Los investigadores de ciberseguridad han señalado una «campaña coordinada de malware» en JetBrains Marketplace que ha publicado no menos de 15 complementos maliciosos capaces de filtrar claves de proveedores de inteligencia artificial (IA).

«Cada complemento se presenta como un asistente de codificación de IA basado en DeepSeek y otros grandes modelos de lenguaje, que ofrece chat, confirmación de mensajes, revisión de código, búsqueda de errores y pruebas unitarias», dijo el investigador de Aikido Security, Ilyas Makari. dicho. «Funcionan exactamente como se anuncia. Sin embargo, la clave API del proveedor de IA que ingresa se filtra a un servidor controlado por el atacante».

Se dice que la actividad ha estado en curso desde finales de octubre de 2025, con nuevos complementos lanzados el 10 de junio de 2026. Dos de los complementos, CodeGPT AI Assistant y DeepSeek AI Assist, tienen más de 25.000 descargas cada uno, aunque no está claro si los recuentos son auténticos o si se han inflado para fingir su popularidad.

La lista completa de complementos se encuentra a continuación:

• Prueba DeepSeek Junit (org.sm.yms.toolkit)
• Confirmación de DeepSeek Git (com.json.simple.kit)
• DeepSeek FindBugs (org.bug.find.tools)
• Chat de IA de DeepSeek (org.translate.ai.simple)
• DeepSeek Dev AI (com.yy.test.ai.simple)
• Codificación de IA DeepSeek (com.dev.ai.toolkit)
• AI FindBugs (com.json.view.simple)
• Commitor AI Git (com.my.git.ai.kit)
• Revisión del codificador de IA (org.check.ai.ds)
• DeepSeek Coder AI (com.review.tool.code)
• Asistente de codificación AI (org.code.assist.dev.tool)
• Revisión del código DeepSeek (com.coder.ai.dpt)
• Asistente de IA CodeGPT (com.my.code.tools)
• Asistencia de IA DeepSeek (ord.cp.code.ai.kit)
• Herramienta sencilla de codificación (com.dp.git.ai.tool)

Aikido Security dijo que los 15 complementos comparten una base de código similar, lo que requiere que los usuarios abran el panel de configuración e ingresen una clave API para una IA como OpenAI, SiliconFlow o DeepSeek para poder llevar a cabo la funcionalidad prometida.

Si bien los complementos funcionan según lo previsto, se ha descubierto que tienen la capacidad de desviar de forma encubierta la clave API proporcionada a un servidor remoto («39.107.60[.]51») bajo el control del atacante sobre una solicitud HTTP en formato de texto plano.

«Los complementos también ejecutan un nivel pago», dijo la compañía. «Después de que un usuario paga una pequeña tarifa a través del muro de donaciones integrado en el complemento, el servidor envía una clave API al cliente, y el complemento comienza a usar esa clave para sus llamadas de modelo en lugar de la suya propia, lo cual es extraño, ya que ningún operador legítimo simplemente le entregaría a un usuario una clave funcional y sin restricciones a un proveedor de IA pago».

Esto ha planteado la posibilidad de que los operadores detrás de la campaña probablemente estén compartiendo las claves API del proveedor de IA robadas con otros actores de amenazas como parte de un esquema de monetización ilícito, convirtiéndolo efectivamente en un servicio que otorga a los usuarios de pago acceso al proveedor de IA de la víctima.

«El operador cobra el dinero por un lado y las credenciales gratuitas por el otro, mientras que los auténticos propietarios de claves pagan la factura», añadió Makari.

La campaña es una prueba más de cómo los actores de amenazas son apuntando cada vez más a entornos de desarrollo a través del ecosistema de código abierto, que se ha convertido en un objetivo lucrativo debido al hecho de que alojan código fuente, credenciales de nube, claves de firma y claves API para servicios de inteligencia artificial pagos que pueden revenderse para esquemas de secuestro de LLM.

«Trate un complemento de la misma manera que trataría cualquier dependencia que se ejecute con sus privilegios, y tenga cuidado al pegar secretos de larga duración en herramientas que no haya examinado», dijo Aikido Security.

Extensiones maliciosas de Chrome roban conversaciones de IA

El desarrollo coincide con el descubrimiento de dos extensiones de bloqueador de anuncios de Google Chrome que han sido capturadas capturando conversaciones de los usuarios con chatbots de IA como OpenAI ChatGPT, Anthropic Claude, Google Gemini, Microsoft Copilot, Perplexity, DeepSeek, xAI Grok y Meta AI. La operación de recopilación de datos ha recibido el nombre en código Ladrón rápido por el investigador Jean-Marie R.

Los nombres de las extensiones, que todavía están disponibles en Chrome Web Store, son los siguientes:

• Smart Adblocker (ID: iojpcjjdfhlcbgjnpngcmaojmlokmeii) – 90.000 usuarios (publicado en octubre de 2022)
• Adblock para navegador (ID: jcbjcocinigpbgfpnhlpagidbmlngnnn) – 10.000 usuarios (publicado en agosto de 2023)

«Aunque se presentan como bloqueadores de anuncios, las extensiones incluyen un motor de interceptación personalizado que registra conversaciones no públicas, uso de modelos y metadatos de nivel de cuenta de todas las principales plataformas de inteligencia artificial (ChatGPT, Claude, Gemini y otras)», dijo el investigador. «La operación utiliza listas de filtros públicas legítimas (EasyList, IDCAC) como cobertura funcional, proporcionando una verdadera utilidad de bloqueo de publicidad mientras ejecuta un canal de telemetría no revelado».

El hecho de que las dos extensiones existan desde hace varios años indica que las actualizaciones relacionadas con la IA se introdujeron en forma de actualizaciones de software.

Estos esfuerzos son parte de una técnica de ataque llamada Prompt Poaching. En los últimos meses, se ha observado que extensiones de navegador, tanto legítimas como maliciosas, adoptan este método para capturar sigilosamente chats de IA. Lo que no está claro es si estas prácticas violan las políticas de Google para las extensiones del navegador.

«Las extensiones interceptan el historial completo de conversaciones de IA, el uso del modelo y el nivel de suscripción de ocho plataformas, y transmiten estos datos a la infraestructura controlada por el operador sin notificar al usuario más allá de una cadena de consentimiento genérica de ‘Protección mejorada’», señaló el investigador.

Hasta paquetes de 144 npm asociados con el mastra El espacio de nombres («@mastra/*»), un popular marco JavaScript y TypeScript de código abierto para crear aplicaciones de inteligencia artificial (IA), se ha visto comprometido como parte de un ataque a la cadena de suministro de software con nombre en código. día-fácil-jssegún los hallazgos de JFrog, SafeDep, Enchufey PasoSeguridad.

«Una sola cuenta npm (ehindero) publicó en masa más de 140 paquetes maliciosos en todo el ámbito de Mastra en un breve período el 17 de junio de 2026», dijo Socket.

Los paquetes infectados en sí no incluyen código malicioso. En cambio, se introduce mediante una biblioteca de terceros llamada «easy-day-js» que se ha agregado a la lista de dependencias de cada paquete. La biblioteca JavaScript fue publicada por un usuario de npm llamado «sergey2016» el 16 de junio de 2026 a las 7:05 a. m. UTC como una copia limpia y completamente funcional, y los cambios maliciosos se introdujeron el 17 de junio de 2026 a la 1:01 a. m. UTC.

El paquete «easy-day-js» lanza una carga útil ofuscada que se activa durante un enlace posterior a la instalación, que actúa como un gotero o cargador para una carga útil de segunda etapa recuperada de la infraestructura controlada por el atacante («23.254.164[.]92») después de deshabilitar la validación del certificado TLS.

Luego, la carga útil se ejecuta como un proceso en segundo plano independiente, tras lo cual el cargador toma medidas para borrarse a sí mismo y minimizar el rastro forense.

La etapa final es un ladrón de información multiplataforma que puede recopilar el historial del navegador, almacenar datos de más de 160 extensiones de navegador de billeteras de criptomonedas, instalar persistencia en Windows, macOS y Linux, y filtrar la información capturada al servidor C2 («23.254.164[.]123»).

En su análisis, SafeDep describió «easy-day-js» como un clon de la biblioteca de fechas «dayjs» que descarga y ejecuta un troyano de acceso remoto que roba criptomonedas. Se dice que los atacantes detrás de la campaña secuestraron la cuenta de «ehindero», un ex colaborador legítimo de Mastra cuyo acceso nunca fue revocado. Desde entonces, Npm eliminó las versiones maliciosas de los paquetes de más alto perfil y revirtió su última etiqueta.

Fuente de la imagen: StepSecurity

«Mastra envía sus lanzamientos reales de CI a través del flujo de editores confiables de npm, y cada uno lleva certificaciones de procedencia SLSA», dijo SafeDep. «El atacante empujó las versiones maliciosas desde un token personal y eliminó la procedencia».

«La misma huella digital se repite en todo el alcance. Mastra generó procedencia en las publicaciones de CI pero no la requirió, por lo que un token npm estándar aún podría publicarse sin atestaciones. Una instalación de verificación de firmas (firmas de auditoría de npm o una política que requiere atestaciones) habría rechazado todos los paquetes en esta ola».

Cualquier estación de trabajo, ejecutor de CI o entorno de compilación que haya instalado las versiones afectadas debe tratarse como potencialmente comprometido. Se recomienda volver a una versión segura, rotar las credenciales y auditar los hosts en busca de artefactos vinculados a la campaña.

«Los paquetes afectados incluyen @mastra/core, que recibe más de 918.000 descargas semanales de npm, lo que le da a esta campaña un gran radio potencial de explosión», dijo Socket. «Debido a que la carga útil se ejecuta durante la instalación, los sistemas pueden quedar expuestos antes de que los desarrolladores importen o utilicen el paquete».

La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) el martes agregado una falla de seguridad de máxima gravedad que afecta a Widget Factory Joomla Content Editor (JCE) en su catálogo de vulnerabilidades explotadas conocidas (KEV), citando evidencia de explotación activa.

La vulnerabilidad, rastreada como CVE-2026-48907 (Puntuación CVSS: 10,0), es un caso de control de acceso inadecuado que podría facilitar la ejecución de código arbitrario.

«Widget Factory Joomla Content Editor contiene una vulnerabilidad de control de acceso inadecuado que podría permitir la carga y ejecución de código PHP mediante la creación de nuevos perfiles de editor para usuarios no autenticados», CISA dicho.

Según una descripción de la vulnerabilidad publicada en CVE.org, el problema reside en la extensión del editor JCE para Joomla, lo que permite a un mal actor crear nuevos perfiles de editor para usuarios no autenticados, allanando efectivamente el camino para la carga y ejecución de código PHP.

El problema afecta a las versiones de JCE desde 1.0.0 hasta 2.9.99.4. Ha sido parcheado en la versión 2.9.99.5, lanzada el 3 de junio de 2026. En sus notas de la versión, Widget Factory dicho «Los controles de acceso insuficientes permitieron a usuarios no autenticados cargar perfiles de editor».

Actualmente no hay información sobre cómo se está explotando la vulnerabilidad en la naturaleza. Se ordenó a las agencias del Poder Ejecutivo Civil Federal (FCEB) que apliquen las correcciones antes del 19 de junio de 2026.

Varias campañas se dirigen a sitios de WordPress

La divulgación llega cuando Sansec detalló una nueva campaña de ataque a la cadena de suministro dirigida a más de 1 millón de sitios que utilizan los complementos de WordPress OptinMonster, TrustPulse y PushEngage, en la que los actores de la amenaza inyectaron JavaScript malicioso que «espera a que un administrador inicie sesión, crea una cuenta de administrador de puerta trasera e instala un complemento de puerta trasera que se oculta automáticamente».

En otra campaña, se descubrió que atacantes desconocidos comprometieron un sitio de WordPress para incorporar un complemento falso de WordPress llamado «Beloved PBN Entegrasyonu» que sigilosamente dirigía la URL del sitio a una API externa en cada carga de página e inyectaba HTML o JavaScript arbitrario devuelto por el servidor en el pie de página de la página web.

No está claro exactamente cómo los atacantes violaron el sitio web, pero se dice que el acceso les permitió organizar dos shells web PHP como código ejecutable sin procesar con los registros de la base de datos «wp_posts» y les otorgó la capacidad de interactuar con los scripts a través de HTTP. Esto, a su vez, facilitó el acceso de lectura/escritura sin restricciones a todo el sistema de archivos del servidor sin necesidad de autenticación.

Específicamente, las cargas útiles residentes en la base de datos permiten al actor de amenazas realizar acciones de archivos, como leer, escribir, editar o eliminar cualquier archivo en el servidor, explorar directorios en todo el servidor, cambiar los permisos de los archivos, cambiar el nombre de los archivos, crear nuevos archivos y carpetas y cargar archivos desde su propia computadora.

«Cada visitante del sitio comprometido recibió enlaces salientes PBN inyectados en la fuente de su página en cada carga de página, dañando directamente las clasificaciones de búsqueda del sitio y arriesgándose a una penalización manual en Google Search Console», dijo el investigador de Sucuri, Puja Srivastava. dicho.

«La campaña es operada por un actor de amenazas de habla turca y se basa en un esquema clásico de monetización SEO: inyección de vínculo de retroceso oculto para una red de blogs privada (PBN), muy probablemente vinculada al nicho de apuestas y afiliados adultos».