Investigadores de ciberseguridad han descubierto un conjunto de herramientas de acceso remoto de origen ruso que se distribuye a través de archivos maliciosos de acceso directo de Windows (LNK) disfrazados de carpetas de claves privadas. El kit de herramientas CTRL, según Censys, está diseñado a medida utilizando .NET e incluye varios ejecutables» para facilitar el phishing de credenciales, el registro de teclas, el secuestro del Protocolo de escritorio remoto (RDP) y el túnel inverso.

TeamPCP, el actor de amenazas detrás del ataque a la cadena de suministro dirigido a Trivy, KICS y litellm, ahora ha comprometido la telnyx Paquete Python al impulsar dos versiones maliciosas para robar datos confidenciales.

Las dos versiones, 4.87.1 y 4.87.2, publicadas en el repositorio Python Package Index (PyPI) el 27 de marzo de 2026, ocultaron sus capacidades de recolección de credenciales dentro de un archivo .WAV. Se recomienda a los usuarios que bajen a la versión 4.87.0 inmediatamente. El proyecto PyPI se encuentra actualmente en cuarentena.

Varios informes de Aikido, Laboratorios Endor, Seguridad del águila pescadora, SafeDep, Enchufey PasoSeguridad indicar que el código malicioso es inyectado en «telnyx/_client.py», lo que hace que se invoque cuando el paquete se importa a una aplicación Python. El malware está diseñado para atacar sistemas Windows, Linux y macOS.

«Nuestro análisis revela una cadena de ataque en tiempo de ejecución de tres etapas en Linux/macOS que consiste en la entrega mediante esteganografía de audio, la ejecución en memoria de un recolector de datos y la exfiltración cifrada», dijo Socket. «Toda la cadena está diseñada para operar dentro de un directorio temporal autodestructivo y dejar casi cero artefactos forenses en el host».

En Windows, el malware descarga un archivo llamado «hangup.wav» de un servidor de comando y control (C2) y extrae de los datos de audio un ejecutable que luego se coloca en la carpeta Inicio como «msbuild.exe». Esto le permite persistir durante los reinicios del sistema y ejecutarse automáticamente cada vez que un usuario inicia sesión en el sistema.

En caso de que el host comprometido se ejecute en Linux o macOS, recupera un archivo .WAV diferente («ringtone.wav») del mismo servidor para extraer un script recopilador de tercera etapa y ejecutarlo. El recolector de credenciales está diseñado para capturar una amplia gama de datos confidenciales y exfiltrar los datos en el formato «tpcp.tar.gz» a través de una solicitud HTTP POST al «83.142.209[.]203:8080.»

«La técnica destacada en esta muestra, y el motivo del título de la publicación, es el uso de esteganografía de audio para entregar la carga útil final», dijo Ossprey Security. «En lugar de alojar un ejecutable sin formato o un blob base64 en el C2 (ambos marcados trivialmente por la inspección de red y EDR), el atacante envuelve la carga útil dentro de un archivo .WAV».

Actualmente no se sabe cómo TeamPCP obtuvo el PYPI_TOKEN del paquete, pero es probable que haya sido a través de una operación previa de recolección de credenciales.

«Creemos que el vector más probable es el compromiso del litellm en sí», dijeron los investigadores de Endor Labs Kiran Raj y Rachana Misal. «El recolector de TeamPCP barrió variables de entorno, archivos .env e historiales de shell de cada sistema que importó litellm. Si algún desarrollador o canal de CI tenía litellm instalado y acceso al token PyPI de telnyx, ese token ya estaba en manos de TeamPCP».

Lo notable del ataque es la ausencia de un mecanismo de persistencia en Linux y macOS y el uso de un directorio temporal para realizar acciones maliciosas y eliminar recursivamente todo su contenido una vez que todo esté completo.

«La división estratégica es clara. Windows obtiene persistencia: un binario en la carpeta Inicio que sobrevive a los reinicios, proporcionando al actor de la amenaza un acceso repetible a largo plazo», explicó Socket. «Linux/macOS se vuelve devastador: una única operación de recolección de datos de alta velocidad que recopila todo lo de valor y lo exfiltra inmediatamente, luego desaparece».

El desarrollo se produce unos días después de que el actor de amenazas repartido Versiones troyanizadas del popular paquete Litellm Python para filtrar credenciales de la nube, secretos de CI/CD y claves de un dominio bajo su control.

El incidente de la cadena de suministro también refleja una nueva maduración, donde el actor de la amenaza ha infectado constantemente paquetes legítimos y confiables con bases de usuarios masivas para distribuir malware a usuarios intermedios y ampliar el radio de explosión, en lugar de publicar directamente typosquats maliciosos en repositorios de paquetes de código abierto.

«La selección de objetivos en esta campaña se centra en herramientas con acceso elevado a canalizaciones automatizadas: un escáner de contenedores (Trivy), una herramienta de escaneo de infraestructura (KICS) y una biblioteca de enrutamiento de modelos de IA (litellm)», Snyk dicho. «Cada una de estas herramientas requiere un amplio acceso de lectura a los sistemas en los que opera (credenciales, configuraciones, variables de entorno) por diseño».

Para mitigar la amenaza, se recomienda a los desarrolladores que realicen las siguientes acciones:

• Audite los entornos Python y los archivos requisitos.txt para telnyx==4.87.1 o telnyx==4.87.2. Si los encuentra, reemplácelos con una versión limpia.
• Asuma un compromiso y rote todos los secretos.
• Busque un archivo llamado «msbuild.exe» en la carpeta de inicio de Windows.
• Bloquear el dominio C2 y de exfiltración («83.142.209[.]203»).

El compromiso es parte de una campaña más amplia y en curso emprendida por EquipoPCP que abarca múltiples ecosistemas, y el actor de amenazas anuncia colaboraciones con otros grupos de ciberdelincuentes como LAPSUS$ y un grupo de ransomware emergente llamado vector para realizar operaciones de extorsión y ransomware.

Esto también indica un cambio en el que las bandas de ransomware, que históricamente se han centrado en métodos de acceso inicial como el phishing y la explotación de fallos de seguridad, ahora están utilizando como arma los ataques a la cadena de suministro dirigidos a la infraestructura de código abierto como punto de entrada para ataques posteriores.

«Esto pone de relieve cualquier cosa en entornos CI/CD que no esté bloqueado», dijo Socket. «A los escáneres de seguridad, las extensiones IDE, las herramientas de construcción y los entornos de ejecución se les otorga amplio acceso porque se espera que lo necesiten. Cuando los atacantes apuntan a las herramientas mismas, cualquier cosa que se ejecute en el proceso debe ser tratada como un punto de entrada potencial».

Los investigadores de ciberseguridad han revelado tres vulnerabilidades de seguridad que afectan a LangChain y LangGraph y que, si se explotan con éxito, podrían exponer datos del sistema de archivos, secretos del entorno y el historial de conversaciones.

Tanto LangChain como LangGraph son marcos de código abierto que se utilizan para crear aplicaciones basadas en modelos de lenguajes grandes (LLM). LangGraph se basa en los cimientos de LangChain para flujos de trabajo agentes más sofisticados y no lineales. Según las estadísticas del Python Package Index (PyPI), LangChain, LangChain-Core y LangGraph se han descargado más de 52 millones, 23 millonesy 9 millones de veces Solo la semana pasada.

«Cada vulnerabilidad expone una clase diferente de datos empresariales: archivos del sistema de archivos, secretos del entorno e historial de conversaciones», dijo Vladimir Tokarev, investigador de seguridad de Cyera. dicho en un informe publicado el jueves.

Los problemas, en pocas palabras, ofrecen tres caminos independientes que un atacante puede aprovechar para drenar datos confidenciales de cualquier implementación empresarial de LangChain. Los detalles de las vulnerabilidades son los siguientes:

• CVE-2026-34070 (Puntuación CVSS: 7,5): una vulnerabilidad de recorrido de ruta en LangChain («langchain_core/prompts/loading.py») que permite el acceso a archivos arbitrarios sin ninguna validación a través de su API de carga rápida al proporcionar una interfaz especialmente diseñada. plantilla de mensaje.
• CVE-2025-68664 (Puntuación CVSS: 9,3): una vulnerabilidad de deserialización de datos no confiables en LangChain que filtra claves API y secretos del entorno al pasar como entrada una estructura de datos que engaña a la aplicación para que la interprete como un objeto LangChain ya serializado en lugar de datos de usuario normales.
• CVE-2025-67644 (Puntuación CVSS: 7,3): una vulnerabilidad de inyección SQL en la implementación del punto de control LangGraph SQLite que permite a un atacante manipular consultas SQL a través de claves de filtro de metadatos y ejecutar consultas SQL arbitrarias en la base de datos.

La explotación exitosa de las fallas antes mencionadas podría permitir a un atacante leer archivos confidenciales, como configuraciones de Docker, desviar secretos confidenciales mediante una inyección rápida y acceder a historiales de conversaciones asociados con flujos de trabajo confidenciales. Vale la pena señalar que Cyata también compartió detalles de CVE-2025-68664 en diciembre de 2025, dándole el criptonimo LangGrinch.

Las vulnerabilidades se han solucionado en las siguientes versiones:

• CVE-2026-34070: núcleo de cadena de idiomas >=1.2.22
• CVE-2025-68664 – langchain-core 0.3.81 y 1.2.5
• CVE-2025-67644 – idiomagraph-checkpoint-sqlite 3.0.1

Los hallazgos subrayan una vez más cómo la inteligencia artificial (IA) no es inmune a las vulnerabilidades de seguridad clásicas, lo que podría poner en riesgo sistemas enteros.

El desarrollo se produce días después de que una falla de seguridad crítica que afecta a Langflow (CVE-2026-33017, puntuación CVSS: 9.3) haya sido explotada activamente dentro de las 20 horas posteriores a la divulgación pública, lo que permite a los atacantes extraer datos confidenciales de los entornos de desarrollo.

Naveen Sunkavally, arquitecto jefe de Horizon3.ai, dijo que la vulnerabilidad comparte la misma causa raíz que CVE-2025-3248 y se debe a puntos finales no autenticados que ejecutan código arbitrario. Dado que los actores de amenazas se mueven rápidamente para explotar las fallas recientemente reveladas, es esencial que los usuarios apliquen los parches lo antes posible para una protección óptima.

«LangChain no existe de forma aislada. Se encuentra en el centro de una red de dependencia masiva que se extiende a lo largo de la pila de IA. Cientos de bibliotecas envuelven LangChain, lo amplían o dependen de él», dijo Cyera. «Cuando existe una vulnerabilidad en el núcleo de LangChain, no solo afecta a los usuarios directos. Se propaga a través de cada biblioteca posterior, cada contenedor, cada integración que hereda la ruta del código vulnerable».