Microsoft confirmó el lunes que eliminó temporalmente algunos repositorios de GitHub en respuesta a un reciente incidente de seguridad que llevó a que 73 de sus proyectos de código abierto se vieran comprometidos para inyectar un ladrón de información en el código.

«Nuestra prioridad es proteger a los clientes y al ecosistema en general», dijo un portavoz de Microsoft a The Hacker News por correo electrónico. «Eliminamos temporalmente algunos repositorios mientras investigamos contenido potencialmente malicioso. Algunos de estos repositorios se restauraron después de la revisión, mientras que otros pueden permanecer fuera de línea mientras continúa el trabajo».

«Como parte de nuestra investigación, notificamos a un pequeño número de clientes que pueden haber eliminado contenido de los repositorios afectados. Continuaremos investigando y, si se identifica algo más que requiera la acción del cliente, nos comunicaremos directamente a través de nuestros canales de soporte establecidos».

El desarrollo se produce días después de que el fabricante de Windows cortara el acceso a docenas de sus proyectos de código abierto alojados en GitHub luego de informes de que fueron comprometidos como parte de una campaña en curso de la cadena de suministro de software con el nombre en código Miasma.

Entre los proyectos infectados se encuentra «durabletask», un paquete de Python que fue comprometido por primera vez el mes pasado por un grupo de cibercrimen conocido como TeamPCP para ofrecer un ladrón de información diseñado para sistemas Linux.

Un análisis más detallado de la carga útil de Miasma integrada en los proyectos ha descubierto capacidades para activar la ejecución automática de código cuando un desarrollador desprevenido abre el repositorio en una herramienta de codificación impulsada por inteligencia artificial (IA) o en un entorno de desarrollo integrado (IDE).

Los hallazgos son los últimos de una campaña sostenida en la cadena de suministro de software que ha violado paquetes de código abierto ampliamente utilizados para plantar malware capaz de propagarse a usuarios posteriores y más allá.

Esto incluye una ola PyPI más nueva vinculada a las ondas más amplias Mini Shai-Hulud, Miasma y Hades, que infecta un conjunto adicional de 23 paquetes, incluidos algunos Bibliotecas relacionadas con la bioinformática utilizadas en el aprendizaje de gráficos, fenotipado de pacientes, herramientas de fenopaquetes y flujos de trabajo científicos.

Algunos de los otros paquetes incluyen un conjunto de paquetes temáticos de AI y Model Context Protocol (MCP) y paquetes de estilo typosquat como rsquests, tlask y rlask que se hacen pasar por solicitudes y flask, y un langchain-core-mcp. La lista completa de paquetes legítimos y de cebo se encuentra a continuación:

• sueñogen 1.8.1
• aumentar 0.11.97
• achicar 0.8.101
• gpsea 0.9.14
• instructor-mcp 1.15.2, 1.15.3
• langchain-core-mcp 1.4.2, 1.4.3
• mem8 6.0.1
• mflux-streamlit 0.0.3, 0.0.4
• openai-mcp 2.41.1, 2.41.2
• plataforma orquesta8 3.3.2
• kit de herramientas de tienda de fenopacket 0.1.7
• ppkt2synergy 0.1.1
• herramientas pyphetools 0.9.120
• servidor-ray-mcp 0.2.1
• rlask 3.1.7
• rsquests 2.34.3
• tiktoken-mcp 0.13.1, 0.13.2
• tarea 3.1.4

El nuevo clúster emplea un nuevo mecanismo de entrega de carga útil, según Enchufelo que indica que los actores de la amenaza se están adaptando y experimentando activamente con diferentes métodos como parte de lo que se ha descrito como una «campaña de cadena de suministro en rápido movimiento».

Mientras que los paquetes anteriores utilizaban ganchos de inicio ejecutables .pth para iniciar Bun y ejecutar un ladrón de JavaScript ofuscado, el último conjunto incorpora diferentes enfoques:

• Extensiones .abi3.so nativas troyanizadas que ejecutan el ladrón cuando se importa el paquete
• Una variante del cargador de gancho de inicio .pth que busca en sys.path la carga útil «_index.js» en lugar de agrupar la carga útil en la misma rueda

«Esa última variante separa el cargador de la carga útil de JavaScript, lo que podría hacer que el paquete parezca menos malicioso durante el análisis estático», dijo Socket a The Hacker News.

Independientemente del método utilizado, el resultado final es el mismo. Una vez ejecutado, el malware se dirige a las estaciones de trabajo de los desarrolladores y a los entornos de CI/CD, recopilando secretos de alto valor y exfiltrándolos a un repositorio público de GitHub.

Una capacidad clave del paquete de bioinformática es su capacidad para descarrilar y eludir escáneres y copilotos de analistas impulsados ​​por IA mediante una inyección rápida adversaria integrada dentro de un comentario de bloque de JavaScript, una característica detallada previamente por StepSecurity.

«La rama Hades de la actividad Shai-Hulud y Miasma se entiende mejor como una campaña de rápida cadena de suministro, no como un solo incidente de paquete», dijo el investigador de Socket Kirill Boychenko. «La variante langchain-core-mcp va más allá al instalar un cargador .pth que busca _index.js en sys.path, lo que significa que el cargador y la carga útil no necesitan vivir en la misma rueda».

La Agencia de Infraestructura y Ciberseguridad quiere reevaluar fundamentalmente cómo prioriza los riesgos y vulnerabilidades, tanto para la infraestructura crítica de propiedad privada como dentro del gobierno federal, dijo el martes el director interino Nick Andersen.

Los planes incluyen una directiva operativa vinculante para las agencias federales que se publicará el miércoles y serán más específicas con los propietarios y operadores de infraestructura crítica sobre qué activos necesitan proteger más y cómo, dijo Andersen mientras hablaba en un evento organizado por Axonius en Washington, DC y luego hablaba con periodistas.

La directiva operativa vinculante busca revisar cómo las agencias federales manejan la vulnerabilidad, dijo. «En general, nuestro enfoque hasta la fecha ha sido 'Se lanza un parche, aplíquelo lo más rápido que pueda'», dijo.

«Realmente estamos pidiendo a la gente que se centre más en el riesgo asociado con cada vulnerabilidad. ¿Se trata de un activo que está expuesto a Internet? ¿Se alinea con una entrada KEV?» dijo, refiriéndose a la lista de vulnerabilidades explotadas conocidas de CISA. «¿Es automatizable su explotación? Realmente, necesitamos ser capaces de resaltar que algunos parches simplemente no son tan importantes como otros, y tapar los agujeros para algunas vulnerabilidades simplemente no es tan importante como otros».

Andersen dijo que el foco de su mandato ha sido establecer las prioridades correctas.

«Tenemos que aceptar decir que hay algunos sistemas que son menos importantes que otros, que hay algunos elementos de infraestructura crítica que son menos importantes que otros», dijo. “Para nosotros es muy fácil racionalizar esas cosas. [for] «Las crisis físicas, pero tenemos que empezar a pensar en cómo vamos a hacerlo durante las crisis cibernéticas».

Andersen dijo que las amenazas mejoradas por la inteligencia artificial han impulsado la directiva en parte, basándose en «el reconocimiento de que somos un entorno dinámico diferente con un cronograma más corto para la utilización de armas y la explotación», pero las discusiones sobre la directiva se han prolongado durante meses, antes de los llamativos anuncios sobre los modelos fronterizos de inteligencia artificial y los riesgos que podrían profundizarse. La directiva del miércoles no tiene relación con la orden ejecutiva centrada en la IA publicada por la administración Trump la semana pasada.

La idea de priorizar ciertos objetivos potenciales de piratería sobre otros no es nueva en la infraestructura crítica, con conceptos como designaciones de “Sección 9” bajo una orden ejecutiva de 2013 para entidades sobre las cuales un ataque podría tener efectos catastróficos; designaciones de “infraestructura crítica de importancia sistémica”, según lo recomendado por la Comisión del Solarium del Ciberespacio; o la creación del Centro Nacional de Gestión de Riesgos establecido durante el primer mandato del presidente Donald Trump pero ahora objeto de recortes presupuestarios propuestos.

Andersen dijo que los conceptos anteriores no han funcionado bien y citó como ejemplo las designaciones de la Sección 9.

“Nos sentábamos aquí y decíamos: 'Felicitaciones, usted está en esta empresa y es una entidad de la Sección 9, ¿no es fantástico?'”, dijo. «Ese no es realmente el nivel de fidelidad al que debemos poder llegar para tener una conversación real y mensurable sobre el riesgo. Necesito poder ir a una empresa y decir: 'Aquí está la función específica que estás apoyando y que te hace más crítico. Tengamos una conversación sobre los activos específicos que respaldan esa función, y ¿cómo llegamos a un nivel mensurable de resiliencia para esos activos?'»

Esas discusiones deben llegar a un “grano fino”, dijo Andersen.

«Si tengo un banco importante con el que estoy hablando, ¿es tan importante para mí que el proceso del banco que respalda el sistema de pagos masivos sea resistente, o es igualmente importante para mí que la sucursal a dos cuadras de distancia siga funcionando?» dijo. «Esas cosas son simplemente manzanas y naranjas, aunque es la misma entidad la que podría verse afectada».

Las capacidades de CISA bajo la administración Trump han sido objeto de un escrutinio considerable, dados los profundos recortes presupuestarios en la agencia, y se planean más. La administración ahora está tomando medidas para contratar personal nuevamente.

Andersen dijo que la agencia está trabajando para contratar a 329 personas y que tendrá ofertas de trabajo para 182 de ellas a finales de junio. Dijo que el énfasis del primer tramo de contrataciones bajo el sprint de contratación son las capacidades operativas, es decir, áreas como comunicaciones de emergencia, seguridad de infraestructura y personal regional.

La agencia también ha visto parte de su trabajo obstaculizado por los cierres gubernamentales, como el retraso en los planes para reuniones públicas sobre la implementación de la Ley de Informe de Incidentes Cibernéticos para Infraestructuras Críticas de 2022, que requerirá que los propietarios y operadores clave informen incidentes importantes dentro de las 72 horas.

Andersen dijo que no podía fijar una fecha para la finalización de las regulaciones relacionadas con la ley, que ya se habían retrasado antes de que se agotara el financiamiento, ya que esas asambleas públicas ahora están programadas para comenzar. la próxima semana.

“Podríamos recibir muchos comentarios y realmente cambiar radicalmente nuestra forma de pensar sobre cuál es la necesidad aquí”, dijo. «Pero nuestro enfoque se centra simplemente en cuál es la intención original del Congreso detrás de CIRCIA. cuál es la mayor necesidad que podremos satisfacer y cómo podremos promover la misión que tenemos para la nación».

La campaña de la cadena de suministro de Miasma ha provocado una nueva ola de ataques llamada infiernoesta vez involucrando 37 artefactos de rueda maliciosos en 19 paquetes en el registro Python Package Index (PyPI), mientras los ataques estilo Mini Shai-Hulud continúan refinándose y dividiéndose para apuntar a ecosistemas específicos.

«Las versiones comprometidas enviaron un archivo *-setup.pth que intenta ejecutarse automáticamente durante el inicio de Python, descargar el tiempo de ejecución de Bun JavaScript y ejecutar una carga útil de JavaScript ofuscada llamada _index.js», Socket dicho en un nuevo análisis.

La lista de paquetes identificados se encuentra a continuación:

• bramina 0.0.2, 0.0.3, 0.0.4
• cmd2func 0.2.2, 0.2.3
• nevera portátil 0.4.1, 0.4.2
• lanzamiento dinamo 1.5.4
• motor-ejecutor 0.3.4, 0.3.5
• ejecutor-http 0.1.3, 0.1.4
• funcióndesc 0.2.2, 0.2.3
• mágico 0.6.8, 0.6.9
• magia-ai 0.4.4, 0.4.5
• mrbios 0.1.1, 0.1.2
• napari-ufish 0.0.2, 0.0.3
• caja nuc 0.1.2, 0.1.3
• okita 0.0.7, 0.0.8
• agentes-panteón 0.6.1, 0.6.2
• conjuntos de herramientas pantheon 0.5.5, 0.5.6
• spateo-liberación 1.1.2
• sinago 0.1.1, 0.1.2
• ufish 0.1.2, 0.1.3
• uprobe 0.1.3, 0.1.4

Al igual que en las campañas anteriores de Shai-Hulud y Miasma, la carga maliciosa descarga e instala el tiempo de ejecución Bun JavaScript, que luego se utiliza para lanzar un ladrón de JavaScript muy ofuscado que puede recopilar una amplia gama de datos de los sistemas de los desarrolladores.

Esto incluye secretos asociados con GitHub, npm, PyPI, RubyGems, JFrog, CircleCI, Anthropic, AWS, GCP, Azure y Kubernetes, junto con configuraciones de Docker, tokens de Vault, claves SSH, historiales de shell, archivos .env, archivos .npmrc, archivos .pypirc, configuraciones de Claude/MCP y otras credenciales locales o accesibles para corredores.

Lo que ha cambiado esta vez es el marcador de campaña. Mientras que las iteraciones anteriores exportaban los datos recopilados a un repositorio público de GitHub con la descripción «Miasma: The Spreading Blight», «Miasma: The Spreading Blight» y «Miasma – The Spreading Blight», la última ola incluye las descripciones del repositorio –

• Hades – El fin de los condenados
• Hades * El fin de los condenados

«Eso hace que Hades se entienda mejor como una rama PyPI del mismo linaje Mini Shai-Hulud/Miasma, no como un incidente de malware Python independiente», dijo la compañía de seguridad de aplicaciones. «El manual principal sigue siendo el mismo: abusar de los canales de paquetes confiables, ejecutar antes del uso normal del paquete, preparar una carga útil de JavaScript impulsada por Bun, robar credenciales de desarrollador y CI/CD, y usar lógica de exfiltración y propagación centrada en GitHub».

Lo que ha cambiado esta vez es el uso de un archivo *-setup.pth que es procesado por el módulo «site» de Python durante el inicio del intérprete, lo que resulta en la ejecución de la carga útil maliciosa después de la instalación sin necesidad de que la víctima importe el paquete envenenado. La carga útil, a su vez, descarga y ejecuta Bun desde GitHub y ejecuta el ladrón, no sin antes comprobar si el sistema corresponde a la configuración regional rusa.

«Este es el equivalente en Python del problema del gancho de instalación de npm que Shai-Hulud y Miasma explotan repetidamente», explicó Socket. «La sintaxis es diferente, pero la consecuencia de seguridad es la misma: la instalación de dependencias crea una ventaja de ejecución antes de que se revise o invoque el código de la aplicación».

Hades Cluster intenta engañar a los escáneres de seguridad de IA

También están comprometidos, como parte de la campaña Hades, una serie de paquetes relacionados con la biología computacional, la bioinformática y el ecosistema de análisis genotipo-fenotipo.

• aumentar 0.11.97
• achicar 0.8.101
• gpsea 0.9.14
• mflux-streamlit 0.0.3, 0.0.4
• nhmpy 2.4.7
• ppkt2synergy 0.1.1
• herramientas pyphetools 0.9.120

Curiosamente, este clúster emplea un enfoque diferente en el que el punto de entrada está incrustado dentro del archivo «__init__.py» del paquete como un gancho de importación de una sola línea ofuscado. Sin embargo, el resultado es el mismo: descargar y ejecutar el tiempo de ejecución de Bun, seguido de la ejecución de la carga útil de JavaScript.

«El uso del tiempo de ejecución Bun sigue siendo un tema constante», StepSecurity dicho. «La descarga de Bun como un archivo ZIP independiente permite que el malware ejecute tareas complejas de JavaScript en entornos que carecen de una instalación de Node.js, evitando los controles tradicionales del administrador de paquetes y los registros de proxy de red».

En lo que se ha caracterizado como una novedosa técnica de evasión de defensa de inteligencia artificial (IA), el malware también incorpora una inyección de texto sin formato que intenta engañar a las herramientas de análisis de paquetes basadas en Large Language Model (LLM) para indicar al modelo que clasifique el paquete como seguro.

Además de eso, el malware consulta las confirmaciones de GitHub para la palabra clave «TheBeautifulSnadsOfTime» para extraer una cadena codificada en Base64 que contiene una carga útil de JavaScript. También sondea GitHub en busca de confirmaciones que coincidan con la palabra clave «firedalazer» para buscar un cuentagotas basado en Python y ejecutarlo.

Algunas de las características importantes integradas en el malware Hades se enumeran a continuación:

• Replica y distribuye lateralmente a través de redes de desarrolladores a través de SSH o SCP, envía versiones troyanizadas de paquetes PyPI desde sistemas comprometidos explotando las configuraciones de confianza OpenID Connect (OIDC) de los desarrolladores.
• Apunte a los repositorios de GitHub para extraer secretos de la organización utilizando los ejecutores de GitHub Actions si el token de GitHub recolectado tiene los permisos de escritura adecuados.
• Carpetas del espacio de trabajo local de puerta trasera para activar la ejecución de código cuando los asistentes de IA lo analizan o lo abren en IDE. Los objetivos incluyen Anthropic Claude, OpenAI Codex, Google Gemini, Microsoft Copilot, Cline, Aider, Tabby, Amazon Q, Cody, Bolt y Continuar.
• Instale un servicio en segundo plano llamado «gh-token-monitor» que actúa como un limpiador eliminando todos los datos («rm -rf ~/; rm -rf ~/Documents») si el desarrollador revoca el token de GitHub robado.

«Una capacidad clave del actor Miasma es leer la memoria del proceso del ejecutor de GitHub Actions (el proceso Runner.Worker) para extraer secretos», dijo el investigador de seguridad Rohan Prabhu. «En campañas anteriores, esto se limitaba a los sistemas Linux que usaban /proc/{pid}/mem. La campaña Hades presenta raspadores de memoria personalizados para macOS y Windows».

El desarrollo se produce cuando StepSecurity reveló que un atacante desconocido comprometió la cuenta de GitHub («LeonOstrez») vinculada a «Pythagora-io/gpt-pilot», una popular herramienta de desarrollo de inteligencia artificial de código abierto, y forzó una variante del gusano de robo de credenciales Shai-Hulud a la rama principal. El malware está diseñado para activarse silenciosamente cuando un desarrollador desprevenido ejecuta el proyecto, evitando al mismo tiempo los sistemas con una configuración regional rusa.

«El malware, una variante del gusano Shai-Hulud, fue detenido por un defensor improbable: ruff, un formateador de código Python», dijo Ashish Kurmi, cofundador y director de tecnología de StepSecurity. dicho. «El atacante intentó dos veces pasar el código malicioso a través de CI y falló en ambas ocasiones porque su archivo Python inyectado no coincidía con las reglas de formato y linting del proyecto».

La empresa de seguridad de la cadena de suministro de software Snyk tiene descrito estos ataques como parte del linaje Shai-Hulud/Miasma, con cada ola aprovechando un ladrón ofuscado en tiempo de ejecución de Bun y combinándolo con «nueva persistencia, nuevas rutas de exfiltración y nuevas formas de activar código automáticamente en el momento de la instalación o compilación».

«La campaña Miasma demuestra que tener claves firmadas y cuentas de mantenedor autenticadas ya no es una garantía absoluta de seguridad», Cloudsmith dicho. «Cuando los registros y repositorios ascendentes se ven comprometidos, el código público se convierte en una de las formas más fáciles y directas de ser pirateado».

Google ha publicado actualizaciones de seguridad para abordar 74 vulnerabilidades, incluida una que ha sido objeto de explotación activa en la naturaleza.

La vulnerabilidad de alta gravedad, rastreada como CVE-2026-11645 (Puntuación CVSS: 8,8), se ha descrito como un acceso a memoria fuera de los límites en V8, el motor JavaScript y WebAssembly de Chrome.

«La lectura y escritura fuera de límites en V8 en Google Chrome anterior a 149.0.7827.103 permitía a un atacante remoto ejecutar código arbitrario dentro de una zona de pruebas a través de una página HTML diseñada», se lee en un descripción de la falla en la Base de Datos Nacional de Vulnerabilidad (NVD) del NIST.

A un investigador de seguridad llamado «303f06e3» se le atribuye el descubrimiento y el informe de la falla el 27 de abril de 2026. El investigador recibió una recompensa de 55.000 dólares por la divulgación responsable.

Como es habitual en estos casos, Google reconoció que «existe un exploit para CVE-2026-11645», pero no compartió detalles adicionales para garantizar que la mayoría de los usuarios estén actualizados con una solución y evitar una mayor explotación.

Con el último desarrollo, Google ha abordado un total de cinco días cero de Chrome explotados activamente desde principios de año. Esto incluye CVE-2026-2441, CVE-2026-3909, CVE-2026-3910 y CVE-2026-5281.

Para una protección óptima, se recomienda a los usuarios actualizar su navegador Chrome a las versiones 149.0.7827.102/.103 para Windows y Apple macOS, y 149.0.7827.102 para Linux. Para asegurarse de que estén instaladas las últimas actualizaciones, los usuarios pueden navegar a Más > Ayuda > Acerca de Google Chrome y seleccionar Reiniciar.

También se recomienda a los usuarios de otros navegadores basados ​​en Chromium, como Microsoft Edge, Brave, Opera y Vivaldi, que apliquen las correcciones cuando estén disponibles.

Los clientes de Cisco se enfrentan a otra vulnerabilidad de día cero explotada activamente que afecta al software de gestión SD-WAN del proveedor, lo que refuerza la presión sobre las organizaciones que han experimentado raras interrupciones de amenazas activas este año.

La vulnerabilidad CVE-2026-20245 – marca el séptimo día cero explotado activamente en Cisco SD-WAN este año.

Cisco dijo que se enteró por primera vez de la explotación activa del último defecto en el software de gestión de red a principios de este mes. La compañía reveló la vulnerabilidad, que fue detectada por primera vez por Mandiant, el jueves y advirtió que aún no hay un parche de seguridad disponible y que, mientras tanto, no hay soluciones para mitigar el defecto.

«En el futuro se proporcionará un parche para esta vulnerabilidad», dijo un portavoz de la compañía en un comunicado.

Cisco no atribuyó los ataques a ningún grupo específico, no describió los objetivos de esos ataques ni compartió cuántas organizaciones ya se han visto afectadas.

El defecto de error de validación que afecta a Cisco Catalyst SD-WAN Manager permite a atacantes autenticados o locales ejecutar comandos como root, lo que resulta en ataques de inyección de comandos en un sistema afectado, dijo la compañía.

Sin embargo, el alcance del impacto potencial puede ser limitado porque la explotación requiere credenciales válidas o acceso privilegiado a través de otros medios. Cisco dijo que la explotación de un par de días cero que reveló a principios de este año: CVE-2026-20182 o CVE-2026-20127 – podría permitir a los atacantes el acceso necesario para explotar la nueva vulnerabilidad.

La compañía dijo que «no tiene conocimiento de una explotación exitosa por otros medios», y agregó que «observó casos limitados en los que la explotación de este error resultó en un cambio de configuración llevado a los dispositivos de borde».

Landon Rice, desarrollador senior de exploits en VulnCheck, dijo que la necesidad de privilegios existentes «hace que un atacante dependa en gran medida de vulnerabilidades anteriores, o de un vector de acceso inicial nuevo, para poder alcanzar el camino de escalada de privilegios».

Cisco recomendó a los clientes que actualizaran al software fijo lanzado en mayo como parte de su respuesta a CVE-2026-20182 como medida de protección.

A falta de un parche que brinde a las organizaciones más protección contra la nueva vulnerabilidad, Cisco proporcionó algunos indicadores de compromiso, pero señaló que esas mismas entradas de registro pueden ocurrir durante las operaciones estándar. La compañía alentó a los clientes que necesitan ayuda para distinguir entre actividades legítimas y maliciosas a comunicarse con los Centros de asistencia técnica de Cisco.

Cisco no es el único proveedor de seguridad que enfrenta una avalancha de ataques contra sus clientes, pero se encuentra entre los más atacados. La Agencia de Seguridad de Infraestructura y Ciberseguridad ha agregado siete vulnerabilidades que afectan Cisco SD-WAN y firewalls a su catálogo de vulnerabilidades explotadas conocidas de este año, sin incluir CVE-2026-20245, que aún no se ha agregado al catálogo.

Investigadores de la Universidad de Toronto han construido y probado una prueba de concepto de gusano informático impulsado por IA que utiliza un modelo de lenguaje grande y abierto alojado localmente para razonar su camino a través de una red, generar estrategias de ataque personalizadas para cada objetivo que encuentre y replicarse, todo sin intervención humana y sin tocar un servicio comercial de IA.

La preimpresión, publicado en arXiv el 2 de junio y actualmente bajo revisión por pares, muestra por qué el parche CVE único falla cuando el malware puede inspeccionar servicios expuestos, leer nuevos avisos y generar una nueva ruta de ataque en tiempo de ejecución.

En 15 ejecuciones aisladas en una red de 33 hosts deliberadamente vulnerable, el gusano identificó un promedio de 31,3 vulnerabilidades y obtuvo acceso elevado en 23,1 hosts, aproximadamente tres cuartas partes de los hosts a los que atacaba activamente. Luego se replicó de forma autónoma en 20,4 de esos hosts, o el 62% de la red completa, durante siete días, sin conocimiento previo de la topología de la red ni intervención humana.

Los gusanos tradicionales se envían con una carga útil de exploit fija elegida en el momento de su creación. Parche esos errores específicos y el gusano dejará de propagarse.

Este gusano hace algo diferente: utiliza un LLM de peso abierto que se ejecuta en una sola GPU para generar una lógica de ataque en tiempo de ejecución, adaptada a lo que encuentre en el siguiente objetivo. Sin cadena de exploits precodificada. No hay dependencia de OpenAI, Anthropic o cualquier otra API que una plataforma pueda revocar o limitar.

Lo que realmente hizo el gusano

Dirigido por el profesor asociado Nicolas Papernot, el Laboratorio CleverHans El equipo abarca la Universidad de Toronto, el Vector Institute, la Universidad de Cambridge y ServiceNow. Realizaron 15 experimentos independientes en una red aislada de 33 hosts («FakeCorp») que abarca Ubuntu, Debian, Rocky Linux, Alpine, Windows Server 2008 R2, 2019 y 2022, y dispositivos IoT.

Cada host tenía al menos una vulnerabilidad del mundo real. Cinco de las 33 máquinas tenían GPU. En los principales experimentos de propagación, el gusano utilizó un grupo de inferencia de GPU compartido para simular la computación adquirida de las máquinas víctimas. El equipo probó por separado la replicación completa de nivel de GPU, en la que el gusano coloca una instancia LLM local en un host de GPU comprometido; que tuvo éxito en el 68,8% de los intentos.

En el diseño por niveles, los hosts infectados con capacidad de GPU sirven como nodos de razonamiento distribuidos que proporcionan inferencias para dispositivos de computación inferior en la red que no pueden ejecutar el modelo por sí mismos.

En las 15 ejecuciones, el gusano obtuvo acceso elevado en 23,1 hosts y lanzó con éxito una réplica en el 88% de ellos. Alcanzó hasta siete generaciones de autorreplicación, con una media de 5,1. La configuración era intencionalmente vulnerable: el documento dice que la prueba mide el razonamiento autónomo a través de fallas individuales realistas, no propagadas a través de una red de producción mayoritariamente reforzada bajo defensa activa de endpoint.

Los exploits en una sola ejecución incluyeron un SambaCry encadenado y una escalada de privilegios cron de root grabables, Dirty Pipe, PrintNightmare, Drupalgeddon 2, Exim RCE, inyección ciega de SQL, derivación de JWT, escape de Redis y más, no porque estuvieran preprogramados, sino porque el agente razonó hasta llegar a ellos a partir de lo que encontró en cada host.

La Figura 2 del artículo mapea el árbol de propagación radial completo en una ejecución, mostrando de seis a siete generaciones de distribución en hosts Linux, Windows e IoT. Los intentos de explotación individuales tuvieron éxito aproximadamente el 44% de las veces. La mayoría de las fallas se debieron a una sintaxis de carga útil mal formada, no a una lógica defectuosa. Los exploits de aplicaciones web y la escalada de privilegios de Windows fueron más difíciles que los exploits locales y de servicios de Linux, un límite de capacidad que el documento trata como una limitación del modelo actual, no como una defensa estructural.

El problema de la ventana de parcheo

El gusano superó su propio límite de entrenamiento al ingerir texto de aviso público en tiempo de ejecución, explotando con éxito hosts de prueba configurados con tres vulnerabilidades reveladas después de que se entrenó el modelo:

Contra esos tres huéspedes, el gusano logró arraigarse en 41 de 67 intentos.

CVE-2026-39987 se reveló el 8 de abril de 2026. Sysdig observó explotación en honeypots 9 horas y 41 minutos después de eso, y documentó por separado una intrusión en el mundo real en la que un atacante utilizó un agente LLM para actividad posterior a la explotación después de comprometer una instancia pública de Marimo. La misma brecha de parche de siempre, ahora con un agente leyendo el aviso y probándolo a escala.

El paralelo relevante con WannaCry es la brecha del parche, no el radio de explosión. EternalBlue había sido parcheado durante meses antes de que apareciera WannaCry. El documento plantea el mismo punto bajo una restricción diferente: un gusano adaptativo puede seguir probando nuevas rutas mientras los defensores todavía están validando las soluciones.

Coste marginal cero, sin interruptor de apagado central

Hay dos cosas que hacen que sea más difícil de contener que un gusano tradicional.

• En primer lugar, el costo pasa del acceso alquilado a la API a cualquier cálculo que el gusano pueda capturar. Una vez que existe una infraestructura de víctima con capacidad de GPU, el atacante ya no paga por intento.
• En segundo lugar, debido a que todo se ejecuta en modelos abiertos sin dependencia del proveedor, los controles del lado del proveedor pasan por alto el problema central. Rechazos de servicio, limitación de tarifas, suspensión de cuenta: nada de esto aplica. No hay ninguna clave API para revocar. La contención tiene que ocurrir en la capa de red y de host.

Los investigadores también observaron que el gusano reescribía su propio código en varias ocasiones para eludir los controles de seguridad locales en el entorno de prueba, comportamiento que nunca codificaron.

La versión actual se construyó deliberadamente sin características sigilosas: sin cifrado, sin código polimórfico, sin mecanismos de persistencia, sin cobertura de pistas. Una variante maliciosa con persistencia, cargas útiles cifradas, enmascaramiento de procesos y limpieza de registros les daría a los defensores menos señales fáciles que deja este prototipo.

donde encaja esto

Esta no es la primera investigación sobre gusanos impulsada por IA. Morris II (Cohen et al., 2025) mostró un aviso adversario autorreplicante que se propagaba entre los asistentes de correo electrónico de IA a través de generación con recuperación aumentada y propagación dentro de la capa de aplicación de IA, no a través de la infraestructura del host.

En marzo de 2026, gusano garra demostró ataques autorreplicantes en ecosistemas de agentes LLM, secuestrando configuraciones persistentes y propagándose a agentes pares. El gusano de Toronto es diferente: el LLM no es el objeto atacado. Es el motor de ataque que se utiliza para comprometer la infraestructura de red ordinaria.

Las operaciones en el mundo real ya están poniendo a prueba los mismos límites. Anthropic dijo en noviembre de 2025 que interrumpió una gran campaña de espionaje orquestada por IA atribuida con gran confianza a GTG-1002, un grupo patrocinado por el estado chino. Claude Code manejó entre el 80 y el 90 % de la operación, incluido el reconocimiento, el desarrollo de exploits, la recolección de credenciales, el movimiento lateral y la exfiltración, y los humanos intervinieron en algunos puntos de decisión.

Threat Intelligence Group de Google informó de un cambio relacionado en mayo de 2026: lo que evaluó con gran confianza era el primer exploit de día cero desarrollado con asistencia de IA, encontrado en el script de un grupo criminal antes de un evento de explotación masiva planeado, junto con familias de malware que generan sus propios comandos en tiempo de ejecución en lugar de depender de una lógica codificada. El trabajo de Toronto es la versión de laboratorio de esa dirección impulsada hacia la propagación de gusanos a nivel de huésped.

La dirección es bastante clara: menos incitaciones, más delegación y más intrusión entregada al modelo.

¿Qué deberían hacer ahora los defensores?

Las señales de comportamiento que produce este prototipo dan a los defensores algo concreto que buscar, porque la versión actual no intenta esconderse.

• Segmentar agresivamente las máquinas con capacidad de GPU. El diseño del gusano dirige la inferencia LLM a través de cualquier host GPU comprometido al que pueda llegar. En una red plana, un servidor de aprendizaje profundo comprometido se convierte en un centro de razonamiento para cada dispositivo infectado en la misma subred. Segmente la infraestructura de GPU y aplique controles de confianza cero para evitar el acceso lateral hacia y desde esos hosts.
• Trate los avisos publicados como objetivos de armamento a corto plazo. Para los CVE conectados a Internet, la ventana de explotación ya se mide en horas para algunas vulnerabilidades. Verifique la explotabilidad rápidamente, parchee primero la exposición a Internet y utilice controles de compensación cuando la implementación no pueda realizarse antes del siguiente ciclo comercial.
• Rote las credenciales expuestas en cualquier host comprometido o sospechoso de manera creíble. El gusano demostró la reutilización sistemática de credenciales como vía de propagación. Las credenciales recopiladas se mueven lateralmente más rápido que la mayoría de los ciclos de detección.
• Supervise las señales de comportamiento específicas del agente. La actividad de puerto no estándar, la inyección automatizada de clave pública SSH y los grupos de inferencia LLM que aparecen en puntos finales inesperados son los artefactos observables que deja este prototipo. Son el punto de partida de la lógica de detección.

En las pruebas, esa combinación produjo raíz en nuevas vulnerabilidades en 41 de 67 intentos y replicación al 62% de la red en siete días sin más intervención humana. Una vez que existe un punto de apoyo de GPU dentro de una red plana, el costo de mapear y explotar hosts adicionales se reduce a cualquier cómputo que el gusano pueda capturar, mientras que los avisos públicos se convierten en guías inmediatas.

La implementación no se hace pública. La Universidad de Toronto está estableciendo un proceso de investigación para que investigadores defensivos calificados soliciten acceso.

Dos campañas de ciberataques alineadas con Rusia han seguido explotando una falla de seguridad en WinRAR para atacar a organizaciones ucranianas, casi un año después de que se publicaran parches para la vulnerabilidad.

Trend Micro ha atribuido la actividad a Earth Dahu (también conocido como Gamaredon) y SHADOW-EARTH-066 (también conocido como UAC-0226). Implica la explotación de CVE-2025-8088, una falla de recorrido de ruta que permite a un atacante escribir archivos fuera del directorio de extracción a través de NTFS Alternate Data Streams (ADS). WinRAR lo parchó en julio de 2025.

Los hallazgos muestran «cómo el software no administrado mantiene abierto un punto de entrada explotado mucho después de que se envía la solución», dijeron los investigadores de Trend Micro Hiroyuki Kakara y Feike Hacquebord. dicho en un análisis publicado el lunes.

La cadena de exploits WinRAR explotada por SHADOW-EARTH-066 es una desviación de los droppers de macros de Excel utilizados anteriormente por el actor de amenazas para entregar un ladrón de información llamado GIFTEDCROOK. La última versión utiliza archivos RAR diseñados que incluyen un documento PDF señuelo y tres cargas útiles ADS ocultas que se encuentran fuera del directorio de extracción para iniciar la infección.

Esto incluye un archivo de acceso directo de Windows (LNK) que se coloca en la carpeta Inicio para que se ejecute automáticamente cada vez que un usuario inicia sesión. Esto, a su vez, genera un cargador de PowerShell a través de «cmd.exe», que luego usa la carga de DLL en memoria para finalmente iniciar una versión actualizada de GIFTEDCROOK («result.dll»).

El malware se dirige a contraseñas y cookies de navegadores basados ​​en Chromium (Google Chrome, Microsoft Edge y Opera) y Mozilla Firefox, además de recopilar documentos que coinciden con ciertas extensiones de la máquina de la víctima. Una vez que los datos se filtran a un servidor externo, todos los artefactos maliciosos se eliminan para ocultar el rastro forense.

Un cambio notable es el cambio de Telegram como canal de exfiltración a servidores dedicados de comando y control (C2), una modificación clave que probablemente se alinea con el bloqueo de Rusia de la plataforma de mensajería en el país a principios de febrero.

El segundo grupo de hackers afiliado a Rusia que utiliza CVE-2025-8088 como arma es Earth Dahu, que ha incorporado la falla a su arsenal desde al menos septiembre de 2025. El adversario es conocido por su «esfuerzo a escala industrial» para mantener el acceso a largo plazo a las organizaciones comprometidas.

«Earth Dahu utilizó la vulnerabilidad con una cadena de infección de HTA a VBScript que entregaba módulos de espionaje», señaló Trend Micro. «Según las marcas de tiempo internas de los archivos RAR y las convenciones de nomenclatura de archivos, la cadena permaneció activa al menos hasta el 10 de abril de 2026».

Estos ataques, como también documentó recientemente Sekoia la semana pasada, conducen a la implementación de GammaPhish, una aplicación HTML (HTA), que luego se utiliza para recuperar un descargador de VBScript llamado GammaLoad. Posteriormente, el descargador intermedio ofrece módulos adicionales como GammaSteel.

GammaLoad es «una colección de VBScripts diseñada para garantizar el acceso continuo e implementar cargas útiles a lo largo del tiempo aprovechando Dead Drop Resolvers (DDR)», Sekoia dichoagregando que se usa para implementar un cuentagotas diseñado para iniciar un cargador de VBScript responsable de ejecutar GammaAceroun completo ladrón de información que puede monitorear los cambios en los archivos en tiempo real.

«WinRAR está profundamente arraigado en las operaciones diarias de las organizaciones ucranianas, lo que lo convierte en un objetivo atractivo para la explotación», afirmó Trend Micro. «La convergencia de grupos establecidos respaldados por el Estado y grupos rastreados de forma independiente en una única vulnerabilidad refleja la escala de las amenazas cibernéticas que enfrenta Ucrania».

Las organizaciones tienen más visibilidad que nunca. Las crecientes pilas de tecnología brindan una mayor cobertura, y los equipos de seguridad de red adoptan cada vez más la inteligencia artificial y la automatización para ayudar con las tareas rutinarias y reducir el esfuerzo manual.

Pero persisten los mismos desafíos. Las interrupciones aún duran horas y causan importantes pérdidas financieras, interrupciones operativas e impacto reputacional. La respuesta a las amenazas y el tiempo medio de remediación (MTTR) siguen siendo lentos. Las configuraciones erróneas y los errores humanos siguen generando incidentes importantes. Y, a pesar de las promesas de la IA, los equipos siguen abrumados y agotados.

La detección no es el problema. Tampoco lo son las herramientas. Hoy en día, el verdadero problema es la ejecución, es decir, el trabajo que se realiza entre herramientas.

La capa operativa oculta que la mayoría de las organizaciones pasan por alto

Cada vez que se activa una alerta, los equipos de seguridad de la red deben:

• Reúna contexto entre sistemas
• Validar propiedad y gravedad
• Billetes de ruta a las personas adecuadas.
• Solicitar aprobaciones
• Implementar cambios manualmente
• Registrar evidencia

Este trabajo operativo abarca múltiples sistemas y entornos, lo que requiere que los analistas cambien de contexto entre:

• SIEM
• Cortafuegos
• Sistemas de gestión de identidades y accesos (IAM)
• ITSM
• Plataformas de monitoreo
• Entornos de nube, locales e híbridos
• Aplicaciones de mensajería y colaboración

Esto no sólo requiere mucho tiempo y trabajo. Los procesos manuales también aumentan las oportunidades de error humano, incluidas inconsistencias, pasos omitidos y brechas de cumplimiento, lo que introduce riesgos que pueden agravarse rápidamente.

Los recientes cambios en la industria no han hecho más que empeorar el problema. La infraestructura distribuida, la expansión de API y las herramientas cada vez más interconectadas han ampliado la cantidad y la complejidad de los sistemas que los equipos deben coordinar. La velocidad de los ataques está aumentando y las amenazas se están volviendo más sofisticadas. Al mismo tiempo, la IA está acelerando las operaciones y aumentando las expectativas de escala y velocidad, lo que somete a los equipos a una mayor presión para realizar entregas con una capacidad limitada.

¿La conclusión clave? Aunque los entornos actuales pueden estar más conectados técnicamente, los flujos de trabajo operativos subyacentes siguen estando fragmentados, lo que genera cuellos de botella, ralentiza los tiempos de respuesta y limita el impacto de la seguridad en el negocio.

3 lugares donde el trabajo entre herramientas genera riesgo

Cuando los equipos coordinan manualmente el trabajo entre sistemas, personas y herramientas, las operaciones pueden fallar rápidamente. A continuación se presentan tres flujos de trabajo críticos en los que los procesos desconectados ponen en riesgo a su organización.

1. Triaje de alertas y respuesta a incidentes

La detección puede estar automatizada, pero la investigación y la coordinación normalmente no lo están. Los equipos deben recopilar manualmente el contexto en todos los sistemas para enriquecer las alertas y descartar falsos positivos, lo que aumenta el tiempo de investigación y utiliza recursos valiosos que podrían invertirse mejor en problemas más complejos.

Estos procesos lentos y manuales conducen a:

• Retrasos para identificar, escalar, contener y remediar problemas
• Amenazas perdidas que se convierten en verdaderos incidentes de seguridad
• Fatiga de alerta eso conduce a una mala calidad del análisis, a la pérdida de verdaderos aspectos positivos y al agotamiento del equipo.

2. Gestión de acceso y cambios

Los procesos sensibles a la seguridad todavía dependen en gran medida de los humanos como capa de integración. Las solicitudes de acceso y los cambios de red requieren aprobaciones manuales, lo que puede generar validaciones inconsistentes y lagunas en la aplicación de políticas. La seguridad y la TI a menudo trabajan en sistemas separados, lo que genera trabajo duplicado, retrasos en el aprovisionamiento y poca visibilidad de los cambios.

A escala, esto puede causar:

• Acceso con privilegios excesivos que viola los principios de privilegio mínimo y confianza cero
• Configuraciones erróneas que crean vulnerabilidades e interrupciones de seguridad
• Brechas de auditoría y cumplimiento que exponen a su organización a riesgos regulatorios

3. Operaciones híbridas y multiambientales

Trabajar en tecnología fragmentada y entornos híbridos añade complejidad y gastos operativos, ya que los analistas deben cambiar entre diferentes herramientas y modelos de propiedad. Los procesos inconsistentes y las brechas de visibilidad entre los equipos dificultan mantener la responsabilidad, hacer cumplir los estándares y ejecutar de manera confiable en todos los sistemas.

Esta fragmentación puede resultar en:

• Deriva de configuración que crea inestabilidad en la red y riesgos de cumplimiento
• Respuestas retrasadas a amenazas e incidentes
• Brechas de seguridad debido a la aplicación inconsistente de políticas en todos los entornos

Qué están haciendo de manera diferente las organizaciones con visión de futuro

La solución no es reemplazar las herramientas. Está orquestando cómo el trabajo se mueve a través de ellos.

Para ello, las organizaciones están adoptando flujos de trabajo inteligentes. Los flujos de trabajo inteligentes son la capa operativa que conecta sistemas, equipos, aprobaciones, automatización y toma de decisiones en todos los entornos. Combinan tres tipos esenciales de flujo de trabajo:

• Automatización determinista para manejar tareas altamente predecibles, confiables y controladas
• AI Evaluar el contexto, tomar decisiones y ejecutar tareas de forma autónoma.
• Humanos para manejar tareas de alto impacto y mucho en juego que requieren juicio y creatividad

A diferencia de la automatización por sí solaque solo maneja tareas discretas y aisladas, los flujos de trabajo inteligentes permiten a los equipos de seguridad de red orquestar procesos completos de principio a fin, al mismo tiempo que brindan la flexibilidad, el control y la supervisión necesarios para aplicar el enfoque correcto a la tarea correcta.

¿Cómo es un flujo de trabajo inteligente en la práctica?

Considere el proceso de clasificación de alertas y respuesta a incidentes mencionado anteriormente. Usando flujos de trabajo inteligentes:

• Una herramienta de monitoreo detecta actividad inusual y crea una alerta
• La IA extrae contexto de múltiples sistemas para clasificar, enriquecer y priorizar la alerta según la gravedad y el riesgo.
• Si la alerta cumple condiciones específicas predefinidas, el flujo de trabajo activa automáticamente acciones, como procesos de contención o remediación.
• Si se requiere criterio humano, el flujo de trabajo dirige el problema al analista apropiado para una investigación o aprobación más profunda.
• Todas las acciones, decisiones y pruebas se registran automáticamente para respaldar los requisitos de auditoría y cumplimiento.

Antes, el trabajo entre herramientas provocaba retrasos, amenazas perdidas y fatiga de alertas. Ahora, los flujos de trabajo inteligentes manejan el proceso de un extremo a otro, lo que permite a los equipos pasar de la detección a la ejecución más rápidamente, reducir el MTTR y aliviar la tensión de los analistas.

Cómo los flujos de trabajo inteligentes mejoran la seguridad de la red

Para los equipos de seguridad de redes en particular, los flujos de trabajo inteligentes ofrecen una serie de beneficios:

• Normalización reduce las inconsistencias, los pasos omitidos y los errores, asegurando que las respuestas sigan protocolos y guías definidos en toda la organización
• Registro automático de pruebas elimina el esfuerzo manual y mejora la auditabilidad
• Flujos de trabajo compartidos proporcionar visibilidad, alineación y responsabilidad multifuncionales
• Carga operativa reducida alivia la fatiga del analista y recupera tiempo para trabajos de seguridad de alto impacto, como investigaciones o estrategias complejas
• Ejecución consistente fortalece la postura de seguridad y reduce el riesgo
• Coordinación más rápida reduce los tiempos de respuesta y mejora la resiliencia operativa

Todo esto permite que los equipos de seguridad de redes operen a escala, ampliando su capacidad sin necesidad de agregar personal.

Cerrando la brecha entre detección y ejecución

El mayor riesgo operativo en las redes modernas no son las herramientas ni la visibilidad, sino la brecha entre la detección y la ejecución.

Las organizaciones que mejoran la seguridad y la resiliencia operativa no se limitan a añadir más tecnología. En cambio, mejoran la forma en que se mueve el trabajo en su entorno, utilizando flujos de trabajo inteligentes para orquestar el trabajo entre herramientas.

A medida que los entornos de red y seguridad se vuelven más complejos, esta coordinación operativa será tan crucial como la visibilidad misma, lo que permitirá a los equipos operar de forma segura, consistente y a escala.

Más información en Tines’ guía definitiva para la gestión de operaciones de red.

Un sitio web malicioso puede determinar qué sitios visita y qué aplicaciones abre, utilizando nada más que JavaScript y la sincronización de su SSD. El ataque, denominado HELADAno necesita código nativo, extensión ni solicitud de permiso.

Abres la página, dejas la pestaña allí y observa la unidad en busca de contención en segundo plano.

Los investigadores de la Universidad Tecnológica de Graz lo construyeron y lo describieron en un nuevo papel programado para aparecer en DIMVA 2026. Abusa de una función de almacenamiento presente en todos los principales navegadores de escritorio, y el canal de sincronización subyacente funciona tanto en macOS como en Linux.

Los ataques de sincronización de SSD no son nuevos. El año pasado el mismo grupo publicó Unidad de derrame secretoque lee el comportamiento del usuario en un disco observando cómo las lecturas se ralentizan cuando algo más lo está usando. El problema era que necesitaba código nativo en la máquina, a través de una interfaz de bajo nivel como io_uring de Linux. FROST elimina ese requisito. Se ejecuta dentro del entorno limitado del navegador, lo que convierte un ataque local en uno remoto.

Ya no es necesario estar en la máquina para sacarlo.

El mismo laboratorio de Graz ya lo ha hecho antes. Su ataque SnailLoad dedujo los sitios y vídeos que una víctima cargó únicamente a partir de la latencia de la red, sin ningún JavaScript.

Cómo funciona el ataque FROST

La forma de entrar es la Sistema de archivos privado de origenu OPFS, una función de almacenamiento que los navegadores agregaron en 2023 para que las aplicaciones web como los editores en el navegador y los IDE puedan mantener archivos en el disco. OPFS le da a cada origen su propia porción protegida del sistema de archivos y, debido a que esa porción está aislada, omite la solicitud de permiso que una página normalmente necesita para acceder a sus archivos. Sin diálogo, sin clic. Un sitio puede simplemente empezar a escribir.

Normalmente, el sistema operativo oculta la sincronización del disco detrás del caché de la página, ofreciendo lecturas repetidas desde la memoria para que nunca toquen la unidad.

FROST soluciona esto creando un archivo más grande que la RAM de la máquina. El caché no puede contenerlo todo, por lo que las lecturas siguen llegando al SSD. En Chrome y Safari, OPFS puede crecer hasta el 60% del espacio en disco, mucho más que suficiente; Firefox limita cada origen a un nivel más bajo, aunque un atacante puede distribuir la carga entre múltiples orígenes para superarlo.

Luego, el código del atacante lee fragmentos aleatorios de 4 kB de ese archivo en un bucle y cronometra cada lectura con performance.now(). Los navegadores reducen sus temporizadores de forma predeterminada para dificultar este tipo de medición, pero el atacante vuelve a agudizar la resolución activando el aislamiento entre orígenes, lo que puede hacer libremente en su propia página.

Cuando abres un sitio o inicias una aplicación en el mismo disco, esa actividad compite con las lecturas del atacante y el tiempo cambia considerablemente. Una red neuronal entrenada en esos rastros identifica el sitio o la aplicación.

La precisión es la parte incómoda. En una Mac, frente a los 50 sitios web principales, FROST identificó el sitio visitado con una puntuación F1 del 88,95 % en una prueba de mundo cerrado y se mantuvo en 86,95 % en una prueba de mundo abierto que agregó 300 sitios que nunca había visto. Para diez aplicaciones macOS nativas preinstaladas, alcanzó el 95,83%. El equipo también construyó un canal encubierto con la misma señal, moviendo datos desde una aplicación nativa colaboradora a la página maliciosa a 661,63 bit/s en Linux y 719,27 bit/s en macOS a través de OPFS. El ataque nativo fue más rápido en su mejor momento, pero son muchos datos para el código atrapado dentro de la zona de pruebas del navegador.

Si bien el canal de sincronización también funciona en Linux, el equipo ejecutó el clasificador completo solo en macOS, por lo que esos números de huellas digitales son un resultado de macOS. FROST también sólo detecta actividad en el mismo disco que su archivo OPFS.

Una computadora portátil de un solo disco pone todo en ese disco; una estación de trabajo con varias unidades oculta todo lo que se ejecuta en una unidad separada, aunque los inicios de aplicaciones que tocan el directorio de inicio tienden a filtrarse de todos modos.

Qué puedes hacer

No mucho, por ahora. A Google, Mozilla y Apple se les informó antes de la publicación. El equipo de Chromium de Google no trata las huellas dactilares como una vulnerabilidad de seguridad. Apple lo consideró fuera de alcance, pero dejó espacio para una mitigación más adelante. Mozilla lo reconoció y no envió nada. No existe CVE ni evidencia pública de que la técnica se haya utilizado en la naturaleza.

Eso deja las defensas débiles. La medición solo se ejecuta mientras la página del atacante está abierta, por lo que cerrar la pestaña finaliza la ejecución. Observar el almacenamiento de su navegador en busca de un archivo de varios gigabytes inexplicable es otra señal, aunque los navegadores no hacen que el uso de OPFS sea fácil de ver.

En Linux, los sistemas que ejecutan perfil-sync-daemon, una utilidad que mantiene el perfil del navegador en la RAM, están protegidos incidentalmente contra la versión sin clic, porque las escrituras OPFS nunca llegan al SSD. La variante más débil, en la que una página utiliza un cuadro de diálogo de selección de archivos para que usted mismo seleccione un archivo grande, todavía funciona.

Las soluciones que realmente lo cerrarían recaen en los fabricantes de navegadores: limitar el tamaño de OPFS para que el archivo quepa en la memoria y no genere contención, acelerar los temporizadores de alta resolución mientras OPFS está en uso o colocar un mensaje de permiso delante de él. Cada uno cuesta algo en velocidad o usabilidad, lo cual es parte de por qué ninguno de ellos ha sucedido.

El verdadero desacuerdo es si un sitio web que aprende silenciosamente lo que usted hace en su propia máquina es un error o una característica que funciona según lo diseñado. La verdadera preocupación de los investigadores es estructural: los navegadores siguen dando a las aplicaciones web un acceso casi nativo al hardware, y el acceso casi nativo trae consigo fugas casi nativas. FROST es una API. El patrón es lo que hay que tener en cuenta.

La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) el lunes agregado una falla de alta gravedad que afecta a BerriAI LiteLLM a sus vulnerabilidades explotadas conocidas (KEV) catálogo, citando evidencia de explotación activa.

La vulnerabilidad, rastreada como CVE-2026-42271 (Puntuación CVSS: 8,7) es una vulnerabilidad de inyección de comandos que podría permitir a cualquier usuario autenticado ejecutar comandos arbitrarios en el host.

Afecta a la siguiente versión del paquete LiteLLM Python:

«Dos puntos finales utilizados para obtener una vista previa de un servidor MCP antes de guardarlo – POST /mcp-rest/test/connection y POST /mcp-rest/test/tools/list – aceptaron una configuración completa del servidor en el cuerpo de la solicitud, incluidos los campos comando, args y env utilizados por el transporte stdio», según un descripción del defecto compartido por BerriAI.

«Cuando se les llamó con una configuración stdio, los puntos finales intentaron conectarse, lo que generó el comando proporcionado como un subproceso en el host proxy con los privilegios del proceso proxy».

Los mantenedores de la puerta de enlace AI de código abierto y el SDK de Python dijeron que los puntos finales estaban protegidos solo por medio de una clave API proxy válida, como resultado de lo cual cualquier usuario autenticado, incluidas las claves de usuario interno privilegiado, podría ejecutar comandos arbitrarios en un sistema susceptible.

Como parte de los parches lanzados en la versión 1.83.7, ambos puntos finales de prueba ahora requieren la función PROXY_ADMIN, lo que lo hace coherente con el punto final de guardado.

LiteLLM Ejecución remota de código no autenticado a través de la omisión de validación del encabezado del host Starlette

La semana pasada, Horizon3.ai dijo que encadenó CVE-2026-42271 con CVE-2026-48710 (Puntuación CVSS: 6,5), un «Mal anfitrión» Vulnerabilidad de omisión de validación del encabezado del host que afecta estrellaun marco liviano de interfaz de puerta de enlace de servidor asíncrono (ASGI), para eludir por completo la autenticación y lograr la ejecución remota de código contra implementaciones vulnerables de LiteLLM.

«CVE-2026-48710 se puede utilizar para omitir completamente el mecanismo de autenticación en implementaciones LiteLLM cuyo árbol de dependencia incluya versiones de Starlette ≤ 1.0.0», Horizon3.ai dicho. «Esto transforma la vulnerabilidad en una ejecución remota de código no autenticado sin necesidad de credenciales».

La utilización exitosa de la cadena de exploits como arma podría permitir a los atacantes ejecutar comandos arbitrarios en el host LiteLLM, acceder a las credenciales del proveedor del modelo, desviar claves API y secretos almacenados por el proxy, moverse lateralmente a la infraestructura de IA conectada e incluso comprometer los sistemas posteriores integrados con la puerta de enlace.

Según Horizon3.ai, la vulnerabilidad encadenada tiene una puntuación CVSS combinada de 10,0, lo que la hace crítica por naturaleza.

Actualmente no hay información sobre cómo se está explotando la vulnerabilidad, la identidad de los actores de amenazas detrás de los esfuerzos, quiénes son el objetivo, qué tan extendidos están estos ataques o si la actividad ha comprometido con éxito alguna instancia. Tampoco está claro si los ataques observados en la naturaleza están aprovechando la cadena de explotación.

Se recomienda a los usuarios actualizar LiteLLM a la versión 1.83.7 o posterior y Starlette a la versión 1.0.1 o posterior. Si la aplicación inmediata de parches no es una opción, se recomiendan las siguientes mitigaciones:

• Bloquee POST /mcp-rest/test/connection y POST /mcp-rest/test/tools/list en el proxy inverso o la puerta de enlace API.
• Restrinja el acceso a la red a segmentos confiables.
• Rotar las credenciales almacenadas por el proxy.
• Revise los registros para detectar actividades inusuales en el encabezado del host y eventos de ejecución de subprocesos.

El desarrollo se produce poco más de un mes después de que una falla crítica de inyección SQL en LiteLLM (CVE-2026-42208, puntuación CVSS: 9.3) fuera explotada activamente dentro de las 36 horas posteriores a que el error se hiciera público.