El paquete malicioso StripeApi NuGet imitó la biblioteca oficial y robó tokens API – CYBERDEFENSA.MX
admin Noticias
El paquete malicioso StripeApi NuGet imitó la biblioteca oficial y robó tokens API – CYBERDEFENSA.MX

Investigadores de ciberseguridad han revelado detalles de un nuevo paquete malicioso descubierto en la Galería NuGet, que se hace pasar por una biblioteca de la empresa de servicios financieros Stripe en un intento de apuntar al sector financiero.

El paquete, cuyo nombre en código es StripeApi.Net, intenta hacerse pasar por raya.netuna biblioteca legítima de Stripe que cuenta con más de 75 millones de descargas. Fue subido por un usuario llamado StripePayments el 16 de febrero de 2026. El paquete ya no está disponible.

«La página NuGet para el paquete malicioso está configurada para parecerse lo más posible al paquete oficial Stripe.net», ReversingLabs Petar Kirhmajer dicho. «Utiliza el mismo ícono que el paquete legítimo y contiene un archivo Léame casi idéntico, solo intercambia las referencias a ‘Stripe.net’ para que diga ‘Stripe-net’».

En un esfuerzo adicional por dar credibilidad al paquete con errores tipográficos, se dice que el actor de amenazas detrás de la campaña infló artificialmente el recuento de descargas a más de 180.000. Pero en un giro interesante, las descargas se dividieron en 506 versiones, y cada versión registró unas 300 descargas en promedio.

Ciberseguridad

El paquete replica algunas de las funciones del paquete Stripe legítimo, pero también modifica ciertos métodos críticos para recopilar y transferir datos confidenciales, incluido el token API de Stripe del usuario, al actor de la amenaza. Dado que el resto de las bases de código siguen siendo completamente funcionales, es poco probable que atraiga sospechas de desarrolladores desprevenidos que puedan haberlo descargado sin darse cuenta.

ReversingLabs dijo que descubrió e informó sobre el paquete «relativamente pronto» después de su lanzamiento inicial, lo que provocó que lo tomaran antes de que pudiera causar daños graves.

La empresa de seguridad de la cadena de suministro de software también señaló que la actividad marca un cambio con respecto a campañas anteriores que aprovecharon paquetes NuGet falsos para apuntar al ecosistema de criptomonedas y facilitar el robo de claves de billetera.

«Los desarrolladores que por error descarguen e integren una biblioteca con errores tipográficos como StripeAPI.net aún tendrán sus aplicaciones compiladas exitosamente y funcionarán según lo previsto», dijo Kirhmajer. «Los pagos se procesarían normalmente y, desde la perspectiva del desarrollador, nada parecería roto. Sin embargo, en el fondo, actores maliciosos copian y filtran en secreto datos confidenciales».

prepárese para PQC ahora mismo – CYBERDEFENSA.MX
admin Noticias
prepárese para PQC ahora mismo – CYBERDEFENSA.MX

Introducción: Róbalo hoy, rómpelo en una década La evolución digital es imparable y, aunque el ritmo puede variar, las cosas tienden a encajar más temprano que tarde. Esto, por supuesto, también se aplica a los adversarios. El aumento del ransomware y la ciberextorsión generó financiación para un ecosistema criminal complejo y altamente profesional. La era de la nube trajo la disponibilidad general de

UAT-10027 apunta a la educación y la atención médica de EE. UU. con la puerta trasera Dohdoor – CYBERDEFENSA.MX
admin Noticias
UAT-10027 apunta a la educación y la atención médica de EE. UU. con la puerta trasera Dohdoor – CYBERDEFENSA.MX

Un grupo de actividades de amenazas no documentado previamente se ha atribuido a una campaña maliciosa en curso dirigida a los sectores de educación y atención médica en los EE. UU. desde al menos diciembre de 2025.

Cisco Talos está rastreando la campaña bajo el nombre de UAT-10027. El objetivo final de los ataques es crear una puerta trasera nunca antes vista con el nombre en código Dohdoor.

«Dohdoor utiliza la técnica DNS sobre HTTPS (DoH) para comunicaciones de comando y control (C2) y tiene la capacidad de descargar y ejecutar otras cargas binarias de manera reflexiva», dijeron los investigadores de seguridad Alex Karkins y Chetan Raghuprasad. dicho en un informe técnico compartido con The Hacker News.

Aunque actualmente se desconoce el vector de acceso inicial utilizado en la campaña, se sospecha que implica el uso de técnicas de phishing de ingeniería social, que conducen a la ejecución de un script de PowerShell.

Ciberseguridad

Luego, el script procede a descargar y ejecutar un script por lotes de Windows desde un servidor de prueba remoto, que, por su parte, facilita la descarga de una biblioteca de vínculos dinámicos (DLL) de Windows maliciosa denominada «propsys.dll» o «batmeter.dll».

La carga útil de la DLL, es decir, Dohdoor, se inicia mediante un ejecutable legítimo de Windows (por ejemplo, «Fondue.exe», «mblctr.exe» y «ScreenClippingHost.exe») mediante una técnica denominada Carga lateral de DLL. El acceso de puerta trasera creado por el implante se utiliza para recuperar una carga útil de la siguiente etapa directamente en la memoria de la víctima y ejecutarla. Se considera que la carga útil es una baliza de ataque de cobalto.

«El actor de amenazas oculta los servidores C2 detrás de la infraestructura de Cloudflare, asegurando que todas las comunicaciones salientes desde la máquina víctima aparezcan como tráfico HTTPS legítimo a una dirección IP global confiable», dijo Talos.

«Esta técnica evita los sistemas de detección basados ​​en DNS, los sumideros de DNS y las herramientas de análisis de tráfico de red que monitorean las búsquedas de dominios sospechosos, asegurando que las comunicaciones C2 del malware permanezcan ocultas ante la infraestructura de seguridad de red tradicional».

También se ha descubierto que Dohdoor desengancha las llamadas al sistema para evitar las soluciones de respuesta y detección de puntos finales (EDR) que monitorean las llamadas a la API de Windows a través de ganchos de modo de usuario en NTDLL.dll.

Actualmente no hay claridad sobre quién está detrás de UAT-10027, pero Cisco Talos dijo que encontró algunas similitudes tácticas entre Dohdoor y Lazarloader, un descargador previamente identificado como utilizado por el grupo de hackers norcoreano Lazarus en ataques dirigidos a Corea del Sur.

Ciberseguridad

«Si bien el malware UAT-10027 comparte superposiciones técnicas con el Grupo Lazarus, el enfoque de la campaña en los sectores de educación y atención médica se desvía del perfil típico de Lazarus de criptomonedas y objetivos de defensa», concluyó Talos.

«Sin embargo, […] Los actores norcoreanos de la APT se han dirigido al sector sanitario utilizando el ransomware Maui, y otro grupo norcoreano de la APT, Kimsuky, ha apuntado al sector educativodestacando las superposiciones en la victimología del UAT-10027 con la de otros APT norcoreanos».

Kali Linux + Claude, Chrome Crash Traps, WinRAR Flaws, LockBit & 15+ Stories – CYBERDEFENSA.MX
admin Noticias
Kali Linux + Claude, Chrome Crash Traps, WinRAR Flaws, LockBit & 15+ Stories – CYBERDEFENSA.MX

Nothing here looks dramatic at first glance. That’s the point. Many of this week’s threats begin with something ordinary, like an ad, a meeting invite, or a software update.

Behind the scenes, the tactics are sharper. Access happens faster. Control is established sooner. Cleanup becomes harder.

Here is a quick look at the signals worth paying attention to.

These stories may seem separate, but they point in the same direction. Speed is increasing. Deception is improving. And attackers are finding new ways to blend into everyday activity.

The warning signs are there for those who look closely. Small gaps, delayed patches, misplaced trust, and rushed clicks still make the biggest difference.

Staying aware of these shifts is no longer optional. The details change each week. The pressure does not.