Los malos actores están explotando múltiples vulnerabilidades de seguridad en Fortinet FortiSandbox, según la firma de inteligencia de amenazas Defused Cyber.

en una publicación compartido en X, la compañía dijo que había observado la explotación de CVE-2026-39813, CVE-2026-39808 y CVE-2026-25089 durante las últimas 24 horas.

CVE-2026-39813 (puntaje CVSS: 9.1) hace referencia a una vulnerabilidad de recorrido de ruta en la API JRPC de FortiSandbox que podría permitir a un atacante no autenticado eludir la autenticación mediante solicitudes HTTP especialmente diseñadas.

La segunda falla, CVE-2026-39808 (puntaje CVSS: 9.1), es un caso de inyección de comandos del sistema operativo que podría permitir a un atacante no autenticado ejecutar código o comandos no autorizados a través de solicitudes HTTP diseñadas. Fortinet parchó ambas vulnerabilidades en abril de 2026.

CVE-2026-25089 (puntuación CVSS: 9.1), por otro lado, se solucionó la semana pasada, y Fortinet lo describió como una inyección de comando del sistema operativo que afecta a FortiSandbox, FortiSandbox Cloud y FortiSandbox PaaS WEB UI y que podría permitir que un atacante no autenticado ejecute comandos no autorizados a través de solicitudes HTTP específicamente diseñadas.

Defused Cyber ​​señaló que el exploit para CVE-2026-25089 no solo muestra signos de haber sido desarrollado utilizando un modelo de inteligencia artificial (IA), sino que también es defectuoso. No se ha revelado públicamente un exploit funcional para la vulnerabilidad.

Las vulnerabilidades en los dispositivos Fortinet se han convertido en un pararrayos para los atacantes en los últimos años. En abril de 2026, Fortinet lanzó parches fuera de banda para una falla de seguridad crítica que afecta a FortiClient EMS (CVE-2026-35616, puntuación CVSS: 9.1) que, según dijo, había sido explotada en la naturaleza.

El grupo de hackers patrocinado por el Estado norcoreano conocido como ScarCruft (también conocido como APT37) ha sido observado utilizando mensajes de phishing que se hacen pasar por notificaciones de seguridad de cuentas de Microsoft para entregar malware llamado NarvalRAT.

«El correo electrónico del ataque contenía un mensaje que se hacía pasar por una alerta de seguridad de la cuenta de MS», informó el Genians Security Center (GSC). dicho. «Fue diseñado para generar preocupación sobre un posible compromiso de la cuenta y abuso de OTP, induciendo así al destinatario a ejecutar el archivo adjunto».

«El cuerpo del correo electrónico indicaba al destinatario que consultara el aviso adjunto. Sin embargo, el archivo adjunto real no era un HWP [Hangul Word Processor] documento, sino un archivo ZIP que contenía un archivo LNK malicioso».

El mensaje de correo electrónico afirma «actividad anormal» relacionada con la generación repetida de contraseñas de un solo uso, haciéndola pasar como un intento de phishing dirigido a la cuenta de Microsoft del objetivo por parte de un tercero e instándolo a cambiar su contraseña. El objetivo final del mensaje de phishing es inducir una falsa sensación de urgencia y engañar a la víctima para que interprete el correo electrónico como una alerta de seguridad legítima.

El archivo LNK, una vez iniciado, inicia una cadena de infección de varias etapas que emplea secuencias de comandos por lotes intermediarias para descargar e instalar NarwhalRAT, además de recuperar el ejecutable Python legítimo del sitio web oficial y un archivo del catálogo de seguridad de Windows (CAT). La persistencia se logra mediante una tarea programada, que está configurada para iniciar el archivo CAT responsable de buscar y ejecutar la carga útil principal en la memoria sin dejar ningún artefacto en el disco.

El malware basado en Python está equipado para registrar pulsaciones de teclas, capturar capturas de pantalla (con soporte para imágenes de alta resolución), grabar audio ambiental, cargar contenidos de directorio, recopilar detalles de ventanas activas, recopilar datos de medios USB, ejecutar instrucciones emitidas por un servidor de comando y control (C2) y cambiar servidores C2.

El apodo NarwhalRAT es una referencia al uso que hace el malware de «%APPDATA%\naverwhale» para almacenar la información recopilada en el host comprometido. El nombre del directorio oculto es un intento de evadir la detección haciéndose pasar por Naver Whale, un navegador web desarrollado por la empresa de tecnología surcoreana Naver Corporation.

La implementación de NarwhalRAT por parte de APT37 es digna de mención, ya que marca un alejamiento de RokRAT, una familia de malware atribuida exclusivamente al grupo de hackers.

«Desde una perspectiva de infraestructura C2, el malware utiliza sitios web coreanos, incluido ‘daehoat[.]com’ y ‘novela21[.]co.kr’, como principales retransmisores de comunicación, al mismo tiempo que implementa una funcionalidad de comunicación basada en la API de almacenamiento en la nube pCloud», dijo la compañía de ciberseguridad de Corea del Sur.

«En particular, se identificaron dentro del código rutinas específicas de pCloud que procesan los parámetros ‘folderid’ y ‘auth’. Esto indica que el malware fue diseñado para utilizar un servicio de nube legítimo como canal C2 secundario en forma de un solucionador de caída muerta«.

Genians dijo que la actividad comparte «múltiples similitudes» con ataques anteriores basados ​​en Python orquestados por ScarCruft, incluida una campaña de phishing que ha utilizado la confirmación de boletos y señuelos de invitaciones a eventos para engañar a objetivos potenciales para que abran archivos ZIP que contienen archivos LNK.

El cadena de ataque Se desarrolla de manera similar en el sentido de que el archivo LNK actúa como un conducto para un script por lotes ofuscado descargado desde un servidor C2 remoto, que luego descarga el binario de Python y un archivo CAT, lo que finalmente resulta en la implementación de un script de Python compilado capaz de ejecutar comandos remotos y enviar los resultados al servidor C2.

Curiosamente, los nombres de las tareas programadas que se utilizan para configurar la persistencia siguen una convención de nomenclatura similar. Mientras que la infección NarwhalRAT crea una tarea programada llamada «MicrosoftUserInterfacePicturesUpdateTackMachine», la segunda cadena usa el nombre «MicrosoftMusicLibrariesPackageTaskMachine».

«En general, se considera que NarwhalRAT es un malware RAT avanzado que integra un cargador de múltiples etapas basado en Python, una estructura de ejecución en memoria, un marco operativo multi-C2 y funciones de recopilación selectiva de información», dijo Genians.

La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) ha agregado una falla de seguridad que afecta el complemento LiteSpeed ​​cPanel a sus vulnerabilidades explotadas conocidas (KEV), que exige que las agencias del Poder Ejecutivo Civil Federal (FCEB) apliquen las correcciones antes del 18 de junio de 2026.

La vulnerabilidad en cuestión es CVE-2026-54420 (puntuación CVSS: 8,5), que ha sido descrita como un caso de escalada de privilegios. Permite a un usuario con acceso FTP o shell web escalar privilegios a root en servidores de alojamiento compartido que ejecutan CloudLinux o CageFS.

«El complemento LiteSpeed ​​cPanel anterior a 2.4.8 (como se distribuye en el complemento LiteSpeed ​​WHM anterior a 5.3.2.0) maneja mal los enlaces simbólicos proporcionados por un usuario con acceso FTP o web shell en un servidor de alojamiento compartido que ejecuta CloudLinux/CageFS», según un descripción de la vulnerabilidad en CVE.org.

Actualmente no se sabe cómo se está explotando la vulnerabilidad en la naturaleza y si alguno de esos ataques ha tenido éxito, pero LiteSpeed ​​sí lo ha hecho. instado los usuarios deben ejecutar el siguiente comando para verificar si sus servidores están afectados:

grep -rE 'cpanel_jsonapi_func=(generateEcCert|packageUserSize)|cert_action_entry .*geneccert' /usr/local/cpanel/logs/ /var/cpanel/logs/ 2>/dev/null

Si el comando grep no muestra ningún resultado, indica que el servidor no se ha visto afectado por el problema. Si hay algún resultado, LiteSpeed ​​ha compartido indicadores adicionales para descartar falsos positivos:

• generateEcCert seguido inmediatamente de packageUserSize para el mismo usuario (los flujos legítimos de UI no los encadenan)
• 7 a 10 llamadas simultáneas por intento (la interfaz de usuario legítima realiza una a la vez)

A Namecheap se le atribuye haber llamado la atención sobre el problema el 31 de mayo de 2026. Se recomienda a los usuarios actualizar al complemento LiteSpeed ​​WHM v5.3.2.1 (incluido con el complemento cPanel v2.4.8) o superior para corregir la vulnerabilidad.

Cisco ha publicado actualizaciones de seguridad para una falla de seguridad de gravedad media en Catalyst SD-WAN Manager que ha sido objeto de explotación activa en la naturaleza.

La vulnerabilidad, rastreada como CVE-2026-20262tiene una puntuación CVSS de 6,5 sobre 10,0.

«Una vulnerabilidad en la interfaz de usuario web de Cisco Catalyst SD-WAN Manager, anteriormente SD-WAN vManage, podría permitir a un atacante remoto autenticado crear un archivo o sobrescribir cualquier archivo en el sistema de archivos de un sistema afectado», Cisco dicho en un aviso.

El problema, añadió la empresa de equipos de red, se debe a una validación inadecuada de los datos proporcionados por el usuario durante el proceso de carga de archivos. Un atacante podría aprovechar este comportamiento para crear o sobrescribir cualquier archivo en el sistema operativo subyacente enviando solicitudes HTTP diseñadas a un punto final API afectado.

Esto, a su vez, podría convertirse en un arma para llegar a la raíz. Sin embargo, una explotación exitosa depende de que el atacante ya tenga credenciales válidas con al menos acceso de escritura.

La vulnerabilidad afecta a los siguientes productos independientemente del tipo de implementación:

• Cisco Catalyst SD-WAN Manager local
• Cisco SD-WAN Cloud-Pro
• Nube Cisco SD-WAN (administrada por Cisco)
• Cisco SD-WAN para gobierno (FedRAMP)

Se han lanzado parches para solucionar el problema.

• Cisco Catalyst SD-WAN versión 20.9.9.1 y anteriores: corregido en 20.9.9.2
• Cisco Catalyst SD-WAN versión 20.12.7.1 y anteriores: corregido en 20.12.7.2
• Cisco Catalyst SD-WAN versión 20.15.4.4 y anteriores: corregido en 20.15.4.5
• Cisco Catalyst SD-WAN versión 20.15.5.2 y anteriores: corregido en 20.15.5.3
• Cisco Catalyst SD-WAN versión 20.18.3: corregido en 20.18.3.1
• Cisco Catalyst SD-WAN versión 26.1.1.1 y anteriores: corregido en 26.1.1.2

Cisco dijo que «se dio cuenta de la explotación limitada de esta vulnerabilidad» en junio de 2026, y agregó que fue descubierta durante las pruebas de seguridad internas.

La compañía también ha compartido indicadores de compromiso asociados con la actividad maliciosa, instando a los clientes a auditar «/var/log/nms/vmanage-server.log» para detectar cargas de archivos WAR sospechosos como se muestra a continuación:

11-June-2026 03:53:37,310 EDT INFO  [a66cdc5f-807d-4c23-944e-5c809a2ece6b] [server] [SdraAnyConnectFileUploadHandler] (default task-40704) |default| uploaded Remote Access Anyconnect profile file: ../../../../var/lib/wildfly/standalone/deployments/suspicious.war to vManage.

Otros indicadores incluyen intentos de implementar código malicioso e interactuar con él, aunque Cisco advirtió que es posible que no «aparezcan consistentemente» en todos los registros de incidentes. Las actividades de seguimiento relacionadas con esta vulnerabilidad son:

CVE-2026-20262 es la octava falla de seguridad que afecta a Cisco SD-WAN y que se marca como explotada activamente solo este año después de CVE-2026-20245, CVE-2026-20182, CVE-2026-20127, CVE-2026-20122, CVE-2026-20128. CVE-2026-20133 y CVE-2022-20775. La explotación de algunas de estas fallas se ha atribuido a un actor de amenaza persistente avanzada (APT) llamado UAT-8616.

El desarrollo ha llevado a la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) a agregar la falla de sus vulnerabilidades explotadas conocidas (KEV), que exige que las agencias del Poder Ejecutivo Civil Federal (FCEB) apliquen las correcciones antes del 29 de junio de 2026.

Un grupo de espionaje vinculado a China se ocultó dentro de las redes de investigación médica, académica y militar de América del Norte durante más de un año, robando silenciosamente correos electrónicos confidenciales de investigación y defensa.

La entrada era una puerta trasera en su Mozo de estación Servidores de investigación que robaron credenciales de inicio de sesión. La exfiltración fue la parte inusual: los atacantes reconfiguraron las propias reglas de Google Workspace de las víctimas para copiar cualquier mensaje que coincidiera con sus palabras clave a una bandeja de entrada que controlaban.

El Threat Intelligence Group (GTIG) de Google presentó la campaña en un informe publicado esta semana y lo atribuye con alto nivel de confianza a un grupo que rastrea como UNC6508.

El actor y su puerta trasera REDCap no son nombres nuevos; Google sacó a la luz ambas cosas por primera vez en febrero, en un informe más amplio sobre ataques respaldados por el Estado contra el sector de defensa. No nombró a las víctimas, sino que las describió únicamente como múltiples organizaciones en Estados Unidos y Canadá: proveedores clínicos, centros académicos, instituciones de salud militares, grupos de defensa y reguladores de salud.

Google dice que les notificó e interrumpió la infraestructura del grupo.

¿Cómo entraron?

El punto de entrada fue Mozo de estación (Research Electronic Data Capture), una plataforma web que utilizan hospitales y universidades para crear y gestionar bases de datos de estudios. UNC6508 comprometió servidores REDCap externos.

Google no ha precisado el vector de acceso inicial, no ha nombrado un CVE específico ni ha enumerado las versiones afectadas, aunque vio que el grupo investigaba las versiones más antiguas y vulnerables.

Aproximadamente tres meses después de ingresar, el grupo implementó llamadas GTIG de malware personalizadas. INFINITERADOque troyaniza los propios archivos del sistema de REDCap y hace tres cosas.

• Primero, secuestra el proceso de actualización para que cada nueva versión de REDCap reinyecte el código en lugar de borrarlo.
• En segundo lugar, recopila nombres de usuario y contraseñas de la página de inicio de sesión y los almacena, cifrados, en tablas de bases de datos locales.
• En tercer lugar, actúa como una puerta trasera, recibiendo comandos a través de cookies HTTP y ejecutándose en cada carga de página.

El primer compromiso conocido data de septiembre de 2023, y la actividad continuó hasta noviembre de 2025. Una vez en el servidor, UNC6508 ejecutó reconocimiento interno y descubrimiento de credenciales, extrayendo las credenciales de la base de datos y de la cuenta de servicio, luego usó esos inicios de sesión para pasar a la red interna y a una cuenta de administrador de dominio.

Google no explica la ruta exacta a esa cuenta de administrador. Con derechos de administrador, el grupo configuró la exfiltración.

Cómo robaron el correo electrónico

La exfiltración se basó en una característica que ya estaba allí. UNC6508 abusó de las reglas de cumplimiento de contenido, una función de administración legítima de Google Workspace que escanea el correo en busca de palabras clave y puede copiar o reenviar mensajes coincidentes.

Existen características similares en otras suites de correo en la nube. El grupo creó una regla, mal escrita «Patroit», que analizaba casi 150 palabras clave, términos de búsqueda y direcciones de correo electrónico. Cuando un mensaje coincidía, Workspace lo enviaba silenciosamente a una dirección de Gmail controlada por un atacante, que desde entonces Google ha desactivado. Sin malware en el servidor de correo, sin herramienta de exfiltración independiente, sin tráfico de red inusual. Solo una función de correo incorporada, destinada a copiar los secretos de la organización a una bandeja de entrada de propiedad de los atacantes.

MITRE ya cataloga Abuso de reglas de reenvío de correo electrónico como técnica conocida. Lo que GTIG señala como nuevo aquí es el uso de reglas de cumplimiento de contenido de dominio para hacerlo, un método que, según dice, no había visto antes en un actor vinculado a China.

Las palabras clave de la regla se corresponden con las prioridades de recopilación de UNC6508: política geoestratégica, estrategia y equipo militar, tecnología avanzada que incluye inteligencia artificial y vehículos no tripulados, programas cibernéticos ofensivos e investigación médica. Un término destacó por su especificidad, chikunguñael virus transmitido por mosquitos detrás de un brote en 2025 en la provincia china de Guangdong.

que hacer

Comience con REDCap. Parchee los servidores externos y elimine las versiones antiguas directamente, no solo junto con la versión actual. REDCap permite que las versiones heredadas se ejecuten en paralelo, y eso es lo que permite los ataques de degradación, donde un atacante fuerza al software a volver a una versión vulnerable conocida.

Luego revisa el lado del correo. Revise las reglas de cumplimiento de contenido y reenvío de correo de Workspace, o su equivalente, para detectar cualquier cosa que haga CCO o redirija el correo a direcciones externas. Consulte los registros de auditoría del administrador para saber cuándo cambiaron las reglas, no solo lo que dicen ahora. Extraiga los indicadores publicados de GTIG y busque INFINITERED. Y coloque MFA resistente al phishing en las cuentas de administrador, ya que todo el paso del robo de correo dependía del acceso del administrador.

Google todavía no sabe cómo llegó UNC6508 por primera vez a los servidores REDCap. La parte que vale la pena observar es la regla del correo. Una vez que los atacantes obtienen acceso de administrador, una función incorporada en la nube puede convertirse silenciosamente en una ruta de exfiltración, y eso es lo que los defensores deben auditar, no solo la puerta trasera de REDCap.

Los cazadores de amenazas de Google detectaron otro grupo de espionaje patrocinado por el estado chino que durante años se había infiltrado en sistemas pertenecientes a organizaciones gubernamentales y privadas para robar datos en el ámbito académico, médico, militar, de ciberseguridad y de política exterior.

Google Threat Intelligence Group descubrió el grupo de amenazas previamente desconocido UNC6508que apuntó a organizaciones en Estados Unidos y Canadá, a finales de 2025, pero su primer compromiso conocido se remonta a septiembre de 2023.

La revelación refleja un patrón alarmante de grupos de espionaje chinos que abren puertas traseras en infraestructura crítica para posicionarse previamente para posibles sabotajes, interceptar investigaciones y robar datos con implicaciones para la seguridad nacional. Estos grupos que trabajaban a instancias del gobierno de China, incluido el UNC6508, operaron en secreto durante años antes de que las autoridades o los investigadores descubrieran su actividad.

«No conocemos el alcance total o el impacto de la campaña», dijo a CyberScoop Patrick Whitsell, ingeniero senior de seguridad de GTIG. Los investigadores dijeron que el grupo de amenazas irrumpió en una universidad de investigación médica en septiembre de 2023, robó credenciales y comunicaciones y permaneció activo en los sistemas de la institución hasta noviembre de 2025, cuando fue descubierto.

Google dijo que confirmó que había múltiples víctimas comprometidas con INFINITERED, una puerta trasera personalizada que el grupo de amenazas implementó en redes específicas para robar credenciales administrativas después de explotar servidores REDCap (Research Electronic Data Capture) externos.

Los investigadores aún no saben cómo UNC6508 obtuvo acceso inicial a los servidores REDCap. Google dijo que el software de encuestas y bases de datos, que se creó en la Universidad de Vanderbilt y emitió múltiples parches para vulnerabilidades críticas de ejecución remota de código a lo largo de 2023, se utiliza ampliamente en la comunidad de investigación médica.

«Dada la amplitud de los criterios de recopilación de inteligencia del actor de amenazas y su capacidad para permanecer sin ser detectados dentro de las redes comprometidas durante más de un año, evaluamos que las víctimas conocidas probablemente representen sólo una fracción de una campaña más grande», dijo Whitsell. «También evaluamos que este actor de amenazas altamente capaz permanecerá activo y seguirá siendo una amenaza para las industrias de defensa, tecnología y medicina en el futuro previsible».

Google dijo que la campaña estaba dirigida a proveedores clínicos, centros médicos académicos e instituciones de salud militares de EE. UU., demostrando capacidades avanzadas de un grupo de amenazas que actualmente no se superpone con ningún otro grupo conocido públicamente.

El grupo de amenazas abusó de las reglas de cumplimiento de dominio para robar datos, una técnica que no se basa en malware o herramientas de supervivencia, y enruta el tráfico a través de IP con sede en EE. UU. para mezclarse con el tráfico legítimo, dijeron los investigadores.

«Tenemos alguna evidencia que sugiere que se trata de un gran grupo de amenazas con múltiples subequipos, pero esto no está confirmado», dijo Whitsell.

Al igual que otros grupos de espionaje patrocinados por el Estado de China previamente identificados, UNC6508 permanece activo.

Google dijo que interrumpió parte de la infraestructura conocida de UNC6508 al deshabilitar una cuenta de Gmail que usaba para filtrar datos, notificó a las organizaciones afectadas y ayudó a remediar los compromisos antes de publicar una investigación sobre las actividades de UNC6508.

Whitsell dijo que varios casos de compromiso no confirmados siguen bajo investigación.

Cybersecurity researchers have flagged two malicious cyber campaigns that exhibit similarities with a persistent North Korean threat cluster known as Contagious Interview (aka Famous Chollima, HexagonalRodent, and Void Dokkaebi).

According to a report published by Proofpoint, the threat actor has been found orchestrating phishing campaigns using developer role recruitment or code review themes to target nearly 100 organizations in finance, cryptocurrency, education, technology, and several other sectors. The activity has been codenamed UNK_DeadDrop.

«The infection chain begins with emails containing links to actor-controlled GitHub repositories hosting malicious scripts that result in the execution of cross-platform malware for macOS, Linux, and Windows, including an open-source Go framework named Overlord,» Proofpoint researchers Saher Naumaan and Carlos Rubio said.

A crucial aspect connecting the campaign to Pyongyang is the use of Microsoft Visual Studio Code (VS Code) projects that employ the «runOn: folderOpen» technique to trigger the execution of malicious code every time the code editor is opened without requiring any user interaction. This approach has been adopted by the Contagious Interview actors since December 2025.

The activity documented by the enterprise security company involved more than 250 emails that were sent during a six-week period to individuals in almost 100 organizations. Over 75% of the targeted entities are located in the U.S., followed by the U.K., Australia, France, Brazil, Germany, India, Israel, Japan, and the Netherlands.

The emails contain links to GitHub repositories masquerading as technical assignments or cryptocurrency-related projects, instructing recipients to clone the repository and open it in VS Code or Cursor, resulting in the execution of operating system-specific malware loaders for Linux, macOS, and Windows. Subsequent lures observed in May 2026 have pivoted their approach by requesting targets to review their open-source projects.

The loader – a shell script for macOS and Linux and a VBScript for Windows systems – is designed to install a malicious VS Code extension (VSIX) that masquerades as a legitimate Google service, while communicating with an external server to facilitate remote command execution, system reconnaissance, and data exfiltration from browser wallet extensions, credentials, and desktop wallet apps.

The Linux and macOS infection chains lead to a custom version of the open-source Overlord framework with capabilities to enable data theft. It also prompts users to enter their system password using a fake security pop-up. The Windows attack chain, on the other hand, relies on the VBScript payload to run a CMD file, which then installs the extension.

The end goal remains the same: to steal credentials and data from wallet browser extensions and applications, and exfiltrate the results to the server («23.137.105[.]75:5173») via an HTTP POST request.

«Unlike the Linux/macOS agent, the Windows pipeline does not maintain a persistent connection; it uploads the ZIP files, performs cleanup, and terminates,» Proofpoint said.

Further analysis has uncovered that the threat actor previously distributed a Windows Go binary of Overlord, but has since shifted to the new method, likely in an attempt to avoid detection.

Proofpoint said it’s tracking UNK_DeadDrop as distinct from Contagious Interview due to differences in initial access methods (LinkedIn vs. email) and the use of the Overlord framework, which is different from the custom malware families the North Korean hacking group has traditionally deployed, including BeaverTail, InvisibleFerret, and OtterCookie.

«UNK_DeadDrop activity suggests North Korea-aligned operations targeting developers for financial gain are maturing and evolving,» the company said. «The shift from active social engineering over social media platforms to conduct fake interviews to large campaigns of recruitment-themed phishing emails distributing links to malicious repositories could indicate an actor industrializing and scaling operations.»

The disclosure comes as Yeeth Security said it discovered three malicious VS Code extensions named «ByteBinTools.jupyter-powerdev-2026.6.8.vsix,» ToolCraft.jupyter-powertools-3.21.0.vsix,» and «OLDev.markdown-mode-devtools-2.1.0.vsix» on the official marketplace that are dressed up as seemingly harmless Jupyter Notebook productivity tools, but are, in fact, a «sophisticated, multi-stage backdoor» engineered to bypass endpoint defenses.

The malware supports the following functions –

• A SharePoint site functioning as a command queue, victim registry, and exfiltration channel
• A JavaScript layer that handles all command-and-control (C2) communication via Microsoft Graph API and SharePoint to
• Components enabling arbitrary file read, write, and exfiltration, as well as code execution using a Windows executable and a Python script for Linux and macOS

The C2 channel, besides running commands or scripts, can issue a third command type called «host_action,» which facilitates file system operations like pwd, ls, cd, and cat, along with file upload and downloads.

Although there exists no direct overlap with any publicly documented North Korean campaign, Yeeth Security said the developer tooling split between JavaScript and Python has its echoes in Contagious Interview, and that the malicious artifacts’ Microsoft Graph API authentication mechanism shares some similarities with the Lazarus Group’s Dream Job attacks detailed by S2 Grupo LAB52 in October 2025.

The findings dovetail with the discovery of multiple campaigns linked to the North Korean threat actors in recent months –

• A follow-up to the Axios supply chain attack using three malicious npm packages (redeem-onchain-sdk@1.0.7, nicegui@0.1.4, and period-newline@0.1.0) that deliver an information stealer that exfiltrates harvested data to a different C2 infrastructure. The packages are listed as dependencies on GitHub projects disguised as cryptocurrency trading bots. «Less than 18 hours after the Axios malicious packages were removed from NPM, the first secondary payload was already live on the registry,» OpenSourceMalware said. «This suggests the threat actor had prepared backup infrastructure and was ready to immediately deploy alternative delivery mechanisms.»
• An attack campaign codenamed TaskJacker has been delivered, dropping malicious VS Code task files into unsuspecting GitHub users’ existing repositories, spreading in a worm-like fashion. «By weaponizing VS Code’s tasks.json auto-execution feature, attackers have created a scenario where simply opening a cloned repository in your IDE can compromise your system,» the OpenSourceMalware team said. «No user interaction required beyond a git clone and opening the folder.»
• Contagious Interview’s use of Git hooks («.githooks/pre-commit») to fire the execution of malicious code when a target clones a «coding assessment» repository, marking a shift from hiding the malicious code within .vscode/tasks.json or package.json files.
• Contagious Interview’s use of a compromised Packagist package («roberts/leads») to target PHP developers with a JavaScript malware loader that reaches out to blockchain and public RPC infrastructure in order to fetch, decrypt, and execute a next-stage JavaScript payload. The adversary has also leveraged its access to compromised developer systems to tamper with commits and inject multi-stage obfuscated JavaScript code to the source code files in their repositories. The final payload is a variant of the DEV#POPPER RAT.
• «Void Dokkaebi’s operations do not end with a single infected developer,» Trend Micro said. «The compromised machine becomes a launchpad, with the threat actor weaponizing the victim’s own repositories and turning their code contributions into infection vectors for downstream developers. The result is a self-sustaining propagation chain resembling a worm’s behavior rather than a traditional targeted attack.»
• Contagious Interview’s migration of InvisibleFerret from readable Python scripts to Cython-compiled binaries, distributing the malware as .pyd files on Windows and .so files on macOS. «The update gives the intrusion set an additional layer of evasion while preserving InvisibleFerret’s core capabilities, including backdoor access, browser credential theft, clipboard monitoring, keylogging, and cryptocurrency wallet targeting,» Trend Micro said. «BeaverTail has also expanded beyond its original downloader and stealer role into a broader malware with overlapping functions, including credential harvesting and wallet trojanization.»
• A malicious npm package named «terminal-logger-utils» has been found to target Telegram data, SSH keys, crypto wallets, cloud configurations, and environment variables. The package was published by «jpeek895,» an account flagged for publishing a similar package called «terminal-logger-pack» in late April 2026. Another npm package named «js-logger-pack» has been found to deliver an ELF binary with infostealer and remote access trojan (RAT) capabilities.
• BlueNoroff’s (aka Sapphire Sleet and UNC1069) targeting of macOS environments within high-value financial sectors to deliver infostealer malware as part of a targeted social engineering against individuals in the cryptocurrency, investment, and Web3 space. Some of these efforts also make use of fake Zoom and Microsoft Teams meeting-themed lures and ClickFix-style prompts and instructions to install supposed «missing» meeting SDKs and deliver malicious payloads. The attacks led to the deployment of updated variants of Cabbage RAT (aka CageyChameleon), PowerShell implants capable of credential and data theft, or a newly identified data-stealing macOS toolkit known as Mach-O Man.
• «By persuading users to manually execute AppleScript or Terminal-based commands, Sapphire Sleet shifts execution into a user-initiated context, allowing the activity to proceed outside of macOS protections such as Transparency, Consent, and Control (TCC), Gatekeeper, quarantine enforcement, and notarization checks,» Microsoft said.
• Contagious Trader’s use of over 50 malicious packages embedded across more than 100 GitHub repositories targeting developers in the cryptocurrency space to deliver three malware families: PromptMink, OtterCookie, and a new Windows clipboard stealer called ClipViper. «The malicious repositories are promoted through verified accounts on X and Reddit, use spoofed developer identities and bot-inflated star counts to appear legitimate, and are distributed across 40+ GitHub users and organizations as redundant delivery fronts,» Panther said.
• A cluster of obfuscated malicious npm packages published by multiple throwaway accounts has been found to deliver variants of the OtterCookie infostealer by means of a postinstall hook. Another malicious npm package named «node-env-resolve» has been identified as making use of six runtime dependencies that match the OtterCookie toolkit.
• Contagious Interview’s use of generative artificial intelligence to assist with the development of loaders responsible for launching BeaverTail and OtterCookie, and to set up front companies used for listing job openings and social engineering outreach via fake LinkedIn accounts. According to data shared by Expel, these campaigns are likely carried out by multiple teams, each comprising several members. The attacks have resulted in the theft of $12 million in cryptocurrency in the first three months of 2026. «The threat actor’s campaigns exfiltrated a total of 26,584 cryptocurrency wallets from 2,726 infected developers’ systems,» Expel’s Marcus Hutchins said.
• A supply chain attack campaign codenamed jsonspack has used 27 malicious npm packages to deliver a JavaScript RAT and infostealer, or drop a loader that fetches an unspecified payload. Another malicious npm package named «sleek-pretty» has been found to target developers running Polymarket trading bots to carry out system fingerprinting, SSH backdoor installation, filesystem exfiltration, and targeted theft of Polymarket CLOB API credentials.
• A sustained npm malware campaign spanning 108 malicious packages and 261 package versions targeted developers between March 20 and April 20, 2026, with an aim to steal credentials, Telegram Desktop sessions, and wallet keys, and establish persistent access using malware families like BeaverTail and OtterCookie.

«Whilst financially motivated cybercrime is highly unappealing to almost every nation-state, since the monetary loss from the resulting sanctions would far outweigh any financial gain, this is not the case for North Korea,» Expel said. «The heavy sanctions already levied against the country mean there is little more that can be done to deter them, but a lot to be gained for a nation whose economic activity is severely constrained.»

Una cuenta predeterminada con bajos privilegios en un proxy LiteLLM puede ascender a administrador completo y ejecutar código en el servidor encadenando tres vulnerabilidades, revelaron investigadores de Obsidian Security.

LiteLLM es una puerta de enlace de IA de código abierto ampliamente implementada que gestiona llamadas a más de 100 proveedores de modelos detrás de una interfaz compatible con OpenAI.

Una toma de control del servidor expone cada clave de proveedor que posee, los secretos que descifran sus credenciales almacenadas y cada mensaje y respuesta que pasa a través de él.

Obsidian califica el CVSS de cadena completa con 9.9, en el rango Crítico. berriaiel mantenedor, incluyó el conjunto de correcciones completo en LiteLLM v1.83.14-stable, que GitHub enumera como lanzado el 2 de mayo. Actualice a esa versión o posterior para cerrar la cadena de tres CVE.

los tres bichos

El primer enlace es CVE-2026-47101una omisión de autorización. Cuando un usuario normal (un usuario interno) genera una clave API virtual, LiteLLM almacena el campo de rutas permitidas proporcionado por la persona que llama sin compararlo con la función del usuario.

Se supone que el campo limita lo que puede hacer una clave. En cambio, el proxy también lo trata como una concesión alternativa, por lo que alguien que no sea administrador puede crear una clave con Allow_routes: [«/*»]un comodín que llega a todas las rutas, incluidas las exclusivas para administradores. La misma escritura no verificada aparece en los otros puntos finales de administración de claves, razón por la cual la solución requirió tres solicitudes de extracción para llegar.

Una vez pasada la puerta de ruta, los manejadores detrás de ella se vuelven accesibles. Varios de ellos suponen que la puerta ya ha pasado el control, lo que abre dos caminos.

uno es CVE-2026-47102escalada de privilegios. El punto final /user/update permite al usuario editar su propio registro, pero no restringe qué campos puede escribir. Se acepta y guarda una actualización automática con user_role: «proxy_admin», lo que promueve a la persona que llama a administrador de proxy completo. Un org_admin puede llegar a este punto final a través de una ruta de código legítima y prevista sin necesidad de omitirla; un usuario interno predeterminado lo alcanza después de CVE-2026-47101.

VulnCheck, que asignó el CVE, le otorga una puntuación de 8,7 en CVSS 4.0 y 8,8 en 3.1.

El otro es CVE-2026-40217un escape de espacio aislado en Custom Code Guardrail, que compila y ejecuta Python proporcionado por el administrador. Los puntos finales de producción ejecutaron el código a través de exec() sin filtrado a nivel de fuente. Cuando exec() obtiene un dictado global sin __builtins__, Python inyecta silenciosamente el módulo integrado completo, que entrega el código __import__, open y eval. Una carga útil simple que llamara a os.system fue suficiente para un shell inverso.

Una ruta separada en el punto final del área de juegos /guardrails/test_custom_code, encontrada de forma independiente por X41 D-Secderrotó una lista de denegación de expresiones regulares mediante la reescritura del código de bytes en tiempo de ejecución. Ambos terminaron en la ejecución de código del lado del servidor.

Lo que obtiene un atacante

LiteLLM se encuentra en un cuello de botella, por lo que el alcance es amplio. Una cadena completa expone la clave maestra, la clave salt que descifra las credenciales almacenadas y la URL de la base de datos. También expone todas las claves de proveedor configuradas, para OpenAI, Anthropic, Gemini, Bedrock, Azure y el resto.

Las claves en la configuración o el entorno son texto sin formato; Las claves de la base de datos están cifradas pero se pueden recuperar con la clave salt. Todo lo que se envía a través de la puerta de enlace, indicaciones y respuestas, se vuelve legible, que en implementaciones reales es donde terminan la PII, el código fuente, los tickets internos y los secretos pegados.

Si el proxy también se ejecuta como protocolo de contexto modelo (MCP) o puerta de enlace de agente, los tokens de OAuth y las credenciales de herramientas también están dentro del alcance.

El mayor riesgo no es lo que lee un atacante sino lo que puede reescribir. La puerta de enlace se encuentra en el cable entre un agente de IA y el modelo, por lo que un compromiso le permite alterar las respuestas en tránsito.

Obsidiana demostrada esto contra Claude Code enrutado a través de un proxy comprometido. Esta no es una inyección inmediata. En lugar de persuadir al modelo para que se comporte mal, el atacante utiliza el mecanismo de devolución de llamada integrado de LiteLLM, un punto de extensión que se activa con cada solicitud y nunca aparece en la interfaz de usuario del administrador. La devolución de llamada intercambia la respuesta del modelo por una llamada de herramienta falsificada y reescribe el contexto de verificación de seguridad para que la acción se lea como aprobada.

En la demostración, el desarrollador escribe una palabra, hola, y el atacante abre un shell inverso en la máquina del desarrollador.

Separado de la cadena, LiteLLM le entrega a proxy_admin una ruta de ejecución de código intencional: su soporte MCP le permite a un administrador registrar servidores stdio MCP que el proxy inicia como subprocesos locales. Se trata de una compensación de diseño más que de un error, y los parches no lo cambian, por lo que llegar al administrador es efectivamente llegar a la ejecución del código.

Obsidian reprodujo un caparazón inverso de esta manera en v1.88.0. Un error genuino en la misma maquinaria stdio-MCP, CVE-2026-42271, permite a las personas que llaman generar subprocesos a través de los puntos finales de vista previa de MCP de LiteLLM; fue explotado en estado salvaje y agregado al catálogo KEV de CISA a principios de este mes.

Nada de esto es el primer momento difícil para LiteLLM este año. En marzo, un compromiso de la cadena de suministro bloqueó dos versiones de LiteLLM en PyPI y, en abril, se aprovechó una inyección SQL crítica dentro de las 36 horas posteriores a la divulgación.

Obsidian enmarca la cadena aquí como una falla revelada con una demostración funcional, no como una explotación vista en la naturaleza, pero la posición del proxy sigue convirtiéndola en un objetivo.

que hacer

Actualice a v1.83.14 estable o posterior, la primera versión con el conjunto completo de correcciones. Luego audite. Vuelva a verificar cada cuenta que tenga proxy_admin y trate esa función como acceso a nivel de host. Revise cada medida de seguridad de código personalizado en el proxy.

Verifique las devoluciones de llamada cargadas desde config.yaml en litellm_settings.callbacks, ya que nunca aparecen en la consola y son exactamente donde se escondería un atacante posterior a RCE. Verifique la integridad del código implementado, no solo la configuración. Si se sospecha una exposición, rote las claves del proveedor, las credenciales de la base de datos y los tokens MCP almacenados.

Un proxy comprometido no sólo filtra datos. Se sitúa entre el agente y el modelo y puede forjar las respuestas sobre las que actúa el agente. La cadena que lleva a un atacante allí tiene una confianza fuera de lugar en cada capa: la puerta de ruta confiaba en el campo proporcionado por la persona que llama, los controladores confiaban en la puerta de ruta y nadie realmente comprobó.

El viernes pasado, la administración Trump provocó una conmoción en el ecosistema tecnológico cuando el Departamento de Comercio impuso controles de exportación al nuevo modelo de inteligencia artificial de Anthropic, Fable 5.

Anthropic ha tomado medidas para limitar los riesgos relacionados con la venta comercial de su modelo Mythos, incluida la negativa a publicarlo públicamente, canalizándolo a organizaciones de ciberdefensa y desarrollando barreras de seguridad para Fable 5 que predeterminarían sus respuestas a modelos más antiguos y menos poderosos en torno a temas delicados como la ciberseguridad y la guerra biológica.

Pero, según se informa, la administración Trump se alarmó por informes recientes de Amazon y otro investigador de ciberseguridad que afirmaban haber liberado Fable 5 a los pocos días de su lanzamiento público, y determinó que si los investigadores en los EE. UU. podían liberar el modelo, también podrían hacerlo los adversarios extranjeros de Estados Unidos.

La decisión del Departamento de Comercio impulsó a Anthropic a cerrar los modelos para todos los usuarios mientras intentaban convencer a la Casa Blanca de cambiar de rumbo.

Pero algunos expertos en ciberseguridad e inteligencia artificial han estado en total desacuerdo con las acciones de la Casa Blanca, diciendo que la investigación no ha demostrado que alguien haya podido eludir las salvaguardas de Fable 5 y acceder al tipo de nuevas capacidades peligrosas que han preocupado a los funcionarios.

Katie Moussouris, una conocida experta en ciberseguridad, dijo el lunes que Anthropic le proporcionó una copia de una investigación de terceros sobre técnicas de derivación de barreras de seguridad para Fable 5.

Según Moussouris, los investigadores pidieron a tres modelos de Claude (Fable 5, Mythos y Claude Opus) que revisaran lotes de código fuente abierto conocido y vulnerable en busca de problemas de seguridad. Fable 5 inicialmente rechazó la solicitud, pero los investigadores pudieron utilizar «un proceso manual de varios pasos» para lograr que Fable 5 convirtiera la salida en scripts automatizados que pudieran probar parches para la vulnerabilidad.

La investigación de terceros desde el lanzamiento de Fable 5 no ha encontrado formas de eludir sus salvaguardas en materia de piratería. Las capacidades que los investigadores han demostrado son fundamentales para que Fable 5 y otros modelos de vanguardia sean valiosos para la defensa de la ciberseguridad.

«Los defensores deben poder pedirle a la IA que corrija los errores en un archivo, explicar por qué es importante la corrección y escribir pruebas que confirmen que el parche funciona», dijo. escribió. «Eso no es un paso por alto la barandilla. Es lo más valioso que un modelo de IA puede hacer para la seguridad defensiva: ejecutar el bucle de búsqueda, reparación y prueba que los defensores ejecutan todos los días».

Moussouris anteriormente brindó experiencia técnica al Acuerdo de Waasenaar, un acuerdo de seguridad multilateral voluntario sobre el control de las exportaciones tanto de municiones como de tecnología de doble uso que incluye a Estados Unidos y docenas de otros países. Con base en la investigación que ha visto, calificó la imposición de restricciones a la exportación de todas las ventas extranjeras de Fable 5 como una medida «dura» y «equivocada».

Anthropic también sometió el modelo a 1000 horas de pruebas por parte de miembros del equipo rojo interno y externo, informando que no se encontraron fugas universales que eliminaran esas barreras de seguridad o permitieran al modelo acceder a Mythos para trabajos cibernéticos y biológicos.

Moussouris no está ni mucho menos solo. Ella es una de las docenas de expertos en ciberseguridad que firmaron un carta abierta Lunes llamando a la administración Trump a “Free Fable”.

Los investigadores dicen que si bien los modelos de clase Mythos son «bastante buenos» para identificar y explotar vulnerabilidades en el código de software, «no son excepcionalmente buenos» en comparación con otros modelos de frontera que utilizan todos los días para la defensa de la ciberseguridad.

Por ejemplo, a pesar de que el modelo Daybreak de OpenAI ofrece capacidades similares de parcheo y descubrimiento de vulnerabilidades. No estaba incluido en las restricciones del Departamento de Comercio.

Los investigadores también señalan que las barreras de seguridad de Fable 5 han sido notoriamente hipersensibles en comparación con otros modelos fronterizos utilizados por los equipos rojos, convirtiéndose en «una fuente de humor en la comunidad cibernética el día del lanzamiento», cuando los trabajadores cibernéticos y de TI informaron en línea que no pudieron lograr que el modelo realizara tareas básicas de ciberseguridad defensiva.

La carta cuestiona si los problemas encontrados en los informes de jailbreak calificarían como capacidades ofensivas, y señala que pueden reproducirse en otros modelos comerciales y de código abierto, incluidos GPT 5.5, Claude Opus, Claude Sonnet y modelos chinos como Kimi 2.7.

«La justificación para esta acción sin precedentes fue que Fable proporciona una 'mejora' única de capacidades más allá de otros modelos de IA, pero la IA ha estado encontrando errores y generando exploits funcionales a niveles sobrehumanos desde el año pasado», escribieron.

La decisión de la Casa Blanca se produce en un momento en que las empresas de IA se enfrentan a una reacción cada vez mayor por parte de un público que ahora pide de manera abrumadora una intervención gubernamental más sólida.

Una Universidad Johns Hopkins encuesta en mayo encontró un amplio apoyo bipartidista para las regulaciones de IA, con un 73% pidiendo prohibiciones de imágenes y videos generados por IA, un 68% pidiendo etiquetas en el contenido de IA, un 75% queriendo leyes de divulgación cuando interactúan con chatbots de IA y un 70% pidiendo «el derecho a interactuar con un ser humano en lugar de una IA en entornos médicos, legales, educativos y gubernamentales».

Otro encuesta global Un estudio de 18.000 personas publicado esta semana descubrió que las cuatro principales preocupaciones que la mayoría de la gente tiene en torno a la IA giran en torno a la capacidad de la herramienta para difundir información errónea, crear deepfakes para avergonzar o herir a otros, facilitar que los delincuentes pirateen las redes de las víctimas y ayudar a los terroristas a crear nuevas armas.

Un solo clic en un enlace confiable de Microsoft podría haber permitido a un atacante extraer correos electrónicos, detalles del calendario y archivos indexados de Microsoft 365 Copilot Enterprise Search.

Los investigadores de Varonis Threat Labs encadenaron tres errores en una ruta de exfiltración con un solo clic que llaman Buscarfuga. Debido a que el enlace apuntaba a un dominio microsoft.com real, era poco probable que las herramientas tradicionales de filtrado de URL y antiphishing lo marcaran.

Sin mensaje, sin contraseña, sin segundo clic. Microsoft asignado CVE-2026-42824 y lo marcó crítico; las puntuaciones CVSS fueron más bajas y en desacuerdo, 6,5 de Microsoft y 7,5 de Base de datos nacional de vulnerabilidad. La empresa mitigó la falla en su backend, por lo que los clientes no tienen nada de qué preocuparse, y Varonis presentó una prueba de concepto, una explotación no observada.

Tres errores, un clic

El aviso de Microsoft describe la falla como una inyección de comando que puede exponer información a través de una red. En la práctica, SearchLeak acumula una debilidad específica de la IA en dos errores web antiguos, y cada enlace es necesario para el siguiente.

El punto de entrada es el q parámetro en la URL de búsqueda de Copilot Enterprise. Está destinado a una consulta en lenguaje natural, pero Copilot lee todo lo que contiene como instrucciones, no solo una cadena de búsqueda.

varonis llama a esto Inyección de parámetro a mensaje. Un atacante escribe una URL que le indica a Copilot que busque en el buzón, tome un título de correo electrónico y lo coloque dentro de una URL de imagen. La víctima no escribe nada. Hacen clic y Copilot hace el trabajo.

Lo siguiente es una condición de carrera en cómo se representa la respuesta. La barrera de seguridad de Microsoft envuelve la producción de Copilot bloquea para que el navegador trate el marcado como texto. El problema es el tiempo: el ajuste ocurre después de que Copilot termina de generar, pero el navegador procesa la transmisión a medida que llega. el inyectado La etiqueta se dibuja y activa su solicitud antes de que se ejecute el desinfectante. Cuando se neutraliza la salida, la solicitud ya se ha ido.

El último enlace pasa los datos más allá de la Política de seguridad de contenido de la página. El CSP en m365.cloud.microsoft bloquea imágenes de dominios arbitrarios, pero incluye en la lista blanca *.bing.com. El punto final «Buscar por imagen» de Bing acepta la URL de una imagen y la recupera del lado del servidor para analizarla. Apunte esa recuperación al servidor de un atacante con el texto robado codificado en la ruta y Bing lo recupera. El CSP del navegador nunca se aplica porque la solicitud proviene de la infraestructura de Bing. Bing se convierte en el proxy de exfiltración. La lista de permitidos de CSP se esconde.

En conjunto: la víctima hace clic, Copilot busca sus datos, la respuesta incorpora un valor como un asunto de correo electrónico en una URL de imagen de Bing, el navegador llama a Bing durante la transmisión y Bing extrae la URL del atacante. El atacante lo lee de sus propios registros, por ejemplo, una solicitud de /Your_Security_Code_847291/img.png.

Lo que obtiene un atacante

Copilot Enterprise puede alcanzar todo lo que el usuario que haya iniciado sesión pueda alcanzar, a través de su acceso a Microsoft Graph, y el atacante hereda ese alcance sin siquiera iniciar sesión.

El premio más urgente se encuentra en la bandeja de entrada: códigos de un solo uso, códigos MFA y enlaces para restablecer contraseñas, que a menudo siguen siendo válidos durante unos minutos. Un script que los saca de un registro mientras la ventana está abierta puede hacerse cargo de una cuenta antes de que alguien se dé cuenta.

El mismo acceso también llega a las invitaciones del calendario, notas de reuniones y cualquier archivo de SharePoint o OneDrive que Copilot haya indexado, donde se encuentran los datos salariales, las cifras de ganancias y los planes de adquisición.

SearchLeak es la segunda vez que Varonis muestra este patrón. El investigador de Varonis, Dolev Taler, demostró la misma técnica de un clic en un ataque Reprompt anterior contra Copilot Personal, y resistió contra Enterprise Search a pesar de las barreras de seguridad adicionales que se supone que debe imponer ese nivel.

El mismo patrón apareció en EchoLeak (CVE-2025-32711), el error de fuga de datos de Copilot sin clic que Aim Security reveló en 2025. SSRF y carreras de desinfectantes son clases de errores antiguos; la inyección rápida es la pieza nueva y hace que estén accesibles nuevamente.

Microsoft mitigó la falla en su backend y, debido a que Copilot Enterprise es un servicio administrado, los administradores de inquilinos no pueden parchear ni reconfigurar las partes que fallaron. Lo que pueden hacer es observar y contener.

Busque URL de Copilot Search que contengan cargas útiles codificadas o HTML en el parámetro q, y solicitudes salientes inusuales a los puntos finales de imágenes de Bing. Reforzar la gobernanza del acceso a los datos para que Copilot indexe menos, lo que reduce lo que puede alcanzar cualquier filtración futura.