes de las consiguientes elecciones de mitad de período», escribió Wyden, el principal demócrata en el Comité de Finanzas del Senado, en un carta a Bisignano enviado el viernes.

El orden ejecutivaemitido el 31 de marzo, ordena al secretario de Seguridad Nacional, al director de los Servicios de Inmigración y Ciudadanía de EE.UU. y al comisionado de la Administración de la Seguridad Social que recopilen listas de votantes estadounidenses para cada estado, incluido su supuesto estatus de ciudadanía.

Para construir las listas, las agencias se basarían en la controvertida base de datos de Verificación Sistemática de Derechos de Extranjeros que el DHS ha estado construyendo bajo la administración Trump, así como en los registros federales de ciudadanía y naturalización del Seguro Social y.

Esas listas luego se transmitirían a los estados, la mayoría de los cuales ya han rechazado esfuerzos anteriores de la administración Trump para recopilar datos de votantes o dictar listas de registro de votantes. Otra sección de la orden ordenaría al director general de correos que desarrollara una lista similar, estado por estado, de votantes elegibles para votar por correo.

“La clara intención de esta orden ejecutiva es socavar el voto por correo y privar de sus derechos a los votantes elegibles”, escribió Wyden. «La SSA tiene el deber de garantizar que sus datos no se utilicen indebidamente como parte de este esfuerzo».

Wyden se hizo eco de numerosos funcionarios estatales y expertos electorales al calificar la orden ejecutiva de la administración Trump como una usurpación inconstitucional por parte del poder ejecutivo de las autoridades electorales que la Constitución de los Estados Unidos define claramente para el Congreso y los estados.

La orden ejecutiva de la Casa Blanca ya ha sido impugnada en demandas de funcionarios estatales y defensores del derecho al voto, y una orden ejecutiva anterior, menos ambiciosa, emitida el año pasado que intentaba hacer valer autoridades similares del poder ejecutivo fue revocada en gran medida por los tribunales estadounidenses.

La misiva de Wyden esencialmente le pide a Bisignano que considere si seguir la orden de la administración Trump entraría en conflicto con su responsabilidad de salvaguardar los registros del Seguro Social bajo leyes como la Ley de Privacidad y la Ley del Seguro Social.

Pregunta cómo se asegurará la agencia de no privar de sus derechos a los votantes y si solicitó permiso a los ciudadanos para utilizar sus datos del Seguro Social para una lista de elecciones federales, y señala que las propias regulaciones de la agencia limitan el intercambio de datos del Seguro Social al «uso rutinario para determinar la elegibilidad o la cantidad de beneficios en un programa de salud o mantenimiento de ingresos».

Ampliar el papel de la agencia a las elecciones -un área en la que no tiene antecedentes ni experiencia- estaría en conflicto directo con esas reglas.

«En pocas palabras, compartir los datos personales de los estadounidenses con el DHS para crear una lista de 'ciudadanía estatal' no cumple con este estándar», escribió Wyden.

Un actor de amenazas alineado con China ha puesto su mirada en el gobierno y las organizaciones diplomáticas europeas desde mediados de 2025, luego de un período de dos años de ataques mínimos en la región.

La campaña ha sido atribuida a TA416un grupo de actividad que se superpone con DarkPeony, RedDelta, Red Lich, SmugX, UNC6384 y Vertigo Panda.

«Esta actividad TA416 incluyó múltiples oleadas de campañas de entrega de malware y errores web contra misiones diplomáticas ante la Unión Europea y la OTAN en una variedad de países europeos», dijeron los investigadores de Proofpoint, Mark Kelly y Georgi Mladenov. dicho.

«A lo largo de este período, TA416 alteró regularmente su cadena de infección, incluido el abuso de las páginas de desafío de Cloudflare Turnstile, el abuso de redireccionamientos OAuth y el uso de archivos de proyecto C#, además de actualizar con frecuencia su carga útil personalizada de PlugX».

También se ha observado que TA416 orquesta múltiples campañas dirigidas a entidades diplomáticas y gubernamentales en el Medio Oriente luego del estallido del conflicto entre Estados Unidos, Israel e Irán a fines de febrero de 2026. Es probable que el esfuerzo sea un intento de recopilar inteligencia regional relacionada con el conflicto, agregó la compañía de seguridad empresarial.

Vale la pena mencionar aquí que TA416 también comparte superposiciones técnicas históricas con otro grupo conocido como Mustang Panda (también conocido como CerenaKeeper, Red Ishtar y UNK_SteadySplit). Los dos grupos de actividades se rastrean colectivamente bajo los apodos Earth Preta, Hive0154, HoneyMyte, Stately Taurus, Temp.HEX y Twill Typhoon.

Si bien los ataques de TA416 se caracterizan por el uso de variantes PlugX personalizadas, el clúster Mustang Panda ha implementado repetidamente herramientas como TONESHELL, PUBLOAD y COOLCLIENT en ataques recientes. Lo que tienen en común ambos es el uso de carga lateral de DLL para iniciar el malware.

El renovado enfoque de TA416 en entidades europeas está impulsado por una combinación de campañas de entrega de malware y errores web, en las que los actores de amenazas utilizan cuentas de remitente de correo gratuito para realizar reconocimientos e implementar la puerta trasera PlugX a través de archivos maliciosos alojados en Microsoft Azure Blob Storage, Google Drive, dominios bajo su control e instancias comprometidas de SharePoint. Las campañas de malware PlugX fueron documentadas previamente por StrikeReady y Arctic Wolf en octubre de 2025.

«Un error web (o píxel de seguimiento) es un pequeño objeto invisible incrustado en un correo electrónico que activa una solicitud HTTP a un servidor remoto cuando se abre, revelando la dirección IP del destinatario, el agente de usuario y el tiempo de acceso, lo que permite al actor de amenazas evaluar si el correo electrónico fue abierto por el objetivo previsto», dijo Proofpoint.

Se descubrió que los ataques llevados a cabo por TA416 en diciembre de 2025 aprovechaban las aplicaciones en la nube Microsoft Entra ID de terceros para iniciar redireccionamientos que conducen a la descarga de archivos maliciosos. Los correos electrónicos de phishing utilizados como parte de esta ola de ataques contienen un enlace al sitio web legítimo de Microsoft. OAuth punto final de autorización que, cuando se hace clic, redirige al usuario al dominio controlado por el atacante y, en última instancia, implementa PlugX.

El uso de esta técnica no ha pasado desapercibido para Microsoft, que el mes pasado advirtió sobre campañas de phishing dirigidas a organizaciones gubernamentales y del sector público que emplean mecanismos de redireccionamiento de URL OAuth para eludir las defensas de phishing convencionales implementadas en el correo electrónico y los navegadores.

En febrero de 2026 se observaron más mejoras en la cadena de ataque, cuando TA416 comenzó a vincularse a archivos alojados en Google Drive o una instancia comprometida de SharePoint. Los archivos descargados, en este caso, incluyen un ejecutable legítimo de Microsoft MSBuild y un archivo de proyecto C# malicioso.

«Cuando se ejecuta el ejecutable de MSBuild, busca en el directorio actual un archivo de proyecto y lo compila automáticamente», dijeron los investigadores. «En la actividad TA416 observada, el archivo CSPROJ actúa como un descargador, decodificando tres URL codificadas en Base64 para recuperar una tríada de carga lateral de DLL de un dominio controlado por TA416, guardándolas en el directorio temporal del usuario y ejecutando un ejecutable legítimo para cargar PlugX a través de la cadena de carga lateral de DLL típica del grupo».

El malware PlugX sigue teniendo una presencia constante durante las intrusiones de TA416, aunque los ejecutables legítimos y firmados de los que se abusa para la carga lateral de DLL han variado con el tiempo. También se sabe que la puerta trasera establece un canal de comunicación cifrado con su servidor de comando y control (C2), no sin antes realizar comprobaciones antianálisis para evitar la detección.

PlugX acepta cinco comandos diferentes:

• 0x00000002para capturar información del sistema
• 0x00001005para desinstalar el malware
• 0x00001007para ajustar el intervalo de balizas y el parámetro de tiempo de espera
• 0x00003004para descargar una nueva carga útil (EXE, DLL o DAT) y ejecutarla
• 0x00007002para abrir un shell de comando inverso

«El cambio de TA416 a centrarse nuevamente en el gobierno europeo a mediados de 2025, después de dos años de centrarse en el Sudeste Asiático y Mongolia, es consistente con un renovado enfoque de recopilación de inteligencia contra entidades diplomáticas afiliadas a la UE y la OTAN», dijo Proofpoint.

«Además, la expansión de TA416 al gobierno de Medio Oriente en marzo de 2026 resalta aún más cómo la priorización de tareas del grupo probablemente se ve influenciada por puntos de inflamación y escaladas geopolíticas. A lo largo de este período, el grupo ha mostrado su voluntad de iterar en las cadenas de infección, pasando por el uso de páginas falsas de Cloudflare Turnstile, abuso de redireccionamiento de OAuth y entrega basada en MSBuild, mientras continúa actualizando su puerta trasera PlugX personalizada».

La revelación se produce cuando Darktrace reveló que las operaciones cibernéticas del nexo chino han evolucionado desde una actividad estratégicamente alineada en la década de 2010 hasta intrusiones altamente adaptables y centradas en la identidad con la intención de establecer una persistencia a largo plazo dentro de las redes de infraestructura crítica.

Según una revisión de las campañas de ataque entre julio de 2022 y septiembre de 2025, las organizaciones con sede en EE. UU. representaron el 22,5 % de todos los eventos globales, seguidas por Italia, España, Alemania, Tailandia, el Reino Unido, Panamá, Colombia, Filipinas y Hong Kong. La mayoría de los casos (63%) involucraron la explotación de la infraestructura de Internet (por ejemplo, CVE-2025-31324 y CVE-2025-0994) para obtener acceso inicial.

«En un caso notable, el actor había comprometido completamente el entorno y había establecido persistencia, sólo para resurgir en el entorno más de 600 días después», Darktrace dicho. «La pausa operativa subraya tanto la profundidad de la intrusión como la intención estratégica a largo plazo del actor».

El presupuesto fiscal 2027 del presidente Donald Trump recortaría el total de la Agencia de Seguridad de Infraestructura y Ciberseguridad en $707 millonessegún un resumen publicado el viernes, lo que reduciría profundamente una agencia que ya recibió un gran golpe en el primer año de Trump.

Otro documento presupuestario sugiere un impacto menor, pero aún sustancial, de $361 millones, y la discrepancia posiblemente se deba a los puntos de comparación en medio de la incertidumbre presupuestaria para la agencia matriz de CISA, el Departamento de Seguridad Nacional. DHS y CISA no respondieron de inmediato a una solicitud de aclaración.

“En el momento en que se preparó el Presupuesto, el proyecto de ley de asignaciones de 2026 para el Departamento de Seguridad Nacional no estaba promulgado, y los fondos proporcionados por la última resolución continua bajo la cual había estado operando (Ley de Asignaciones Continuas, 2026, división A de la Ley Pública 119-37, modificada por la división H de la Ley Pública 119-75) habían caducado”, señala el resumen del presupuesto. «Las referencias al gasto de 2026 en el texto y las tablas para programas y actividades normalmente previstas en el proyecto de ley de asignaciones para todo el año reflejan el nivel anualizado proporcionado por la última resolución continua».

Según cualquiera de las mediciones, el presupuesto propuesto recortaría profundamente una agencia que inició la administración Trump con aproximadamente $3 mil millones, y estaría sustancialmente por debajo si el Congreso promulga el último plan. El apéndice del presupuesto dice que CISA terminaría con poco más de 2.000 millones de dólares en financiación discrecional según el plan de Trump. Para el año fiscal 2026, los apropiadores buscaron mitigar algunas de las reducciones CISA propuestas por Trump.

El resumen del presupuesto de 2027 recicla un lenguaje idéntico del resumen del presupuesto de 2026 y hace referencia a la finalización de programas que CISA ya ha cerrado.

“El Presupuesto reenfoca a CISA en su misión principal: la defensa de la red federal y la mejora de la seguridad y la resiliencia de la infraestructura crítica, al tiempo que elimina el uso de armas y el desperdicio”, afirma el resumen en los documentos de 2026 y 2027.

Hace referencia a deshacerse de cosas que ya se han recortado, como «oficinas de participación externa como la gestión del consejo, la participación de las partes interesadas y los asuntos internacionales». Habla de poner fin a los programas centrados en la censura, algo que CISA bajo la administración Biden dijo que nunca había hecho, y de la “llamada” desinformación, que CISA dijo que puso fin durante el mandato del expresidente.

El representante de Mississippi Bennie Thompson, el principal demócrata en el Comité de Seguridad Nacional de la Cámara de Representantes, criticó la propuesta de presupuesto para CISA.

«Al igual que la estrategia cibernética del presidente, el presupuesto CISA del presidente refleja su total falta de comprensión de la urgencia de las amenazas cibernéticas que enfrentamos y de cómo movilizar al gobierno para ayudar a enfrentarlas», dijo en una declaración a CyberScoop. “A partir de 2023, CISA estaba gastando 2 millones de dólares para contrarrestar las operaciones de información, un esfuerzo lanzado inicialmente a instancias de los republicanos del Congreso durante la primera administración Trump.

«No hay nada que justifique un recorte imprudente de 700 millones de dólares al CISA, particularmente en un momento de tensiones intensificadas con Irán y una China cada vez más agresiva», continuó. «Estoy comprometido a trabajar con mis colegas para hacer frente a estos recortes y garantizar que podamos proteger al gobierno y las redes de infraestructura crítica».

Los actores de amenazas utilizan cada vez más cookies HTTP como canal de control para shells web basados ​​en PHP en servidores Linux y para lograr la ejecución remota de código, según los hallazgos del equipo de investigación de seguridad de Microsoft Defender.

«En lugar de exponer la ejecución de comandos a través de parámetros de URL o cuerpos de solicitud, estos shells web se basan en valores de cookies proporcionados por los actores de amenazas para controlar la ejecución, pasar instrucciones y activar funciones maliciosas», dijo el gigante tecnológico. dicho.

El enfoque ofrece mayor sigilo, ya que permite que el código malicioso permanezca inactivo durante la ejecución normal de la aplicación y active la lógica del shell web solo cuando están presentes valores de cookies específicos. Este comportamiento, señaló Microsoft, se extiende a solicitudes web, tareas programadas y trabajadores en segundo plano confiables.

La actividad maliciosa aprovecha el hecho de que los valores de las cookies están disponibles en tiempo de ejecución a través del $_COOKIE superglobal variable, lo que permite consumir las entradas proporcionadas por el atacante sin análisis adicional. Es más, es poco probable que la técnica genere señales de alerta, ya que las cookies se mezclan con el tráfico web normal y reducen la visibilidad.

El modelo de ejecución controlado por cookies viene en diferentes implementaciones:

• Un cargador PHP que utiliza múltiples capas de ofuscación y comprobaciones de tiempo de ejecución antes de analizar la entrada de cookies estructuradas para ejecutar una carga útil secundaria codificada.
• Un script PHP que segmenta datos de cookies estructurados para reconstruir componentes operativos, como funciones de manejo de archivos y decodificación, y escribe condicionalmente una carga útil secundaria en el disco y la ejecuta.
• Un script PHP que utiliza un único valor de cookie como marcador para desencadenar acciones controladas por el actor de amenazas, incluida la ejecución de la entrada proporcionada y la carga de archivos.

En al menos un caso, se ha descubierto que los actores de amenazas obtienen acceso inicial al entorno Linux alojado de una víctima a través de credenciales válidas o la explotación de una vulnerabilidad de seguridad conocida para configurar un trabajo cron que invoca una rutina de shell periódicamente para ejecutar un cargador PHP ofuscado.

Esta arquitectura de «autocuración» permite que la tarea programada recree repetidamente el cargador PHP incluso si se eliminó como parte de los esfuerzos de limpieza y remediación, creando así un canal de ejecución remota de código confiable y persistente. Una vez que se implementa el cargador PHP, permanece inactivo durante el tráfico normal y entra en acción al recibir solicitudes HTTP con valores de cookies específicos.

«Al trasladar el control de ejecución a las cookies, el shell web puede permanecer oculto en el tráfico normal, activándose sólo durante interacciones deliberadas», añadió Microsoft. «Al separar la persistencia a través de la recreación basada en cron del control de ejecución a través de la activación activada por cookies, el actor de amenazas redujo el ruido operativo y limitó los indicadores observables en los registros de aplicaciones de rutina».

Un aspecto común que une todas las implementaciones antes mencionadas es el uso de ofuscación para ocultar funciones sensibles y activación basada en cookies para iniciar la acción maliciosa, dejando al mismo tiempo una huella interactiva mínima.

Para contrarrestar la amenaza, Microsoft recomienda aplicar la autenticación multifactor para los paneles de control del alojamiento, el acceso SSH y las interfaces administrativas; monitoreo de actividad de inicio de sesión inusual; restringir la ejecución de intérpretes de shell; auditar trabajos cron y tareas programadas en servidores web; comprobar si se han creado archivos sospechosos en directorios web; y limitar las capacidades de shell de los paneles de control de hosting.

«El uso constante de cookies como mecanismo de control sugiere la reutilización de técnicas web establecidas», dijo Microsoft. «Al trasladar la lógica de control a las cookies, los actores de amenazas permiten un acceso persistente posterior al compromiso que puede evadir muchos controles tradicionales de inspección y registro».

«En lugar de depender de complejas cadenas de exploits, el actor de la amenaza aprovechó rutas de ejecución legítimas ya presentes en el entorno, incluidos los procesos del servidor web, los componentes del panel de control y la infraestructura cron, para preparar y preservar el código malicioso».

La próxima brecha importante que afecte a sus clientes probablemente no provendrá del interior de sus muros. Vendrá a través de un proveedor en el que confían, una herramienta SaaS a la que se inscribió su equipo financiero o un subcontratista que nadie en TI conoce. Ésa es la nueva superficie de ataque y la mayoría de las organizaciones no están preparadas para ello.

La nueva guía de Cynomi, Asegurar el perímetro moderno: el auge de la gestión de riesgos de tercerosargumenta que el TPRM ya no es una formalidad de cumplimiento. Es un desafío de seguridad de primera línea y una oportunidad de crecimiento definitoria para los MSP y MSSP que se adelantan a él.

El perímetro moderno se ha ampliado

Durante décadas, la estrategia de ciberseguridad giró en torno a un perímetro definido. Se implementaron firewalls, controles de terminales y sistemas de gestión de identidades para proteger los activos dentro de un límite conocido.

Esa frontera se ha disuelto.

Hoy en día, los datos de los clientes residen en aplicaciones SaaS de terceros, fluyen a través de las API de los proveedores y son procesados ​​por subcontratistas que los equipos internos de TI tal vez ni siquiera conocen. La seguridad ya no se limita a la infraestructura propia. Se extiende a través de un ecosistema interconectado de proveedores externos, y la responsabilidad que conlleva también se extiende allí.

El Informe de investigaciones de violaciones de datos de Verizon de 2025 encontró que terceros están involucrados en el 30% de las violaciones. El informe de IBM sobre el costo de una filtración de datos para 2025 sitúa el costo promedio de remediación de una filtración de terceros en 4,91 millones de dólares. La exposición a terceros se ha convertido en una característica central de las operaciones comerciales modernas, no en un caso límite.

Para los proveedores de servicios proactivos, este cambio crea una oportunidad sustancial. Las organizaciones que enfrentan crecientes amenazas de terceros buscan socios estratégicos que puedan poseer, optimizar y administrar continuamente todo el ciclo de vida de los riesgos de terceros. Los proveedores de servicios que asuman ese rol pueden introducir nuevas ofertas de servicios, brindar consultoría de mayor valor y establecerse como centrales para los programas de seguridad y cumplimiento de sus clientes.

De la casilla de verificación a la función de riesgo central

El enfoque tradicional del riesgo de los proveedores se basaba en cuestionarios anuales, hojas de cálculo y, ocasionalmente, correos electrónicos de seguimiento. Nunca fue suficiente y ahora es especialmente costoso.

Marcos regulatorios como CMMC, NIS2 y DORA han elevado el listón significativamente. El cumplimiento ahora requiere una supervisión demostrable y continua de los controles de terceros, no una instantánea de un momento dado de hace doce meses. Las juntas directivas están haciendo preguntas más difíciles sobre la exposición de los proveedores. Las aseguradoras cibernéticas están examinando la higiene de la cadena de suministro antes de redactar sus pólizas. Y los clientes que han visto a los competidores absorber las consecuencias del incumplimiento de un proveedor entienden que «no era nuestro sistema» no limita su responsabilidad.

El mercado está respondiendo en consecuencia. Se proyecta que el gasto global de TPRM crecerá de $8.3 mil millones en 2024 a $18.7 mil millones para 2030. Las organizaciones están tratando la supervisión de proveedores como una función de gobernanza, a la par de la respuesta a incidentes o la gestión de identidades, porque el costo de ignorarla se ha vuelto demasiado alto.

Para los proveedores de servicios, esa asignación presupuestaria es una señal clara. Los clientes buscan activamente socios que puedan poseer y gestionar la supervisión de proveedores como un servicio definido y continuo.

La ampliación del TPRM es donde la mayoría de los proveedores se quedan estancados

La mayoría de los MSP y MSSP reconocen la oportunidad. La vacilación se reduce a la entrega y, específicamente, a si el TPRM puede ejecutarse de manera rentable a escala.

La revisión de proveedores tradicional se basa en flujos de trabajo fragmentados y análisis manuales. Las evaluaciones personalizadas deben enviarse, rastrearse e interpretarse, y el riesgo debe estratificarse según las obligaciones específicas de cada cliente. Este trabajo suele recaer en consultores senior, lo que lo hace costoso y difícil de delegar.

Multiplicar este esfuerzo en una cartera de clientes con diferentes ecosistemas de proveedores, necesidades de cumplimiento y tolerancias al riesgo puede resultar insostenible. Es por eso que muchos proveedores ofrecen TPRM como un proyecto único en lugar de un servicio administrado recurrente.

Pero ahí también reside la oportunidad. cynomi Guía para asegurar el perímetro moderno describe cómo TPRM estructurado y basado en tecnología puede pasar de un compromiso de consultoría personalizado a una línea de servicios repetible y de alto margen que fortalece la retención de clientes, impulsa las ventas adicionales y posiciona a los proveedores de servicios como socios integrales en los programas de seguridad de sus clientes.

Convertir TPRM en un motor de ingresos

El riesgo de terceros es un tema de conversación que nunca se queda sin material.

Cada nuevo proveedor que incorpora un cliente crea una discusión sobre riesgos potenciales. Las actualizaciones regulatorias son razones naturales para revisar los programas de los proveedores, y cada filtración en las noticias que se remonta a un tercero refuerza lo que está en juego. La TPRM, bien hecha, mantiene a los proveedores de servicios integrados en la estrategia del cliente en lugar de relegarlos a un apoyo reactivo, y ese posicionamiento cambia por completo la naturaleza de la relación.

Los proveedores que desarrollan capacidades estructuradas de TPRM descubren que les abre las puertas a:

• Trabajo más amplio de asesoramiento en materia de seguridad
• Valores de retenedor más altos
• Relaciones más sólidas con los clientes basadas en un impacto comercial genuino
• Diferenciación en un mercado de servicios gestionados saturado
• Gobernanza creíble de riesgos de terceros, que indica madurez a los clientes potenciales

La conclusión

El riesgo de terceros no va a desaparecer. Los ecosistemas de proveedores de los que dependen sus clientes seguirán volviéndose más complejos, con más plataformas SaaS, herramientas impulsadas por IA, subcontratistas y escrutinio regulatorio superpuestos. Las organizaciones que gestionen bien esta exposición tendrán una ventaja significativa en resiliencia y cumplimiento.

Desarrollar una práctica de TPRM estructurada y escalable que brinde una supervisión consistente en toda su cartera genera mucho más apalancamiento que agregar personal o armar programas personalizados desde cero para cada cliente. La infraestructura que usted construye una vez paga dividendos en todas las cuentas.

cynomi Asegurar el perímetro moderno: el auge de la gestión de riesgos de terceros es un punto de partida práctico. Cubre todo el alcance del riesgo moderno de terceros, cómo es un programa TPRM de grado de gobernanza y cómo los proveedores de servicios pueden desarrollar y escalar esta capacidad sin sacrificar márgenes.

Descubre como Cynomi ayuda a los MSP y MSSP a poner en funcionamiento el TPRM a escalao solicitar una demostración para explorar cómo se adapta a su modelo de servicio.

El responsable del paquete Axios npm ha confirmado que el compromiso de la cadena de suministro fue el resultado de una campaña de ingeniería social muy específica orquestada por actores de amenazas norcoreanos rastreados como UNC1069.

mantenedor Jason Saayman dijo que los atacantes adaptaron sus esfuerzos de ingeniería social «específicamente a mí», acercándose primero a él bajo la apariencia del fundador de una empresa legítima y conocida.

«Habían clonado la imagen de los fundadores de la empresa y la propia empresa», Saayman dicho en una autopsia del incidente. «Luego me invitaron a un espacio de trabajo real de Slack. Este espacio de trabajo tenía la marca del CI de la empresa y un nombre plausible. [workspace] fue pensado muy bien; Tenían canales donde compartían publicaciones de LinkedIn».

Posteriormente, se dice que los actores de amenazas programaron una reunión con él en Microsoft Teams. Al unirse a la llamada falsa, se le presentó un mensaje de error falso que decía «algo en mi sistema no estaba actualizado». Tan pronto como se activó la actualización, el ataque provocó la implementación de un troyano de acceso remoto.

El acceso proporcionado por el troyano permitió a los atacantes robar las credenciales de la cuenta npm necesarias para publicar dos versiones troyanizadas del paquete Axios npm (1.14.1 y 0.30.4) que contiene un implante llamado WAVESHAPER.V2.

«Todo estuvo muy bien coordinado, parecía legítimo y se hizo de manera profesional», añadió Saayman.

La cadena de ataque descrita por el responsable del proyecto comparte amplias superposiciones con las técnicas asociadas con UNC1069 y BlueNoroff. Los detalles de la campaña fueron documentados extensamente por Huntress y Kaspersky el año pasado, y este último la rastreó bajo el nombre de GhostCall.

«Históricamente, […] Estos tipos específicos han perseguido a los fundadores de criptomonedas, capitalistas de riesgo y personas públicas», dijo el investigador de seguridad Taylor Monahan. «Ellos ingeniero social ellos y hacerse cargo de sus cuentas y apuntar a la siguiente ronda de personas. Esta evolución hacia la focalización [OSS maintainers] es un poco preocupante en mi opinión.»

Como medidas preventivas, Saayman ha descrito varios cambios, incluido el restablecimiento de todos los dispositivos y credenciales, la configuración de versiones inmutables, la adopción del flujo OIDC para la publicación y la actualización de GitHub Actions para adoptar las mejores prácticas.

Los hallazgos demuestran cómo los mantenedores de proyectos de código abierto se están convirtiendo cada vez más en el objetivo de ataques sofisticados, lo que permite de manera efectiva que los actores de amenazas apunten a usuarios intermedios a gran escala mediante la publicación de versiones envenenadas de paquetes muy populares.

Dado que Axios atrae casi 100 millones de descargas semanales y se utiliza mucho en todo el ecosistema de JavaScript, el radio de explosión de un ataque de este tipo a la cadena de suministro puede ser enorme, ya que se propaga rápidamente a través de dependencias directas y transitivas.

«Un paquete tan ampliamente utilizado como Axios que está comprometido muestra lo difícil que es razonar sobre la exposición en un entorno JavaScript moderno», Ahmad Nassri de Socket dicho. «Es una propiedad de cómo funciona hoy la resolución de dependencias en el ecosistema».

Investigadores de ciberseguridad descubrieron una nueva versión del malware SparkCat en Apple App Store y Google Play Store, más de un año después de que se descubriera el troyano dirigido a ambos sistemas operativos móviles. Se ha descubierto que el malware se oculta dentro de aplicaciones aparentemente benignas, como mensajería empresarial y servicios de entrega de alimentos, mientras

Intercambio descentralizado basado en Solana Deriva ha confirmado que los atacantes drenaron alrededor de 285 millones de dólares de la plataforma durante un incidente de seguridad que tuvo lugar el 1 de abril de 2026.

«Hoy, un actor malicioso obtuvo acceso no autorizado al Protocolo Drift a través de un nuevo ataque que involucra nonces duraderos, lo que resultó en una rápida toma de control de los poderes administrativos del Consejo de Seguridad de Drift», dijo la compañía. dicho en una serie de publicaciones sobre X.

«Esta fue una operación altamente sofisticada que parece haber implicado una preparación de varias semanas y una ejecución por etapas, incluido el uso de cuentas nonce duraderas para prefirmar transacciones que retrasaron la ejecución».

Drift señaló que el ataque no aprovechó una vulnerabilidad en sus programas o contratos inteligentes, y que no hay evidencia de frases iniciales comprometidas. Más bien, se dice que la violación «involucró aprobaciones de transacciones no autorizadas o tergiversadas obtenidas antes de la ejecución, probablemente facilitadas a través de mecanismos nonce duraderos e ingeniería social sofisticada», explicó.

Para ello, los actores de amenazas obtuvieron suficientes aprobaciones de firmas múltiples (multifirma) y ejecutó una transferencia de administrador maliciosa en cuestión de minutos para obtener el control de los permisos a nivel de protocolo y, en última instancia, aprovecharlos para «introducir un activo malicioso y eliminar todos los límites de retiro preestablecidos, atacando los fondos existentes».

Según una cronología de eventos compartida por Drift, los preparativos para el ataque estaban en marcha ya el 23 de marzo de 2026. La compañía dijo que está coordinando con múltiples firmas de seguridad para determinar la causa del incidente, agregando que está trabajando con puentes, intercambios y fuerzas del orden para rastrear y congelar los activos robados.

En informes separados publicados el jueves, tanto Elliptic como TRM Labs dijeron que hay indicios en la cadena de que los ladrones de criptomonedas de Corea del Norte pueden estar detrás del atraco de criptomonedas.

Esto incluía el uso de Tornado Cash para la puesta en escena inicial, así como los patrones de conexión entre cadenas y la velocidad y escala del lavado posterior al hackeo que son consistentes con hackeos previamente atribuidos a actores de amenazas norcoreanos, incluido el exploit masivo de Bybit de 2025.

«La vulnerabilidad crítica no fue un error de contrato inteligente, sino una combinación de firmantes multifirma de ingeniería social para firmar previamente autorizaciones ocultas y una migración del Consejo de Seguridad con bloqueo de tiempo cero que eliminó la última línea de defensa del protocolo», TRM Labs dicho.

«El atacante fabricó un activo completamente ficticio, CarbonVote Token, con unos pocos miles de dólares en liquidez inicial y operaciones de lavado, y los oráculos de Drift lo trataron como una garantía legítima por valor de cientos de millones de dólares».

La firma de inteligencia blockchain también señaló que el token CarbonVote se implementó a las 09:30 hora de Pyongyang.

Elliptic, en su propio análisis del incidente de seguridad, dijo que el comportamiento en cadena, las metodologías de lavado y los indicadores a nivel de red se alinean con el arte conocido asociado con actores de amenazas de la República Popular Democrática de Corea (RPDC).

La compañía también señaló que, si se confirma, este incidente «representaría el decimoctavo acto de la RPDC» que ha seguido desde principios de año, con más de 300 millones de dólares robados hasta la fecha.

«Es una continuación de la campaña sostenida de la RPDC de robo de criptoactivos a gran escala, que el gobierno de Estados Unidos ha vinculado con la financiación de sus programas de armas», Elliptic dicho. «Se cree que los actores vinculados a la RPDC han robado más de 6.500 millones de dólares en criptoactivos en los últimos años».

Se estima que la operación de robo de criptoactivos de Corea del Norte generó un récord de 2 mil millones de dólares en 2025, de los cuales aproximadamente 1,46 mil millones de dólares se originaron en el hackeo de Bybit en febrero de 2025.

La principal vía de acceso inicial a través de la cual se ejecutan estos ataques sigue siendo la ingeniería social, aprovechando personas y señuelos persuasivos para apuntar a los sectores de criptomonedas y Web3 a través de campañas rastreadas como DangerousPassword (también conocido como CageyChameleon, CryptoMimic y CryptoCore) y Contagious Interview. A finales de febrero de 2026, las ganancias combinadas de las campañas gemelas totalizan 37,5 millones de dólares este año.

«La operación de robo de criptoactivos de la RPDC no es una serie de incidentes aislados. Es una campaña sostenida y bien dotada de recursos que está creciendo en escala y sofisticación», Elliptic dicho.

«La evolución de las técnicas de ingeniería social de la RPDC, combinada con la creciente disponibilidad de IA para refinar y perfeccionar estos métodos, significa que la amenaza se extiende mucho más allá de los intercambios. Los desarrolladores individuales, los contribuyentes de proyectos y cualquier persona con acceso a la infraestructura de criptoactivos son un objetivo potencial».

El desarrollo coincide con el compromiso de la cadena de suministro del popular paquete Axios npm, que múltiples proveedores de seguridad, incluidos Google, Microsoft, CrowdStrike y Sophos, han atribuido a un grupo de piratería norcoreano llamado UNC1069, que se superpone con BlueNoroff, CryptoCore, Nickel Gladstone, Sapphire Sleet y Stardust Chollima.

«Este grupo patrocinado por el Estado se centra en generar ingresos para el régimen norcoreano», Sophos dicho. «Los artefactos incluyen metadatos forenses idénticos y patrones de comando y control (C2), así como conexiones con malware utilizado exclusivamente por Nickel Gladstone. Según estos artefactos, es muy probable que Nickel Gladstone sea responsable de los ataques de Axios».