El Departamento de Comercio está elaborando un catálogo de herramientas de inteligencia artificial a las que el gobierno federal otorgará un estatus de exportación especial para su venta en el extranjero.

El departamento emitió un convocatoria de propuestas a las empresas participantes en el Registro Federal, buscando crear un “menú de paquetes prioritarios de exportación de IA que el gobierno de EE. UU. promoverá entre aliados y socios de todo el mundo”.

Las empresas y tecnologías incluidas “serán presentadas por representantes del gobierno de EE. UU. como un paquete permanente y completo de exportación de IA estadounidense y pueden recibir promoción gubernamental prioritaria, revisión y procesamiento de licencias de exportación, coordinación entre agencias y referencias de financiamiento, sujeto a la ley aplicable”, dijo el departamento en un aviso del Registro Federal el viernes.

El paquete de exportación fue ordenado a través de la orden ejecutiva de IA del presidente Donald Trump el año pasado, que describía los paquetes de exportación como parte de un esfuerzo mayor para «garantizar que las tecnologías, estándares y modelos de gobernanza de IA estadounidenses se adopten en todo el mundo» y «asegurar nuestro dominio tecnológico continuo».

«El Programa Estadounidense de Exportaciones de IA cumple con la directiva del presidente Trump de garantizar que los sistemas de IA estadounidenses, construidos sobre hardware confiable, datos seguros e innovación líder a nivel mundial, se implementen a escala en todo el mundo», dijo el Secretario de Comercio Howard Lutnick en un declaración a principios de este mes. «Al promover soluciones estadounidenses integrales, estamos fortaleciendo nuestra seguridad económica y nacional, profundizando los vínculos con aliados y socios y garantizando que el futuro de la IA esté liderado por Estados Unidos».

La orden ejecutiva pedía que se incluyeran ciertas tecnologías en el paquete, incluidos modelos y sistemas de inteligencia artificial, pero también chips de computadora, almacenamiento de centros de datos, servicios en la nube y servicios de redes, junto con «medidas» no especificadas para garantizar la seguridad y la ciberseguridad de los sistemas de inteligencia artificial.

El aviso de Comercio prevé ofrecer múltiples paquetes de tecnología de IA de «equipos permanentes de empresas de IA organizadas para ofrecer una pila completa de tecnología de IA estadounidense a los mercados extranjeros de forma continua». No hay límite en el número de empresas que participan en un consorcio, y el Departamento de Comercio dijo que no se requiere «ninguna estructura legal particular».

Si bien la propuesta en varios puntos se refiere a estos paquetes como “IA estadounidense”, el aviso sí especifica que las empresas extranjeras pueden participar.

De hecho, para ciertas categorías como el hardware, el nivel total de contenido fabricado en Estados Unidos sólo necesita ser del 51% o más. Las empresas miembro que proporcionan datos, software, ciberseguridad o servicios de capa de aplicaciones no pueden estar constituidas ni tener su sede principal en países como China o Rusia, donde las leyes de seguridad nacional pueden obligarlas a trabajar con gobiernos extranjeros o entregar datos confidenciales.

El negocio potencial sería amplio y cubriría a compradores extranjeros de los sectores público y privado en mercados globales, regionales y específicos de cada país. También incluye la posible formación de paquetes separados de empresas y productos «bajo demanda» destinados a «oportunidades extranjeras específicas».

Pero el aviso también establece que las decisiones finales serán tomadas sobre la base del “interés nacional” por los directores de los Departamentos de Comercio, Estado, Defensa y Energía, así como por la Oficina de Ciencia, Tecnología y Política de la Casa Blanca.

El Departamento de Comercio no tiene la intención de clasificar formalmente las propuestas ni utilizar fórmulas de puntuación fija para aprobar paquetes de tecnología para el programa de exportación, y el lenguaje del aviso parece dar amplia libertad a los tomadores de decisiones federales para determinar si una propuesta en particular cumple con el umbral de “interés nacional”.

«Una propuesta que realiza esfuerzos razonables para satisfacer la presunción de contenido estadounidense del 51 por ciento del hardware no tiene derecho automáticamente a la designación, y una propuesta que no satisface esa presunción no queda automáticamente descalificada», decía el aviso.

Los investigadores de ciberseguridad han señalado otra evolución más de la actual gusano de cristal campaña, que emplea un nuevo cuentagotas Zig que está diseñado para infectar sigilosamente todos los entornos de desarrollo integrados (IDE) en la máquina de un desarrollador.

La técnica ha sido descubierta en una extensión Open VSX llamada «specstudio.code-wakatime-actividad-rastreador«, que se hace pasar por WakaTime, una herramienta popular que mide el tiempo que los programadores pasan dentro de su IDE. La extensión ya no está disponible para descargar.

«La extensión […] envía un binario nativo compilado por Zig junto con su código JavaScript», dijo el investigador de Aikido Security, Ilyas Makari. dicho en un análisis publicado esta semana.

«Esta no es la primera vez que GlassWorm recurre al uso código compilado nativo en extensiones. Sin embargo, en lugar de utilizar el binario como carga útil directamente, se utiliza como una dirección indirecta sigilosa para el conocido dropper GlassWorm, que ahora infecta secretamente todos los demás IDE que puede encontrar en su sistema».

La extensión Microsoft Visual Studio Code (VS Code) recientemente identificada es casi una réplica de WakaTime, salvo por un cambio introducido en una función llamada «activate()». La extensión instala un binario llamado «win.node» en sistemas Windows y «mac.node», un binario Mach-O universal si el sistema ejecuta Apple macOS.

Estos complementos nativos de Node.js son bibliotecas compartidas compiladas que están escritas en Zig y se cargan directamente en el tiempo de ejecución de Node y se ejecutan fuera del entorno limitado de JavaScript con acceso completo a nivel del sistema operativo.

Una vez cargado, el objetivo principal del binario es encontrar todos los IDE del sistema que admitan extensiones de VS Code. Esto incluye Microsoft VS Code y VS Code Insiders, así como bifurcaciones como VSCodium, Positron y una serie de herramientas de codificación impulsadas por inteligencia artificial (IA) como Cursor y Windsurf.

Luego, el binario descarga una extensión maliciosa de VS Code (.VSIX) desde un sitio controlado por el atacante. cuenta GitHub. La extensión, llamada «floktokbok.autoimport», se hace pasar por «esteoteatos.autoimport,» una extensión legítima con más de 5 millones de instalaciones en el Visual Studio Marketplace oficial.

En el paso final, el archivo .VSIX descargado se escribe en una ruta temporal y se instala silenciosamente en cada IDE mediante el instalador CLI de cada editor. La extensión VS Code de segunda etapa actúa como un gotero que evita la ejecución en sistemas rusos, se comunica con la cadena de bloques de Solana para buscar el servidor de comando y control (C2), extrae datos confidenciales e instala un troyano de acceso remoto (RAT), que finalmente implementa una extensión de Google Chrome para robar información.

Se recomienda a los usuarios que hayan instalado «specstudio.code-wakatime-activity-tracker» o «floktokbok.autoimport» que asuman un compromiso y roten todos los secretos.

Una vulnerabilidad de seguridad crítica en marimoun cuaderno Python de código abierto para análisis y ciencia de datos, ha sido explotado dentro de las 10 horas posteriores a su divulgación pública, según recomendaciones de Sysdig.

La vulnerabilidad en cuestión es CVE-2026-39987 (Puntuación CVSS: 9,3), una vulnerabilidad de ejecución remota de código previamente autenticada que afecta a todas las versiones de Marimo anteriores a la 0.20.4 incluida. La cuestión ha sido abordada en versión 0.23.0.

«El terminal WebSocket /terminal/ws carece de validación de autenticación, lo que permite a un atacante no autenticado obtener un shell PTY completo y ejecutar comandos arbitrarios del sistema», mantuvieron Marimo. dicho en un aviso a principios de esta semana.

«A diferencia de otros puntos finales de WebSocket (por ejemplo, /ws) que llaman correctamente a validar_auth() para la autenticación, el punto final /terminal/ws solo verifica el modo de ejecución y el soporte de la plataforma antes de aceptar conexiones, omitiendo por completo la verificación de autenticación».

En otras palabras, los atacantes pueden obtener un shell interactivo completo en cualquier instancia de Marimo expuesta a través de una única conexión WebSocket sin necesidad de credenciales.

Sysdig dijo que observó el primer intento de explotación dirigido a la vulnerabilidad dentro de las 9 horas y 41 minutos de su divulgación pública, con una operación de robo de credenciales ejecutada en minutos, a pesar de que no había ningún código de prueba de concepto (PoC) disponible en ese momento.

Se dice que el actor de amenazas desconocido detrás de la actividad se conectó al punto final /terminal/ws WebSocket en un sistema honeypot e inició un reconocimiento manual para explorar el sistema de archivos y, minutos más tarde, intentó recolectar sistemáticamente datos del archivo .env, así como buscar claves SSH y leer varios archivos.

El atacante regresó al honeypot una hora más tarde para acceder al contenido del archivo .env y verificar si otros actores de amenazas estaban activos durante el período de tiempo. No se instalaron otras cargas útiles, como mineros de criptomonedas o puertas traseras.

«El atacante creó un exploit funcional directamente a partir de la descripción del aviso, se conectó al terminal no autenticado y comenzó a explorar manualmente el entorno comprometido», dijo la compañía de seguridad en la nube. «El atacante se conectó cuatro veces durante 90 minutos, con pausas entre sesiones. Esto es consistente con un operador humano que trabaja en una lista de objetivos y regresa para confirmar los hallazgos».

La velocidad a la que se están utilizando como arma las fallas recientemente reveladas indica que los actores de amenazas están vigilando de cerca las revelaciones de vulnerabilidades y explotándolas rápidamente durante el tiempo entre la divulgación y la adopción del parche. Esto, a su vez, ha reducido el tiempo que los defensores deben responder una vez que se anuncia públicamente una vulnerabilidad.

«La suposición de que los atacantes sólo apuntan a plataformas ampliamente implementadas es errónea. Cualquier aplicación orientada a Internet con un aviso crítico es un objetivo, independientemente de su popularidad».

Si bien gran parte del debate sobre la seguridad de la IA se centra en la protección del consumo de IA «en la sombra» y GenAI, hay una ventana abierta que nadie está protegiendo: las extensiones de navegador de IA.

A Un nuevo informe de LayerX expone cuán profundo es este punto ciego y por qué las extensiones de IA pueden ser la superficie de amenaza de IA más peligrosa en su red que no está en el radar de nadie.

Las extensiones de navegador de IA no activan su DLP y no aparecen en sus registros de SaaS. Viven dentro del propio navegador, con acceso directo a todo lo que sus empleados ven, escriben y permanecen conectados. Las extensiones de IA tienen un 60% más de probabilidades de tener una vulnerabilidad que las extensiones en promedio, tienen 3 veces más probabilidades de tener acceso a cookies, 2,5 veces más probabilidades de poder ejecutar scripts remotos en el navegador y 6 veces más probabilidades de haber aumentado sus permisos en el último año. Estas extensiones se instalan en segundos y pueden permanecer en su entorno indefinidamente.

La superficie de amenazas de la extensión del navegador es para todos, pero nadie está mirando

El primer concepto erróneo es que las extensiones son un riesgo de nicho. Algo limitado a un subconjunto de usuarios o casos extremos. Esa suposición es completamente errónea.

Según el informe, el 99% de los usuarios empresariales ejecutan al menos una extensión de navegador y más de una cuarta parte tiene más de 10 instaladas. Este no es un problema de cola larga; es universal.

Sin embargo, la mayoría de las organizaciones no pueden responder preguntas básicas. ¿Qué extensiones están en uso? ¿Quién los instaló? ¿Qué permisos tienen? ¿A qué datos pueden acceder?

Los equipos de seguridad han pasado años creando visibilidad de redes, puntos finales e identidades. Irónicamente, las extensiones del navegador siguen siendo un importante punto ciego.

Las extensiones de IA son el canal de consumo de IA del que nadie habla

Si bien gran parte de la conversación actual sobre la seguridad de la IA se centra en las plataformas SaaS y las API, este informe destaca un canal diferente y en gran medida ignorado: las extensiones de navegador de IA.

Estas herramientas se están extendiendo rápidamente. Aproximadamente 1 de cada 6 usuarios empresariales ya utiliza al menos una extensión de IA, y ese número no hace más que crecer.

Las organizaciones pueden bloquear o monitorear el acceso directo a las aplicaciones de IA. Pero las extensiones funcionan de manera diferente. Se encuentran dentro del navegador. Pueden acceder al contenido de la página, a las entradas del usuario y a los datos de la sesión sin activar los controles tradicionales.

De hecho, crean una capa no gobernada de uso de IA, que pasa por alto la visibilidad y la aplicación de políticas.

Las extensiones de IA no solo son populares. Son más riesgosos

Sería fácil suponer que las extensiones de IA conllevan un riesgo similar al de otras extensiones. Los datos muestran lo contrario.

Las extensiones de IA son significativamente más peligrosas. Tienen un 60% más de probabilidades que el promedio de tener un CVE, 3 veces más probabilidades de tener acceso a cookies, 2,5 veces más probabilidades de tener permisos de secuencias de comandos y 2 veces más probabilidades de poder manipular las pestañas del navegador.

Cada uno de estos permisos tiene implicaciones reales. El acceso a las cookies puede exponer los tokens de sesión. Los scripts permiten la extracción y manipulación de datos. El control de pestañas puede facilitar el phishing o la redirección silenciosa.

Esta combinación de adopción rápida, acceso elevado y gobernanza débil hace que las extensiones de IA sean un vector de amenaza emergente urgente.

Las extensiones no son estáticas. Cambian con el tiempo

Los equipos de seguridad suelen tratar las extensiones como estáticas. Algo que se puede aprobar una vez y olvidar. Pero no es así como funciona.

Las extensiones evolucionan. Reciben actualizaciones. Cambian de propietario. Amplian permisos.

El informe muestra que las extensiones de IA tienen casi seis veces más probabilidades de cambiar sus permisos con el tiempo, y que más del 60% de los usuarios tienen al menos una extensión de IA que cambió sus permisos durante el último año.

Esto crea un objetivo en movimiento que las listas permitidas tradicionales no pueden seguir. Una extensión que ayer era segura puede no serlo hoy.

La brecha de confianza en las extensiones del navegador es mayor de lo esperado

Los equipos de seguridad se basan en una variedad de señales de confianza para evaluar las extensiones, incluida la transparencia del editor, el recuento de instalaciones, la frecuencia de actualización y la presencia de una política de privacidad. Si bien estos no indican directamente un comportamiento malicioso, son clave para evaluar el riesgo general.

Una parte importante de las extensiones tiene bases de usuarios muy bajas. Más del 10% de todas las extensiones tienen menos de 1.000 usuarios, una cuarta parte tiene menos de 5.000 usuarios y un tercio tiene menos de 10.000 instalaciones. Esto es particularmente un desafío con las extensiones de IA, donde el 33% de las extensiones de IA tienen menos de 5.000 usuarios, y casi el 50% de las extensiones de IA tienen menos de 10.000 usuarios. Una gran base de usuarios es esencial para establecer una confianza continua, pero una vez más, las extensiones de IA están mostrando un riesgo sustancialmente mayor.

Además, alrededor del 40% de las extensiones no han recibido una actualización en más de un año, lo que sugiere que ya no se mantienen activamente. Las extensiones que no se actualizan periódicamente pueden contener vulnerabilidades no resueltas o código obsoleto que los atacantes aprovechan.

Como resultado, la mayoría de las extensiones utilizadas en entornos empresariales muestran señales débiles o faltantes en estas áreas. Esto plantea serias dudas sobre el manejo y el cumplimiento de los datos. También destaca el poco escrutinio que reciben las extensiones en comparación con otros componentes de software.

Convertir el conocimiento en acción: el camino a seguir para los CISO

El informe describe una dirección clara para los equipos de seguridad:

1. Audite continuamente la superficie de amenazas de extensión de la organización: Dado que el 99 % de los usuarios empresariales ejecutan al menos una extensión, un inventario completo es un primer paso obligatorio hacia la reducción de riesgos. Los CISO deben realizar una auditoría de extensión en toda la organización que cubra todos los navegadores, puntos finales administrados y no administrados, en todos los usuarios.
2. Aplique controles de seguridad específicos a las extensiones de IA: Las extensiones de IA representan un riesgo enorme debido a sus permisos elevados que pueden exponer sesiones de SaaS, identidades y datos confidenciales del navegador. Las organizaciones deberían aplicar políticas de gobernanza más estrictas para controlar cómo estas extensiones interactúan con los entornos empresariales.
3. Analice el comportamiento de las extensiones, no solo los parámetros estáticos: Las aprobaciones estáticas no son suficientes. El riesgo debe evaluarse continuamente en función de los permisos, el comportamiento y los cambios a lo largo del tiempo.
4. Hacer cumplir los requisitos de confianza y transparencia: Las extensiones que tienen un número de instalaciones muy bajo, carecen de políticas de privacidad o muestran un historial de mantenimiento deficiente deben tratarse como de mayor riesgo. Establecer criterios mínimos de confianza ayuda a reducir la exposición a extensiones no verificadas o abandonadas.

Una nueva lente sobre un viejo problema

Durante años, las extensiones del navegador se han tratado como una característica conveniente. Algo que permita la productividad y la personalización. Sin embargo, ya no son un riesgo periférico. Son una parte fundamental de la superficie de ataque empresarial. Ampliamente utilizados, altamente privilegiados y en gran medida no monitoreados, crean exposición directa a datos confidenciales y sesiones de usuarios.

Descargue el informe completo de seguridad de extensiones de LayerX para comprender el alcance completo de estos hallazgos, identificar dónde se encuentra realmente su exposición y obtener un camino claro para controlar esta creciente superficie de ataque sin interrumpir la productividad.

Google ha hecho Credenciales de sesión vinculadas al dispositivo (DBSC) generalmente disponible para todos los usuarios de Windows de su navegador web Chrome, meses después de que comenzara a probar la función de seguridad en versión beta abierta.

La disponibilidad pública está actualmente limitada a usuarios de Windows en Chrome 146, y la expansión de macOS está planificada en una próxima versión de Chrome.

«Este proyecto representa un importante paso adelante en nuestros esfuerzos continuos para combatir el robo de sesiones, que sigue siendo una amenaza frecuente en el panorama de seguridad moderno», dijeron los equipos de seguridad de cuentas y Chrome de Google. dicho en una publicación del jueves.

El robo de sesión implica la filtración encubierta de cookies de sesión del navegador web, ya sea reuniendo las existentes o esperando a que la víctima inicie sesión en una cuenta en un servidor controlado por un atacante.

Normalmente, esto sucede cuando los usuarios descargan inadvertidamente malware para robar información en sus sistemas. Estas familias de malware ladrón (de las cuales hay muchas, como Atomic, Lumma y Vidar Stealer) tienen capacidades para recopilar una amplia gama de información de los sistemas comprometidos, incluidas las cookies.

Debido a que las cookies de sesión suelen tener una vida útil más prolongada, los atacantes pueden aprovecharlas para obtener acceso no autorizado a las cuentas en línea de las víctimas sin tener que conocer sus contraseñas. Una vez recolectados, estos tokens se empaquetan y venden a otros actores de amenazas para obtener ganancias financieras. Los ciberdelincuentes que los adquieran pueden realizar sus propios ataques.

DBSC, anunciado por primera vez por Google en abril de 2024, tiene como objetivo contrarrestar este abuso vinculando criptográficamente la sesión de autenticación a un dispositivo específico. Al hacerlo, la idea es hacer que las cookies pierdan su valor incluso si son robadas por malware.

«Lo hace utilizando módulos de seguridad respaldados por hardware, como el Módulo de plataforma segura (TPM) en Windows y Secure Enclave en macOS, para generar un par de claves pública/privada único que no se puede exportar desde la máquina», explicó Google.

«La emisión de nuevas cookies de sesión de corta duración depende de que Chrome demuestre la posesión de la clave privada correspondiente al servidor. Debido a que los atacantes no pueden robar esta clave, cualquier cookie exfiltrada caducará rápidamente y se volverá inútil para esos atacantes».

En caso de que el dispositivo de un usuario no admita el almacenamiento seguro de claves, DBSC vuelve elegantemente al comportamiento estándar sin interrumpir el flujo de autenticación, Google dicho en su documentación para desarrolladores.

El gigante tecnológico dijo que ha observado una reducción significativa en el robo de sesiones desde su lanzamiento, una indicación temprana del éxito de la contramedida. El lanzamiento oficial es solo el comienzo, ya que la compañía planea llevar DBSC a una gama más amplia de dispositivos e introducir capacidades avanzadas para integrarse mejor con entornos empresariales.

Google, que trabajó con Microsoft para diseñar el estándar con el objetivo de convertirlo en un estándar web abierto, también enfatizó que la arquitectura DBSC es privada por diseño y que el enfoque de clave distinta garantiza que los sitios web no puedan usar las credenciales de sesión para correlacionar la actividad de un usuario en diferentes sesiones o sitios en el mismo dispositivo.

«Además, el protocolo está diseñado para ser sencillo: no filtra identificadores de dispositivos ni datos de certificación al servidor más allá de la clave pública por sesión requerida para certificar la prueba de posesión», añadió. «Este intercambio mínimo de información garantiza que DBSC ayude a proteger las sesiones sin permitir el seguimiento entre sitios ni actuar como un mecanismo de toma de huellas digitales del dispositivo».

Actores de amenazas desconocidos han secuestrado el sistema de actualización del complemento Smart Slider 3 Pro para WordPress y Joomla para impulsar una versión envenenada que contiene una puerta trasera.

El incidente afecta a Smart Slider 3 Pro versión 3.5.1.35 para WordPress, según la empresa de seguridad de WordPress Patchstack. Smart Slider 3 es un popular complemento de control deslizante de WordPress con más de 800.000 instalaciones activas en sus ediciones gratuita y Pro.

«Una parte no autorizada obtuvo acceso a la infraestructura de actualización de Nextend y distribuyó una compilación totalmente escrita por el atacante a través del canal de actualización oficial», dijo la compañía. dicho. «Cualquier sitio que se actualizó a 3.5.1.35 entre su lanzamiento el 7 de abril de 2026 y su detección aproximadamente 6 horas después recibió un conjunto de herramientas de acceso remoto completamente armado».

Nextend, que mantiene el complemento, dicho una parte no autorizada obtuvo acceso no autorizado a su sistema de actualización e impulsó una versión maliciosa (3.5.1.35 Pro) que permaneció accesible durante aproximadamente seis horas, antes de ser detectada y retirada.

La actualización troyanizada incluye la capacidad de crear cuentas de administrador fraudulentas, así como puertas traseras que ejecutan comandos del sistema de forma remota a través de encabezados HTTP y ejecutan código PHP arbitrario a través de parámetros de solicitud ocultos. Según Patchstack, el malware viene con las siguientes capacidades:

• Logre la ejecución remota de código autenticado previamente a través de encabezados HTTP personalizados como X-Cache-Status y X-Cache-Key, el último de los cuales contiene el código que se pasa a «shell_exec()».
• Una puerta trasera que admite modos de ejecución dual, lo que permite al atacante ejecutar código PHP y comandos del sistema operativo arbitrarios en el servidor.
• Cree una cuenta de administrador oculta (por ejemplo, «wpsvc_a3f1») para acceso persistente y hágala invisible para los administradores legítimos manipulando los filtros «pre_user_query» y «views_users».
• Utilice tres opciones personalizadas de WordPress configuradas con la configuración de «carga automática» deshabilitada para reducir su visibilidad en los volcados de opciones: _wpc_ak (una clave de autenticación secreta), _wpc_uid (ID de usuario de la cuenta de administrador oculta) y _wpc_uinfo (JSON codificado en Base64 que contiene el nombre de usuario, la contraseña y el correo electrónico en texto plano de la cuenta fraudulenta).
• Instale la persistencia en tres ubicaciones para lograr redundancia: cree un complemento de uso obligatorio con el nombre de archivo «object-cache-helper.php» para que parezca un componente de almacenamiento en caché legítimo, agregue el componente de puerta trasera al archivo «functions.php» del tema activo y suelte un archivo llamado «class-wp-locale-helper.php» en el directorio «wp-includes» de WordPress.
• Exfiltre los datos que contienen la URL del sitio, la clave secreta de la puerta trasera, el nombre de host, la versión de Smart Slider 3, la versión de WordPress y la versión de PHP, la dirección de correo electrónico del administrador de WordPress, el nombre de la base de datos de WordPress, el nombre de usuario y la contraseña en texto plano de la cuenta del administrador y una lista de todos los métodos de persistencia instalados en el dominio de comando y control (C2) «wpjs1[.]com.»

«El malware opera en varias etapas, cada una diseñada para garantizar un acceso profundo, persistente y redundante al sitio comprometido», dijo Patchstack.

«La sofisticación de la carga útil es notable: en lugar de un simple webshell, el atacante implementó un conjunto de herramientas de persistencia de múltiples capas con varios puntos de reentrada independientes y redundantes, ocultación del usuario, ejecución de comandos resistente con cadenas de respaldo y registro C2 automático con exfiltración completa de credenciales.

Vale la pena señalar que la versión gratuita del complemento de WordPress no se ve afectada. Para contener el problema, Nextend cerró sus servidores de actualización, eliminó la versión maliciosa e inició una investigación completa sobre el incidente.

Se recomienda a los usuarios que tengan instalada la versión troyanizada que actualicen a la versión 3.5.1.36. Además, se recomienda a los usuarios que hayan instalado la versión fraudulenta que realicen la siguientes pasos de limpieza –

• Compruebe si hay cuentas de administrador sospechosas o desconocidas y elimínelas.
• Elimine Smart Slider 3 Pro versión 3.5.1.35 si está instalado.
• Reinstale una versión limpia del complemento.
• Elimine todos los archivos de persistencia que permitan que la puerta trasera persista en el sitio.
• Elimine las opciones maliciosas de WordPress de la tabla «wp_options»: _wpc_ak, _wpc_uid, _wpc_uinfo, _perf_toolkit_source y wp_page_for_privacy_policy_cache.
• Limpie el archivo «wp-config.php», incluida la eliminación de «define(‘WP_CACHE_SALT’, ‘‘);» si existe.
• Elimina la línea «#WPCacheSalt » del archivo «.htaccess» ubicado en la carpeta raíz de WordPress.
• Restablezca las contraseñas de administrador y usuario de la base de datos de WordPress.
• Cambie FTP/SSH y las credenciales de la cuenta de hosting.
• Revise el sitio web y los registros para detectar cambios no autorizados y solicitudes POST inusuales.
• Habilite la autenticación de dos factores (2FA) para administradores y deshabilite la ejecución de PHP en la carpeta de cargas.

«Este incidente es un compromiso clásico de la cadena de suministro, del tipo que hace que las defensas perimetrales tradicionales sean irrelevantes», dijo Patchstack. «Las reglas genéricas de firewall, la verificación no única, los controles de acceso basados ​​en roles, ninguno de ellos se aplica cuando el código malicioso se entrega a través del canal de actualización confiable. El complemento es el malware».