Una nueva campaña de robo de credenciales basada en malware, que los investigadores denominan «DeepLoad», ha estado infectando entornos de TI empresariales en el pasado.

en un informe publicado el lunes, los investigadores de IA de ReliaQuest, Thassanai McCabe y Andrew Currie, dicen que la característica más relevante de este ataque es la forma en que utiliza la inteligencia artificial y otras ingenierías “para derrotar los controles en los que confían la mayoría de las organizaciones, convirtiendo la acción de un usuario en un acceso persistente y de robo de credenciales”.

DeepLoad se entrega a las víctimas mediante técnicas de ingeniería social «QuickFix», como mensajes falsos del navegador o páginas de error. Si el usuario cae en la trampa, los desarrolladores de malware (o más probablemente sus herramientas de inteligencia artificial) se esfuerzan mucho en crear evasión de la tecnología de seguridad «en cada etapa» de la cadena de ataque.

El cargador «entierra el código funcional bajo miles de asignaciones de variables sin sentido» y la carga útil se ejecuta detrás de un proceso de pantalla de bloqueo de Windows que es «pasado por alto por las herramientas de seguridad» que monitorean las amenazas. ReliaQuest dijo que «el gran volumen» de relleno de código probablemente descarta la participación únicamente humana.

«Evaluamos con gran confianza que se utilizó IA para construir esta capa de ofuscación», escriben McCabe y Currie. «Si es así, las organizaciones deberían esperar actualizaciones frecuentes del malware y menos tiempo para adaptar la cobertura de detección entre oleadas».

DeepLoad puede robar credenciales mediante el registro de teclas en tiempo real, e incluso si los equipos de seguridad bloquean el cargador inicial, pudo persistir a través de contingencias de respaldo.

«En los incidentes que investigamos, el cargador se propagó a las unidades USB conectadas, lo que significa que es poco probable que el host inicial sea el único sistema afectado», escribieron McCabe y Currie. «Incluso después de la limpieza, un mecanismo de persistencia oculto no abordado por los flujos de trabajo de remediación estándar volvió a ejecutar el ataque tres días después».

La investigación de ReliaQuest ofrece más evidencia de que durante el año pasado, algunas prácticas tradicionales de ciberseguridad estática, como la búsqueda de firmas de malware o patrones basados ​​en archivos, pueden volverse obsoletas rápidamente, ya que los modelos de IA pueden generar infinitas variaciones de herramientas de ataque con firmas únicas.

Otras organizaciones como Google y Anthropic han estado haciendo sonar la alarma de que los ciberataques mejorados por IA están reduciendo drásticamente el tiempo que los defensores deben responder a un compromiso.

En la Conferencia RSA celebrada este año en San Francisco, los expertos dijeron a CyberScoop que los próximos dos años serán una “tormenta perfecta” que favorecerá las ofensivas impulsadas por la IA, en la que los ciberdelincuentes y los Estados-nación adaptarán más rápidamente la tecnología para añadir mayor velocidad y escala a sus ataques que sus homólogos defensivos.

McCabe y Currie dicen que el probable uso continuo de la IA para frustrar el seguimiento del análisis estático significa que los defensores tendrán que cambiar su atención hacia otros indicadores de compromiso.

«Según lo que hemos observado, las organizaciones deben priorizar la detección de comportamiento en tiempo de ejecución, no el escaneo basado en archivos, para detectar esta campaña (y otras similares) temprano», escribieron.

Un esfuerzo de un año para fortalecer la ciberseguridad y modernizar la tecnología en las agencias de inteligencia de EE. UU. ha llevado a estándares de políticas para el uso de IA para reforzar las defensas cibernéticas, un repositorio compartido de todas las aplicaciones que han sido sometidas a una revisión de ciberseguridad y más, anunció el jueves la Oficina del Director de Inteligencia Nacional.

Un resumen sin clasificar del trabajo de modernización cibernética y tecnológica durante el primer año de la dirección de DNI Tulsi Gabbard afirma que la oficina ha ampliado la automatización de la búsqueda de amenazas en las redes de la comunidad de inteligencia. (La Agencia de Seguridad de Infraestructura y Ciberseguridad lleva a cabo una búsqueda de amenazas en todas las agencias civiles federales).

La ODNI también ha desarrollado una estrategia de confianza cero que cambia “a un modelo de seguridad centrado en los datos que protege la información independientemente de la ubicación o la red”, según el resumen.

«Durante el año pasado, hemos tomado medidas significativas para comenzar a cumplir esa responsabilidad a través del mayor esfuerzo de modernización e inversión en tecnología de circuitos integrados de la historia», dijo Gabbard en un comunicado de prensa. «La comunidad de inteligencia del presidente Trump está avanzando más rápido y con mayor decisión que nunca en la modernización de la ciberseguridad y las inversiones en TI, ofreciendo defensas más sólidas, mayor eficiencia y ahorros de costos reales para el pueblo estadounidense».

Constituye el primer anuncio importante sobre ciberseguridad realizado por la oficina de Gabbard y la segunda administración de Trump.

Si bien el esfuerzo de un año comenzó antes del reciente lanzamiento de una estrategia cibernética nacional, las iniciativas de ODNI reflejan muchos de sus objetivos, incluida una mejor protección de las redes federales, el avance de la inteligencia artificial con fines defensivos y la ofensiva contra los ciberadversarios.

La ODNI ordenó a su Centro Nacional de Seguridad y Contrainteligencia “combatir proactivamente a los actores de inteligencia extranjeros que buscan participar en ciberataques contra intereses estadounidenses”, según el resumen.

La idea de un repositorio de autorizaciones de ciberseguridad de la comunidad de inteligencia es ahorrar tiempo y dinero, ya que permitiría a las agencias aprovechar las pruebas de aplicaciones que otras agencias han realizado sin tener que repetirlas.

En cuanto a la IA, la ODNI está «desarrollando el marco de políticas, la gobernanza y los estándares necesarios para acelerar la adopción de la IA para la ciberseguridad y otras tecnologías críticas», afirma el resumen.

«Proteger la información más sensible de nuestra nación de aquellos que buscan explotarla, y al mismo tiempo garantizar que nuestros profesionales de inteligencia tengan las herramientas y el acceso que necesitan para hacer su trabajo, no es opcional. Es esencial para nuestra seguridad nacional», dijo Gabbard.

La aparición de Gabbard a principios de este año durante una búsqueda del FBI en una oficina electoral en Georgia ha atraído el escrutinio del Congreso, una apariencia que ha defendido en parte citando el papel de su oficina en la coordinación y análisis de inteligencia. relacionado con la ciberseguridad. Las propias prácticas personales de ciberseguridad de Gabbard antes de asumir el puesto de DNI han también planteó preguntas.

En septiembre de 2025, Antrópico revelado que un actor de amenazas patrocinado por el estado utilizó un agente de codificación de IA para ejecutar una campaña autónoma de ciberespionaje contra 30 objetivos globales. La IA manejó entre el 80 y el 90 % de las operaciones tácticas por sí sola, realizando reconocimientos, escribiendo códigos de explotación e intentando movimientos laterales a la velocidad de la máquina.

Este incidente es preocupante, pero hay un escenario que debería preocupar aún más a los equipos de seguridad: un atacante que no necesita recorrer la cadena de destrucción en absoluto, porque ha comprometido a un agente de IA que ya vive dentro de su entorno. Uno que ya tenga el acceso, los permisos y una razón legítima para moverse por sus sistemas todos los días.

Un marco creado para las amenazas humanas

La cadena de destrucción cibernética tradicional supone que los atacantes deben ganarse cada centímetro de acceso. es un modelo desarrollado por Lockheed Martin en 2011 para describir cómo los adversarios pasan del compromiso inicial a su objetivo final, y ha dado forma a cómo los equipos de seguridad piensan sobre la detección desde entonces.

La lógica es simple: los atacantes deben completar una secuencia de pasos y los defensores pueden interrumpir la cadena en cualquier punto. Cada etapa por la que tiene que pasar un atacante es otra oportunidad para atraparlo.

Una intrusión típica pasa por distintas etapas:

1. Acceso inicial (explotación de una vulnerabilidad, etc.)
2. Persistencia sin activar alertas
3. Reconocimiento para comprender el entorno.
4. Movimiento lateral para alcanzar datos valiosos
5. Escalada de privilegios cuando el acceso no es suficiente
6. Exfiltración evitando controles DLP

Cada etapa crea oportunidades de detección: la seguridad de los terminales puede detectar la carga útil inicial, el monitoreo de la red puede detectar movimientos laterales inusuales, los sistemas de identidad pueden señalar una escalada de privilegios y las correlaciones SIEM pueden vincular comportamientos anómalos en todos los sistemas. Cuantos más pasos dé un atacante, más posibilidades habrá de tropezar con un cable.

Esta es la razón por la que los actores de amenazas avanzadas como LUCR-3 y APT29 invierten mucho en sigilo, pasando semanas viviendo de la tierra y mezclándose con el tráfico normal. Incluso entonces, dejan artefactos: ubicaciones de inicio de sesión inusuales, patrones de acceso extraños, ligeras desviaciones del comportamiento inicial. Estos artefactos son exactamente para lo que están diseñados los sistemas de detección modernos.

El problema aquí, sin embargo, es que los agentes de IA realmente no siguen este manual.

Lo que ya tiene un agente de IA

Los agentes de IA operan de manera fundamentalmente diferente a los usuarios humanos. Funcionan en todos los sistemas, mueven datos entre aplicaciones y se ejecutan continuamente. Si se ve comprometido, un atacante evita toda la cadena de eliminación: el propio agente se convierte en la cadena de eliminación.

Piense en a qué suele tener acceso un agente de IA. Su historial de actividad es un mapa perfecto de qué datos existen y dónde residen. Probablemente extrae de Salesforce, ingresa a Slack, se sincroniza con Google Drive y actualiza ServiceNow como parte de su flujo de trabajo normal. Se le otorgaron amplios permisos durante la implementación, a menudo acceso a nivel de administrador en múltiples aplicaciones, y ya mueve datos entre sistemas como parte de su trabajo.

Un atacante que compromete a ese agente lo hereda todo al instante. Obtienen el mapa, el acceso, los permisos y una razón legítima para mover datos. ¿Cada etapa de la cadena de destrucción que los equipos de seguridad han pasado años aprendiendo a detectar? El agente los omite todos de forma predeterminada.

La amenaza ya se está desarrollando

El Crisis de OpenClaw nos mostró cómo se ve esto en la práctica:

Aproximadamente el 12% de las habilidades en su mercado público eran maliciosas. Una vulnerabilidad crítica de RCE permitió un compromiso con un solo clic. Más de 21.000 casos fueron expuestos públicamente. Pero la parte más aterradora era a qué podía acceder un agente comprometido una vez conectado a Slack y Google Workspace: mensajes, archivos, correos electrónicos y documentos, con memoria persistente entre sesiones.

El principal problema es que las herramientas de seguridad están diseñadas para detectar comportamientos anormales. Cuando un atacante aprovecha el flujo de trabajo existente de un agente de IA, todo parece normal. El agente accede a los sistemas a los que siempre accede, mueve los datos que siempre mueve y opera en los momentos en que siempre opera.

Esta es la brecha de detección a la que se enfrentan los equipos de seguridad.

Cómo Reco cierra la brecha de visibilidad

La defensa contra agentes de IA comprometidos comienza con saber qué agentes están operando en su entorno, a qué se conectan y qué permisos tienen. La mayoría de las organizaciones no tienen un inventario de los agentes de IA que tocan su ecosistema SaaS. Este es exactamente el tipo de problema para el que Reco fue creado.

Descubra todos los agentes de IA en juego

Agentic AI Security de Reco descubre cada agente de IA, función de IA integrada e integración de IA de terceros en su entorno SaaS, incluidas las herramientas de IA en la sombra conectadas sin la aprobación de TI.

Figura 1: Inventario de agentes de IA de Reco, que muestra los agentes descubiertos y sus conexiones con GitHub.

Alcance de acceso al mapa y radio de explosión

Para cada agente, Reco asigna a qué aplicaciones SaaS se conecta, qué permisos tiene y a qué datos puede acceder. recoco Visualización de SaaS a SaaS muestra exactamente cómo los agentes se integran en su ecosistema de aplicaciones, mostrando combinaciones tóxicas en las que los agentes de IA unen sistemas a través de integraciones MCP, OAuth o API, creando desgloses de permisos que ningún propietario de la aplicación autorizaría.

Figura 2: Gráfico de conocimiento de Reco que muestra una combinación tóxica entre Slack y Cursor a través de MCP.

Marcar objetivos y hacer cumplir el privilegio mínimo

Reco identifica qué agentes representan su mayor exposición al evaluar el alcance del permiso, el acceso entre sistemas y la sensibilidad de los datos. Los agentes asociados a riesgos emergentes se etiquetan automáticamente. Desde allí, Reco le ayuda a acceder al tamaño adecuado a través de gobernanza de identidad y accesolimitando directamente lo que un atacante puede hacer si un agente se ve comprometido.

Figura 3: Verificaciones de postura de la IA de Reco con puntuaciones de seguridad y hallazgos de cumplimiento de IAM.

Detectar actividad anómala del agente

recoco motor de detección de amenazas aplica un análisis de comportamiento centrado en la identidad a los agentes de IA de la misma manera que lo hace con las identidades humanas, distinguiendo la automatización normal de las desviaciones sospechosas en tiempo real.

Figura 4: Una alerta de Reco que señala una conexión ChatGPT no autorizada a SharePoint.

Lo que esto significa para su equipo

La cadena de destrucción tradicional suponía que los atacantes tenían que luchar por cada centímetro de acceso. Los agentes de IA cambian por completo esa suposición.

Un agente comprometido puede brindarle a un atacante acceso legítimo, un mapa perfecto del entorno, amplios permisos y cobertura incorporada para el movimiento de datos, sin un solo paso que parezca una intrusión.

Los equipos de seguridad que todavía se centran exclusivamente en detectar el comportamiento de los atacantes humanos se lo perderán. Los atacantes aprovecharán los flujos de trabajo existentes de sus agentes de IA, invisibles en el ruido de las operaciones normales.

Tarde o temprano, un agente de IA en su entorno será el objetivo. La visibilidad es la diferencia entre detectarlo temprano y descubrirlo durante la respuesta al incidente. Reco le brinda esa visibilidad, en todo su ecosistema SaaS, en minutos.

Obtenga más información aquí: Solicite una demostración: comience con Reco.

Un tribunal federal de apelaciones suspendió temporalmente una orden de un juez de California que habría impedido a Perplexity AI utilizar un agente de compras impulsado por inteligencia artificial en Amazon, mientras el caso avanza en una disputa sobre quién controla la actividad automatizada dentro de las cuentas de los clientes.

El Tribunal de Apelaciones del Noveno Circuito de EE. UU. concedió el lunes a Perplexity una suspensión administrativa, suspendiendo la orden judicial mientras el tribunal considera la solicitud de la compañía de una pausa más prolongada durante su apelación. La orden del tribunal inferior debía entrar en vigor en unos días.

Amazon demandó a Perplexity en noviembre, alegando que el navegador Comet de la startup y el agente de inteligencia artificial asociado accedieron a partes protegidas con contraseña de las cuentas de los clientes de Amazon sin la autorización de Amazon, incluso cuando los usuarios permitieron que la herramienta actuara en su nombre. Amazon también acusó a Perplexity de disfrazar la actividad automatizada como navegación humana y de ignorar las repetidas demandas para que se detuviera.

La jueza de distrito estadounidense Maxine Chesney en San Francisco aceptó la solicitud de Amazon de una orden judicial preliminar el 9 de marzo. Escribió que era probable que Amazon tuviera éxito en las demandas bajo la Ley federal de abuso y fraude informático y la Ley integral de fraude y acceso a datos informáticos de California. Chesney dijo que Amazon había proporcionado pruebas sólidas de que Perplexity accedió a las cuentas «con el permiso del usuario de Amazon pero sin la autorización de Amazon».

La orden de Chesney requería que Perplexity prohibiera a Comet acceder o intentar acceder a las cuentas de usuario de Amazon y eliminar las cuentas de Amazon y los datos de los clientes que recopilaba. Chesney también citó la evidencia de Amazon sobre los costos de respuesta, incluido el tiempo de los empleados dedicado a desarrollar herramientas para bloquear Comet y detectar accesos futuros, y escribió que la compañía incurrió en una cantidad superior al umbral utilizado a menudo para respaldar las reclamaciones de fraude informático.

Perplexity argumenta que la actividad es legal porque los usuarios autorizaron al agente de IA a realizar compras y navegar por el sitio en su nombre. Al buscar una pausa, la compañía dijo que bloquear su producto en uno de los sitios de compras más grandes de Internet causaría un «daño devastador» a la empresa y a los consumidores.

Un portavoz de Perplexity dijo a CyberScoop el martes que la compañía continuaría luchando por «el derecho de las personas a elegir su propia IA». Amazon se negó a hacer comentarios.

El caso subraya los problemas con las herramientas de inteligencia artificial «agentes» que pasan de responder preguntas a iniciar transacciones. Se está pidiendo a los tribunales que comparen el permiso del usuario con la autorización de la plataforma y que decidan si los representantes automatizados deben seguir las reglas de la plataforma diseñadas para limitar los bots no divulgados en áreas sensibles de la cuenta.

Se ha descubierto que tres campañas diferentes de ClickFix actúan como vector de entrega para la implementación de un ladrón de información de macOS llamado MacSync.

«A diferencia de los ataques tradicionales basados ​​en exploits, este método se basa completamente en la interacción del usuario, generalmente en forma de copia y ejecución de comandos, lo que lo hace particularmente efectivo contra usuarios que pueden no apreciar las implicaciones de ejecutar comandos de terminal desconocidos y ofuscados», afirman los investigadores de Sophos Jagadeesh Chandraiah, Tonmoy Jitu, Dmitry Samosseiko y Matt Wixey. dicho.

Actualmente no se sabe si las campañas son obra del mismo actor de amenazas. Jamf Threat Labs también señaló el uso de señuelos ClickFix para distribuir el malware en diciembre de 2025. Los detalles de las tres campañas son los siguientes:

• Noviembre de 2025: una campaña que utilizó el navegador OpenAI Atlas como cebo, entregada a través de resultados de búsqueda patrocinados en Google, para dirigir a los usuarios a una URL falsa de Google Sites con un botón de descarga que, al hacer clic, mostraba instrucciones para abrir la aplicación Terminal y pegarle un comando. Esta acción descargó un script de shell, que solicita al usuario que ingrese la contraseña del sistema y ejecuta MacSync con permisos de nivel de usuario.
• Diciembre de 2025: A campaña de publicidad maliciosa que aprovechó enlaces patrocinados vinculados a búsquedas de consultas como «cómo limpiar tu Mac» en Google para llevar a los usuarios a conversaciones compartidas en el sitio legítimo OpenAI ChatGPT para dar la impresión de que los enlaces eran seguros. Las conversaciones de ChatGPT redireccionaban a las víctimas a páginas de inicio maliciosas con temas de GitHub que engañaban a los usuarios para que ejecutaran comandos maliciosos en la aplicación Terminal.
• Febrero de 2026: una campaña dirigida a Bélgica, India y partes de América del Norte y del Sur que distribuyó una nueva variante de MacSync entregada a través de señuelos ClickFix. La última versión admite cargas útiles dinámicas de AppleScript y ejecución en memoria para evadir el análisis estático, evitar detecciones de comportamiento y complicar la respuesta a incidentes.

El script de shell que se inicia después de ejecutar el comando Terminal está diseñado para contactar a un servidor codificado y recuperar la carga útil del ladrón de información AppleScript, al mismo tiempo que toma medidas para eliminar evidencia de robo de datos. El ladrón está equipado para recopilar una amplia gama de datos de hosts comprometidos, incluida la exfiltración de credenciales, archivos, bases de datos de llaveros y frases iniciales de billeteras de criptomonedas.

Los últimos hallazgos sugieren que los actores de amenazas están adaptando la fórmula para estar un paso por delante de las herramientas de seguridad, mientras utilizan como arma la confianza asociada con las conversaciones ChatGPT para convencer a los usuarios de que ejecuten comandos maliciosos.

La nueva variante observada en la campaña más reciente «probablemente representa que el desarrollador de malware se ajusta al sistema operativo y a las medidas de seguridad del software para mantener la efectividad», dijo Sophos. «Por lo tanto, las mejoras en las tácticas típicas de ingeniería social de ClickFix son una forma en que este tipo de campañas pueden seguir evolucionando en el futuro».

En los últimos meses, las campañas de ClickFix han utilizado plataformas legítimas como Cloudflare Pages (pages.dev), Squarespace y Tencent EdgeOne para albergar instrucciones falsas para instalar herramientas de desarrollo como Claude Code de Anthropic. Las URL se distribuyen a través de anuncios maliciosos en motores de búsqueda.

Las instrucciones, como antes, engañan a las víctimas haciéndoles instalar malware de robo de información como Amatera Stealer en su lugar. El ataque de ingeniería social tiene un nombre en clave InstalarReparar o GoogleReparar. Según Nati Tal, directora de Guardio Labs, cadenas de infección similares conducen a la implementación de Alien infostealer en Windows y Atomic Stealer en macOS.

El comando de PowerShell ejecutado después de pegar y ejecutar el supuesto comando de instalación de Claude Code recupera un paquete de extensión de Chrome legítimo dentro de un archivo de aplicación HTML (HTA) malicioso, que luego inicia un cargador .NET ofuscado para Alien en la memoria, según Tal.

«Mientras que los ataques tradicionales de ClickFix necesitan crear una razón para que el usuario ejecute un comando: un CAPTCHA falso, un mensaje de error inventado, un aviso del sistema falso, InstallFix no necesita nada de eso», dijo Push Security. «El pretexto es simplemente que el usuario quiere instalar software legítimo».

Según Pillar Security, ha habido al menos 20 campañas de malware distintas dirigidas a inteligencia artificial (IA) y herramientas de codificación de vibraciones entre febrero y marzo de 2026. Estas incluyen editores de código, agentes de IA, plataformas de modelos de lenguaje grandes (LLM), extensiones de navegador con tecnología de IA, generadores de video de IA y herramientas comerciales de IA. De estos, se ha descubierto que nueve se dirigen tanto a Windows como a macOS, y otros siete afectan exclusivamente a los usuarios de macOS.

«La razón es clara: los usuarios de herramientas de codificación AI/vibe se inclinan en gran medida hacia macOS, y los usuarios de macOS tienden a tener credenciales de mayor valor (claves SSH, tokens de nube, billeteras de criptomonedas)», Eilon Cohen, investigador de Pillar Security dicho.

«La técnica ClickFix/InstallFix (engañar a los usuarios para que peguen comandos en la Terminal) es excepcionalmente efectiva contra los desarrolladores porque curl | sh es un patrón de instalación legítimo. Homebrew, Rust, nvm y muchas otras herramientas de desarrollo usan este patrón exacto. Los comandos maliciosos se esconden a plena vista».

No hace falta decir que la ventaja que plantea ClickFix (y sus variantes) ha llevado a que múltiples actores y grupos de amenazas adopten la táctica. Esto incluye un sistema de distribución de tráfico malicioso (TDS) llamado KongTuke (también conocido como 404 TDS, Chaya_002, LandUpdate808 y TAG-124), que utiliza sitios web de WordPress comprometidos y señuelos CAPTCHA falsos para entregar un troyano basado en Python llamado ModeloRAT.

Los atacantes inyectan JavaScript malicioso en sitios web legítimos de WordPress que solicitan a los usuarios que ejecuten un comando de PowerShell responsable de iniciar un proceso de infección de varias etapas para implementar el troyano.

«El grupo continúa utilizando este método junto con la nueva técnica CrashFix, que engaña a los usuarios para que instalen una extensión de navegador maliciosa para iniciar la infección», dijo Trend Micro. «El malware comprueba específicamente si un sistema es parte de un dominio corporativo e identifica las herramientas de seguridad instaladas antes de continuar, lo que sugiere centrarse en entornos empresariales en lugar de infecciones oportunistas».

Eso no es todo. También se han realizado campañas de KongTuke. manchado utilizando registros DNS TXT en su script ClickFix. Estos registros TXT de DNS presentan un comando para recuperar y ejecutar un script de PowerShell.

Otros ataques de secuestro de pasta estilo ClickFix que se han detectado en la naturaleza se enumeran a continuación:

• Usando sitios web comprometidos para mostrar señuelos para páginas ClickFix que imiten el mensaje «¡Aw Snap!» de Google. errores o actualizaciones del navegador para distribuir droppers, descargadores y extensiones de navegador maliciosas.
• Usando Señuelos ClickFix servido a través de enlaces de publicidad maliciosa/phishing para dirigir a los usuarios a páginas maliciosas que conducen a la implementación de Remcos RAT.
• Usando un señuelo de verificación CAPTCHA falso en un sitio web falso que promociona una estafa de lanzamiento aéreo de $TEMU para desencadenar la ejecución de un comando de PowerShell que ejecuta código Python arbitrario recuperado de un servidor.
• Usando un Publicidad falsa en sitios web CleanMyMac para engañar a los usuarios para que ejecuten un comando de Terminal malicioso para implementar un ladrón de macOS llamado SHub Stealer y billeteras de criptomonedas de puerta trasera como Exodus, Atomic Wallet, Ledger Wallet y Ledger Live para robar las frases iniciales.
• Usando un señuelo de verificación CAPTCHA falso en sitios web comprometidos para ejecutar un script de PowerShell que entrega un cuentagotas MSI, que luego instala el tiempo de ejecución de JavaScript de Deno para ejecutar código ofuscado que finalmente instala CastleRAT en la memoria mediante un cargador de Python llamado CastleLoader.

En un informe publicado la semana pasada, Rapid7 reveló que los sitios web de WordPress de alta confianza están siendo comprometidos como parte de una campaña generalizada y en curso diseñada para inyectar un implante ClickFix que se hace pasar por un desafío de verificación humana de Cloudflare. La actividad está activa desde diciembre de 2025.

Se han identificado más de 250 sitios web infectados en al menos 12 países, incluidos Australia, Brasil, Canadá, Chequia, Alemania, India, Israel, Singapur, Eslovaquia, Suiza, el Reino Unido y Estados Unidos. Los sitios web han sido identificados como medios de comunicación regionales y empresas locales.

El objetivo final de estos señuelos es comprometer los sistemas Windows con diferentes familias de malware ladrón: Ladrón StealCuna versión mejorada de Vidar Stealer, un ladrón de .NET denominado Impure Stealer y un ladrón de C++ denominado VodkaStealer. Los datos robados pueden actuar como plataforma de lanzamiento para robos financieros o ataques posteriores.

Actualmente se desconoce el método exacto mediante el cual se piratean los sitios de WordPress. Sin embargo, se sospecha que implica la explotación de fallas de seguridad reveladas recientemente en complementos y temas de WordPress, credenciales de administrador previamente robadas o interfaces de administración de wp de acceso público.

Para contrarrestar la amenaza, se recomienda a los administradores de sitios que mantengan sus sitios actualizados, utilicen contraseñas seguras para el acceso administrativo, configuren la autenticación de dos factores (2FA) y busquen cuentas de administrador sospechosas.

«La mejor defensa para las personas que navegan por la web es ser cautelosos, mantener una mentalidad de confianza cero, utilizar software de seguridad confiable y mantenerse actualizados con las últimas tácticas de phishing y ClickFix utilizadas por actores maliciosos», dijo Rapid7. «Una conclusión importante de este informe debería ser que incluso los sitios web confiables pueden verse comprometidos y utilizados como armas contra visitantes desprevenidos».

Los investigadores de ciberseguridad han descubierto cinco cajas Rust maliciosas que se hacen pasar por utilidades relacionadas con el tiempo para transmitir datos de archivos .env a los actores de la amenaza.

Los paquetes de Rust, publicados en crates.io, se enumeran a continuación:

• crono_ancla
• dnp3veces
• calibrador_tiempo
• calibradores_de_tiempo
• sincronización de tiempo

Las cajas, según Socket, se hacen pasar por timeapi.io y se publicaron entre finales de febrero y principios de marzo de 2026. Se considera que es el trabajo de un único actor de amenazas basado en el uso de la misma metodología de exfiltración y el dominio similar («timeapis[.]io») para ocultar los datos robados.

«Aunque las cajas se hacen pasar por servicios de hora local, su comportamiento principal es el robo de credenciales y secretos», afirma el investigador de seguridad Kirill Boychenko. dicho. «Intentan recopilar datos confidenciales de entornos de desarrolladores, sobre todo archivos .env, y exfiltrarlos a una infraestructura controlada por actores de amenazas».

Si bien cuatro de los paquetes antes mencionados exhiben capacidades bastante sencillas para filtrar archivos .env, «chrono_anchor» va un paso más allá al implementar ofuscación y cambios operativos para evitar la detección. Las cajas se anunciaron como una forma de calibrar la hora local sin depender del Protocolo de hora de red (NTP).

«Chrono_anchor» incorpora la lógica de exfiltración dentro de un archivo llamado «guard.rs» que se invoca desde una función auxiliar de «sincronización opcional» para evitar levantar sospechas de los desarrolladores. A diferencia de otros programas maliciosos, el código observado en este caso no tiene como objetivo establecer la persistencia en el host a través de un servicio o tarea programada.

En cambio, la caja intenta filtrar repetidamente secretos .env cada vez que el desarrollador de un flujo de trabajo de Integración Continua (CI) llama al código malicioso.

El objetivo de archivos .env no es un accidente, ya que normalmente se usa para contener claves API, tokens y otros secretos, lo que permite a un atacante comprometer a los usuarios intermedios y obtener un acceso más profundo a sus entornos, incluidos servicios en la nube, bases de datos y GitHub y tokens de registro.

Si bien los paquetes se eliminaron de crates.io, se recomienda a los usuarios que los hayan descargado accidentalmente que asuman una posible exfiltración, roten claves y tokens, auditen los trabajos de CI/CD que se ejecutan con credenciales de publicación o implementación y limiten el acceso saliente a la red cuando sea posible.

«Esta campaña muestra que el malware de cadena de suministro de baja complejidad aún puede tener un alto impacto cuando se ejecuta dentro de espacios de trabajo de desarrolladores y trabajos de CI», afirmó Socket. «Priorizar controles que detengan las dependencias maliciosas antes de que se ejecuten».

Un bot impulsado por IA aprovecha las acciones de GitHub

La divulgación se produce tras el descubrimiento de una campaña de ataque automatizado dirigida a canales de CI/CD que abarcan los principales repositorios de código abierto, con un robot impulsado por inteligencia artificial (IA) llamado hackerbot-claw que escanea repositorios públicos en busca de flujos de trabajo explotables de GitHub Actions para recopilar secretos de los desarrolladores.

Entre el 21 y el 28 de febrero de 2026, la cuenta de GitHub, que se describió a sí misma como un agente autónomo de investigación de seguridad, apuntó a no menos de siete repositorios pertenecientes a Microsoft, Datadog y Aqua Security, entre otros.

El ataque se desarrolla de la siguiente manera –

• Escanee repositorios públicos en busca de canalizaciones de CI/CD mal configuradas
• Bifurca el repositorio de destino y prepara una carga útil maliciosa
• Abra una solicitud de extracción con un cambio trivial, como una corrección de error tipográfico, mientras oculta la carga útil principal en el nombre de la rama, el nombre del archivo o un script de CI.
• Active la canalización de CI aprovechando el hecho de que los flujos de trabajo se activan automáticamente en cada solicitud de extracción, lo que hace que el código malicioso se ejecute en el servidor de compilación.
• Robar secretos y tokens de acceso

Uno de los objetivos más destacados del ataque fue el repositorio «aquasecurity/trivy», un popular escáner de seguridad de Aqua Security que busca vulnerabilidades, configuraciones erróneas y secretos conocidos.

«Hackerbot-claw explotó un flujo de trabajo pull_request_target «Para robar un token de acceso personal (PAT)», dijo la empresa de seguridad de la cadena de suministro StepSecurity. «La credencial robada se utilizó luego para hacerse cargo del repositorio».

en un declaración publicado la semana pasada, Itay Shakury de Aqua Security reveló que el atacante aprovechó el flujo de trabajo de GitHub Actions para enviar una versión maliciosa de la extensión Visual Studio Code (VS Code) de Trivy al registro Open VSX para aprovechar los agentes de codificación de IA locales para recopilar y filtrar información confidencial.

Socket, que también investigó el compromiso de la extensión, dicho la lógica inyectada en las versiones 1.8.12 y 1.8.13 ejecuta asistentes de codificación de IA locales, incluidos Claude, Codex, Gemini, GitHub Copilot CLI y Kiro CLI, en modos altamente permisivos, indicándoles que realicen una inspección exhaustiva del sistema, generen un informe de la información descubierta y guarden los resultados en un repositorio de GitHub llamado «posture-report-trivy» utilizando la propia sesión autenticada de GitHub CLI de la víctima.

Desde entonces, Aqua eliminó los artefactos del mercado y revocó el token utilizado para publicarlos. Se recomienda a los usuarios que instalaron las extensiones que las eliminen inmediatamente, verifiquen la presencia de repositorios inesperados y roten los secretos del entorno. El artefacto malicioso ha sido eliminado. No se han identificado otros artefactos afectados. El incidente se está rastreando bajo el identificador CVE. CVE-2026-28353.

Vale la pena señalar que para que un sistema se vea afectado por el problema, se deben cumplir los siguientes requisitos previos:

• Se instaló la versión 1.8.12 o 1.8.13 desde Open VSX
• Al menos una de las CLI de codificación de IA específicas se instaló localmente
• La CLI aceptó los indicadores de ejecución permisivos proporcionados.
• El agente pudo acceder a datos confidenciales en el disco.
• La CLI de GitHub se instaló y se autenticó (para la versión 1.8.13)

«La progresión de .12 a .13 parece una iteración», dijo Socket. «El primer mensaje dispersa datos a través de canales aleatorios sin que el atacante tenga una forma confiable de recopilar el resultado. El segundo soluciona ese problema usando la propia cuenta de GitHub de la víctima como un canal de exfiltración limpio, pero sus instrucciones vagas pueden hacer que el agente envíe secretos a un repositorio privado que el atacante no puede ver».

Un juez federal ha bloqueado a Perplexity, creadores del navegador Comet AI, para que no accedan a las cuentas de los usuarios de Amazon y realicen compras en su nombre.

En un 9 de marzo ordenla jueza Maxine Chesney del Tribunal del Distrito Norte de California dijo que la orden temporal refleja la probabilidad de que Amazon “tendrá éxito en cuanto al fondo” de su reclamo de que los agentes de inteligencia artificial de Perplexity violan la Ley de Abuso y Fraude Informático y la Ley Integral de Fraude y Acceso a Datos Informáticos.

El tribunal sostuvo que Amazon “ha proporcionado pruebas sólidas de que Perplexity, a través de su navegador Comet, accede con el permiso del usuario de Amazon pero sin la autorización de Amazon, a la cuenta protegida por contraseña del usuario”.

Según el fallo, Perplexity debe prohibir a Comet acceder, intentar acceder, ayudar, instruir o proporcionar los medios para que otros accedan a las cuentas de usuario de Amazon. Perplexity también debe eliminar todas las cuentas de Amazon y los datos de clientes que recopiló en el camino.

Perplexity dijo al tribunal que las compras eran legítimas y legales porque sus usuarios habían autorizado a su agente de IA a realizar las compras en su nombre. Pero Amazon les ha negado explícitamente ese permiso, diciendo que los agentes cometen errores, interfieren con el propio algoritmo de Amazon y colocan a sus usuarios en un riesgo elevado de ciberseguridad.

Además, Chesney escribió que Amazon ha incurrido en “significativamente más” de los $5,000 necesarios para calificar como fraude informático, incluido el costo del tiempo invertido por los empleados de Amazon en desarrollar nuevas herramientas web para bloquear el acceso de Comet a cuentas privadas de clientes y detectar futuros accesos no autorizados por parte del navegador.

Según Amazonhan pedido a los funcionarios de Perplexity en cinco ocasiones distintas que dejen de acceder de forma encubierta a la tienda de Amazon con sus agentes. En una carta de cese y desistimiento enviada a Perplexity el 31 de octubre de 2025, el abogado Moez Kaba del bufete de abogados Hueston Hennigan escribió a Perplexity, alegando que las compras automatizadas degradan la experiencia de compra en línea de los clientes de Amazon.

Amazon exige que los agentes de IA se identifiquen digitalmente cuando utilizan la plataforma de comercio electrónico. Pero alegaron que los ejecutivos de Perplexity “se negaron a operar de manera transparente y, en cambio, tomaron medidas afirmativas para ocultar sus actividades de agente en la tienda de Amazon”, incluida la configuración de su software para que se haga pasar encubiertamente por tráfico de personas.

«Dicha transparencia es fundamental porque protege el derecho de un proveedor de servicios a monitorear a los agentes de IA y restringir conductas que degradan la experiencia de compra del cliente, erosionan la confianza del cliente y crean riesgos de seguridad para los datos privados de nuestros clientes», escribió Kaba.

Además, dichos agentes podrían representar un riesgo adicional para Amazon a través de vulnerabilidades de ciberseguridad explotadas por los ciberdelincuentes para secuestrar navegadores de inteligencia artificial como Comet.

La falta de respuesta de los ejecutivos de Perplexity a súplicas anteriores de Amazon puede haber influido en la orden judicial, y Chesney señaló que era probable que Amazon sufriera un daño irreparable sin la intervención judicial porque «Perplexity ha dejado claro que, en ausencia de la reparación solicitada, continuará incurriendo en la conducta cuestionada antes mencionada».

El caso podría tener implicaciones más amplias sobre la forma en que se diseñan las herramientas comerciales de agentes de IA y hasta qué punto pueden actuar legalmente en nombre de una persona. En particular, mientras Amazon se opone a las compras dirigidas por IA de Comet, Perplexity afirma que sus usuarios les han dado permiso para realizar compras en su nombre.

Perplexity argumentó que una orden judicial que detuviera las actividades de su IA iría en contra del interés público, privándolos de opciones e innovación como consumidor. Chesney concluyó lo contrario, respaldando el argumento de Amazon de que el público tiene un mayor interés en proteger sus computadoras del acceso no autorizado.

Perplexity no respondió a una solicitud de comentarios sobre el fallo al cierre de esta edición.

Puede leer la orden judicial a continuación.