Anthropic confirmó el martes que el código interno de su popular asistente de codificación de inteligencia artificial (IA), Claude Code, se había publicado inadvertidamente debido a un error humano.

«No se involucraron ni se expusieron datos confidenciales o credenciales de clientes», dijo un portavoz de Anthropic. dicho en un comunicado compartido con CNBC News. «Este fue un problema del paquete de lanzamiento causado por un error humano, no una violación de seguridad. Estamos implementando medidas para evitar que esto vuelva a suceder».

El descubrimiento se produjo después del lanzamiento del advenedizo de la IA. versión 2.1.88 del paquete npm de Claude Code, y los usuarios notaron que contenía un archivo de mapa fuente que podría usarse para acceder al código fuente de Claude Code, que comprende casi 2000 archivos TypeScript y más de 512 000 líneas de código. La versión ya no está disponible para descargar desde npm.

El investigador de seguridad Chaofan Shou fue el primero en marcar públicamente en X, indicando «¡El código fuente del código Claude se ha filtrado a través de un archivo de mapa en su registro npm!» Desde entonces, la publicación X ha acumulado más de 28,8 millones de visitas. El código base filtrado permanece accesible a través de un repositorio público de GitHubdonde ha superado las 84.000 estrellas y las 82.000 bifurcaciones.

Una filtración de código fuente de este tipo es importante, ya que brinda a los desarrolladores de software y a los competidores de Anthropic un modelo de cómo funciona la popular herramienta de codificación. Los usuarios que tienen cavado en el código han publicado detalles de su arquitectura de memoria autorreparable para superar el modelo restricciones de ventana de contexto fijasasí como otros componentes internos.

Estos incluir un sistema de herramientas para facilitar diversas capacidades como lectura de archivos o ejecución bash, un motor de consultas para manejar llamadas y orquestación de API LLM, orquestación de múltiples agentes para generar «subagentes» o enjambres para llevar a cabo tareas complejas y una capa de comunicación bidireccional que conecta extensiones IDE a Claude Code CLI.

La filtración también arrojó luz sobre una característica llamada KAIROS eso permite a Claude Code operar como un agente persistente en segundo plano que puede corregir errores periódicamente o ejecutar tareas por sí solo sin esperar la intervención humana, e incluso enviar notificaciones automáticas a los usuarios. Complementando este modo proactivo hay un nuevo modo «sueño» eso le permitirá a Claude pensar constantemente en segundo plano para desarrollar ideas e iterar las existentes.

Quizás el detalle más intrigante es el modo encubierto de la herramienta para realizar contribuciones «silenciosas» a repositorios de código abierto. «Estás operando UNDERCOVER en un repositorio PÚBLICO/OPEN-SOURCE. Tus mensajes de confirmación, títulos de relaciones públicas y cuerpos de relaciones públicas NO DEBEN contener NINGUNA información interna de Anthropic. No desveles tu tapadera», se lee en el mensaje del sistema.

Otro hallazgo fascinante tiene que ver con los intentos de Anthropic de luchar encubiertamente contra los ataques de destilación de modelos. El sistema tiene controles en su lugar que inyectan definiciones de herramientas falsas en las solicitudes de API para envenenar los datos de entrenamiento si los competidores intentan eliminar los resultados de Claude Code.

Paquetes Typosquat npm enviados al registro

Con los aspectos internos de Claude Code ahora al descubierto, los riesgos de desarrollo brindan a los malos actores municiones para sortear las barreras de seguridad y engañar al sistema para que realice acciones no deseadas, como ejecutar comandos maliciosos o filtrar datos.

«En lugar de jailbreaks de fuerza bruta e inyecciones rápidas, los atacantes ahora pueden estudiar y descifrar exactamente cómo fluyen los datos a través del canal de gestión de contexto de cuatro etapas de Claude Code y crear cargas útiles diseñadas para sobrevivir a la compactación, persistiendo efectivamente una puerta trasera durante una sesión arbitrariamente larga», dijo la empresa de seguridad de inteligencia artificial Straiker. dicho.

La preocupación más apremiante son las consecuencias del ataque a la cadena de suministro de Axios, ya que los usuarios que instalaron o actualizaron Claude Code a través de npm el 31 de marzo de 2026, entre las 00:21 y las 03:29 UTC, pueden haber extraído consigo una versión troyanizada del cliente HTTP que contiene un troyano de acceso remoto multiplataforma. Se recomienda a los usuarios que bajen inmediatamente a una versión segura y roten todos los secretos.

Es más, los atacantes ya están aprovechando la filtración para escribir nombres de paquetes npm internos en un intento de apuntar a aquellos que pueden estar intentando compilar el código fuente filtrado de Claude Code y organizar ataques de confusión de dependencia. Los nombres de los paquetes, todos publicados por un usuario llamado «chupete136,» se enumeran a continuación:

• captura-de-audio-napi
• diferencia-de-color-napi
• procesador-de-imagen-napi
• modificadores-napi
• controlador de URL-napi

«En este momento son códigos auxiliares vacíos (`module.exports = {}`), pero así es como funcionan estos ataques: agachar el nombre, esperar a que se descarguen y luego enviar una actualización maliciosa que afecta a todos los que la instalaron», dijo el investigador de seguridad Clément Dumas. dicho en una publicación en X.

El incidente es el segundo gran error de Anthropic en una semana. Detalles sobre la empresa. próximo modelo de IAjunto con otros datos internos, quedaron accesibles a través del sistema de gestión de contenidos (CMS) de la empresa la semana pasada. Posteriormente, Anthropic reconoció que ha estado probando el modelo con clientes de acceso temprano, afirmando que es «el modelo más capaz que hemos construido hasta la fecha», según Fortuna.

Los investigadores de ciberseguridad han revelado detalles de un error ahora parcheado que afecta el proceso de escaneo previo a la publicación de Open VSX y hace que la herramienta permita que una extensión maliciosa de Microsoft Visual Studio Code (VS Code) pase el proceso de investigación y entre en funcionamiento en el registro.

«La canalización tenía un único valor de retorno booleano que significaba ‘no hay escáneres configurados’ y ‘todos los escáneres no pudieron ejecutarse’», Oran Simhony, investigador de Koi Security. dicho en un informe compartido con The Hacker News. «La persona que llamó no pudo notar la diferencia. Entonces, cuando los escáneres fallaron bajo carga, Open VSX lo trató como ‘nada que buscar’ y agitó la extensión directamente».

A principios del mes pasado, la Fundación Eclipse, que mantiene Open VSX, anunció planes para hacer cumplir controles de seguridad previos a la publicación antes de que las extensiones de VS Code se publiquen en el repositorio en un intento de abordar el creciente problema de las extensiones maliciosas.

Dado que Open VSX también sirve como mercado de extensiones para Cursor, Windsurf y otras bifurcaciones de VS Code, la medida fue vista como un enfoque proactivo para evitar que se publiquen extensiones maliciosas en primer lugar. Como parte del análisis previo a la publicación, las extensiones que no superan el proceso se ponen en cuarentena para revisión del administrador.

La vulnerabilidad descubierta por Koi, cuyo nombre en código Sésamo abiertotiene que ver con cómo este servicio basado en Java informa los resultados del análisis. Específicamente, se debe al hecho de que malinterpreta las fallas en el trabajo del escáner, ya que no hay escáneres configurados, lo que hace que una extensión se marque como aprobada y luego se active inmediatamente y esté disponible para su descarga desde Open VSX.

Al mismo tiempo, también puede hacer referencia a un escenario en el que los analizadores existen y los trabajos del analizador han fallado y no se pueden poner en cola porque el grupo de conexiones de la base de datos está agotado. Aún más preocupante, un servicio de recuperación diseñado para reintentar análisis fallidos sufrió el mismo problema, permitiendo así que las extensiones omitan todo el proceso de análisis bajo ciertas condiciones.

Un atacante puede aprovechar esta debilidad para inundar el punto final de publicación con varias extensiones .VSIX maliciosas, lo que provoca que la carga simultánea agote el grupo de conexiones de la base de datos. Esto, a su vez, conduce a un escenario en el que los trabajos de escaneo no se ponen en cola.

Lo notable del ataque es que no requiere ningún privilegio especial. Un actor malicioso con una cuenta de editor gratuita podría haber activado de manera confiable esta vulnerabilidad para socavar el proceso de escaneo y publicar su extensión. El problema era dirigido en Abierto VSX versión 0.32.0 el mes pasado luego de la divulgación responsable el 8 de febrero de 2026.

«El escaneo previo a la publicación es una capa importante, pero es una capa», dijo Koi. «El diseño del oleoducto es sólido, pero un solo valor booleano que no podía distinguir entre ‘nada que hacer’ y ‘algo salió mal’ convirtió toda la infraestructura en una puerta que se abrió bajo presión».

«Este es un antipatrón común: manejo de errores de apertura fallida escondido detrás de una ruta de código diseñada para un caso legítimo de ‘nada que hacer’. Si está creando canalizaciones similares, haga explícitos los estados de falla. Nunca permita que ‘no se necesita trabajo’ y ‘trabajo fallido’ compartan un valor de retorno».

El exploit del kernel para dos vulnerabilidades de seguridad utilizadas en el kit de exploits Apple iOS recientemente descubierto conocido como La Coruña es una versión actualizada del mismo exploit que se utilizó en la campaña Operación Triangulación en 2023, según nuevos hallazgos de Kaspersky.

«Cuando se informó por primera vez sobre Coruña, la evidencia pública no era suficiente para vincular su código con la triangulación; las vulnerabilidades compartidas por sí solas no prueban la autoría compartida», dijo Boris Larin, investigador principal de seguridad de Kaspersky GReAT, a The Hacker News en un comunicado.

«Coruña no es un mosaico de exploits públicos; es una evolución mantenida continuamente del marco original de Operación Triangulación. La inclusión de comprobaciones para procesadores recientes como el M3 y versiones más recientes de iOS muestra que los desarrolladores originales han expandido activamente esta base de código. Lo que comenzó como una herramienta de espionaje de precisión ahora se implementa indiscriminadamente».

Coruña fue documentado por primera vez por Google e iVerify a principios de este mes apuntando a modelos de iPhone de Apple que ejecutan versiones de iOS entre 13.0 y 17.2.1.

Aunque el uso del kit fue utilizado por primera vez por un cliente de una empresa de vigilancia anónima a principios del año pasado, desde entonces ha sido aprovechado por un presunto actor-estado-nación alineado con Rusia en ataques a pozos de agua en Ucrania y en una campaña de explotación masiva que empleó un grupo de sitios web chinos falsos de apuestas y criptomonedas para entregar un malware de robo de datos conocido como PlasmaLoader (también conocido como PLASMAGRID).

El kit de exploits contiene cinco cadenas completas de exploits para iOS y un total de 23 exploits, incluidos CVE-2023-32434 y CVE-2023-38606, los cuales fueron Se utilizó por primera vez como día cero en la Operación Triangulación, una sofisticada campaña dirigida a dispositivos iOS que implicó la explotación de cuatro vulnerabilidades en el sistema operativo móvil de Apple.

Los últimos hallazgos de Kaspersky indicaron que los exploits del kernel tanto en Triangulation como en Coruna fueron creados por el mismo autor, y Coruna también utilizó cuatro exploits del kernel adicionales. El proveedor de seguridad ruso dijo que todos estos exploits se basan en el mismo marco de explotación del kernel y comparten un código común.

Específicamente, el código incluye soporte para los procesadores A17, M3, M3 Pro y M3 Max de Apple, junto con comprobaciones de iOS 17.2 y iOS versión 16.5 beta 4, la última de las cuales parchó las cuatro vulnerabilidades explotadas como parte de la Operación Triangulación. La verificación para iOS 17.2, por otro lado, está destinada a tener en cuenta los exploits más nuevos, dijo Kaspersky.

El punto de partida del ataque es cuando un usuario visita un sitio web comprometido en Safari, lo que hace que un stager tome las huellas digitales del navegador y realice el exploit apropiado según el navegador y la versión del sistema operativo. Esto, a su vez, allana el camino para la ejecución de una carga útil que activa el exploit del kernel.

«Después de descargar los componentes necesarios, la carga útil comienza a ejecutar exploits del kernel, cargadores Mach-O y el lanzador de malware», dijo Kaspersky. «La carga útil selecciona un cargador Mach-O apropiado según la versión del firmware, la CPU y la presencia del permiso de servicio abierto iokit».

El lanzador es el principal orquestador responsable de iniciar las actividades posteriores a la explotación, aprovechando el exploit del kernel para colocar y ejecutar el implante final. También limpia los artefactos de explotación para encubrir el rastro forense.

«Originalmente desarrollado con fines de ciberespionaje, este marco ahora está siendo utilizado por ciberdelincuentes de un tipo más amplio, poniendo en riesgo a millones de usuarios con dispositivos sin parches», dijo Larin. «Dado su diseño modular y su facilidad de reutilización, esperamos que otros actores de amenazas comiencen a incorporarlo en sus ataques».

El desarrollo se produce cuando se filtró en GitHub una nueva versión del kit de explotación de iPhone DarkSword. planteando preocupaciones que podría equipar a más actores de amenazas con capacidades avanzadas para comprometer dispositivos, convirtiendo efectivamente lo que alguna vez fue una herramienta de piratería de élite en un marco de explotación masiva. El lanzamiento de la nueva versión fue el primero. reportado por TechCrunch.

Los actores de amenazas norcoreanos detrás de la campaña Contagious Interview, también rastreada como WaterPlum, han sido atribuidos a una familia de malware rastreada como ArmiñoWaffle que se distribuye a través de proyectos maliciosos de Microsoft Visual Studio Code (VS Code).

El uso de VS Code «tasks.json» para distribuir malware es una táctica relativamente nueva adoptada por el actor de amenazas desde diciembre de 2025, y los ataques aprovechan la opción «runOn: folderOpen» para activar automáticamente su ejecución cada vez que se abre cualquier archivo en la carpeta del proyecto en VS Code.

«Esta tarea está configurada para que descargue datos de una aplicación web en Vercel independientemente del sistema operativo que se ejecute. [operating system]»Seguridad NTT dicho en un informe publicado la semana pasada. «Aunque en este artículo asumimos que el sistema operativo que lo ejecuta es Windows, los comportamientos esenciales son los mismos para cualquier sistema operativo».

La carga útil descargada primero verifica si Node.js está instalado en el entorno de ejecución. Si no está, el malware descarga Node.js del sitio web oficial y lo instala. Posteriormente, procede a iniciar un descargador, que sondea periódicamente un servidor externo para buscar un descargador de la siguiente etapa que muestra un comportamiento idéntico al comunicarse con otro punto final en el mismo servidor y ejecutar la respuesta recibida como código Node.js.

Se ha descubierto que StoatWaffle ofrece dos módulos diferentes:

• Un ladrón que captura credenciales y datos de extensiones almacenados en navegadores web (navegadores basados ​​en Chromium y Mozilla Firefox) y los carga en un servidor de comando y control (C2). Si el sistema comprometido se ejecuta en macOS, también roba la base de datos de iCloud Keychain.
• Un troyano de acceso remoto (RAT) que se comunica con el servidor C2 para buscar y ejecutar comandos en el host infectado. Los comandos permiten que el malware cambie el directorio de trabajo actual, enumere archivos y directorios, ejecute código Node.js, cargue archivos, busque recursivamente en el directorio dado y enumere o cargue archivos que coincidan con una determinada palabra clave, ejecute comandos de shell y finalice.

«StoatWaffle es un malware modular implementado por Node.js y tiene módulos Stealer y RAT», dijo el proveedor de seguridad japonés. «WaterPlum desarrolla continuamente nuevo malware y actualiza los existentes».

El desarrollo coincide con varias campañas montadas por el actor de amenazas dirigidas al ecosistema de código abierto:

• un conjunto de paquetes npm maliciosos que distribuyen el malware PylangGhost, lo que marca la primera vez que el malware se propaga a través de paquetes npm.
• Una campaña conocida como PolinRider tiene implantado una carga útil maliciosa de JavaScript ofuscada en cientos de repositorios públicos de GitHub que culmina con la implementación de una nueva versión de BeaverTail, un conocido malware ladrón y descargador atribuido a Contagious Interview.
• Entre los compromisos están cuatro repositorios perteneciente a la organización Neutralinojs GitHub. Se dice que el ataque comprometió la cuenta de GitHub de un colaborador de neutralinojs desde hace mucho tiempo con acceso de escritura a nivel de organización para forzar el código JavaScript que recupera cargas útiles cifradas en transacciones de Tron, Aptos y Binance Smart Chain (BSC) para descargar y ejecutar BeaverTail. Se cree que las víctimas fueron infectadas a través de una extensión maliciosa de VS Code o un paquete npm.

Microsoft, en un análisis de Contagious Interview de este mes, dijo que los actores de amenazas logran acceso inicial a los sistemas de los desarrolladores a través de «procesos de reclutamiento organizados de manera convincente» que reflejan entrevistas técnicas legítimas, y en última instancia persuaden a las víctimas para que ejecuten comandos o paquetes maliciosos alojados en GitHub, GitLab o Bitbucket como parte de la evaluación.

En algunos casos, los objetivos se abordan a través de LinkedIn. Sin embargo, las personas elegidas para este ataque de ingeniería social no son desarrolladores junior, sino fundadores, CTO e ingenieros senior en el sector de criptomonedas o Web3, quienes probablemente tengan un acceso elevado a la infraestructura tecnológica y a las billeteras de criptomonedas de la empresa. Un incidente reciente involucrado Los atacantes atacaron sin éxito al fundador de AllSecure.io a través de una entrevista de trabajo falsa.

Algunas de las familias de malware clave implementadas como parte de estas cadenas de ataque incluyen OtterCookie (una puerta trasera capaz de robar datos en gran escala), InvisibleFerret (una puerta trasera basada en Python) y FlexibleFerret (una puerta trasera modular implementada tanto en Go como en Python). Si bien se sabe que InvisibleFerret generalmente se entrega a través de BeaverTail, se ha descubierto que intrusiones recientes distribuyen el malware como una carga útil de seguimiento, después de aprovechar el acceso inicial obtenido a través de OtterCookie.

Vale la pena mencionar aquí que FlexibleFerret también se conoce como WeaselStore. Sus variantes Go y Python reciben los nombres de GolangGhost y PylangGhost, respectivamente.

En una señal de que los actores de amenazas están refinando activamente su oficio, las mutaciones más recientes de los proyectos de VS Code han evitado los dominios basados ​​en Vercel para que los scripts alojados en GitHub Gist descarguen y ejecuten cargas útiles de la siguiente etapa que, en última instancia, conducen a la implementación de FlexibleFerret. Estos proyectos de VS Code se organizan en GitHub.

«Al incorporar la entrega de malware dirigido directamente en herramientas de entrevistas, ejercicios de codificación y flujos de trabajo de evaluación en los que los desarrolladores confían inherentemente, los actores de amenazas explotan la confianza que los solicitantes de empleo depositan en el proceso de contratación durante períodos de alta motivación y presión de tiempo, lo que reduce la sospecha y la resistencia», dijo el gigante tecnológico.

En respuesta al abuso continuo de VS Code Tasks, Microsoft ha incluido una mitigación en la actualización de enero de 2026 (versión 1.109) que introduce una nueva configuración «task.allowAutomaticTasks», que de forma predeterminada está «desactivada» para mejorar la seguridad y evitar la ejecución no deseada de tareas definidas en «tasks.json» al abrir un espacio de trabajo.

«La actualización también evita que la configuración se defina a nivel del espacio de trabajo, por lo que los repositorios maliciosos con su propio archivo .vscode/settings.json no deberían poder anular la configuración del usuario (global)», Resumen de Seguridad dicho.

«Esta versión y la reciente de febrero de 2026 (versión 1.110) también introduce un mensaje secundario que advierte al usuario cuando se detecta una tarea de ejecución automática en un espacio de trabajo recién abierto. Esto actúa como protección adicional después de que un usuario acepta el mensaje de Workspace Trust».

En los últimos meses, los actores de amenazas norcoreanos también han estado participando en una campaña coordinada de malware dirigida a profesionales de las criptomonedas a través de ingeniería social de LinkedIn, empresas de capital de riesgo falsas y enlaces de videoconferencias fraudulentos. Los recursos compartidos de actividad se superponen con los grupos rastreados como GhostCall y UNC1069.

«La cadena de ataque culmina en una página CAPTCHA falsa estilo ClickFix que engaña a las víctimas para que ejecuten comandos inyectados en el portapapeles en su Terminal», Moonlock Lab de MacPaw. dicho. «La campaña es multiplataforma por diseño y ofrece cargas útiles personalizadas tanto para macOS como para Windows».

Los hallazgos se producen cuando el Departamento de Justicia de EE. UU. (DoJ) anunciado la sentencia de tres hombres, Audricus Phagnasay, de 25 años, Jason Salazar, de 30, y Alexander Paul Travis, de 35, por su papel en la promoción del plan fraudulento de trabajadores de tecnología de la información (TI) de Corea del Norte, en violación de las sanciones internacionales. Los tres individuos se declararon culpables previamente en noviembre de 2025.

Phagnasay y Salazar fueron sentenciados a tres años de libertad condicional y una multa de 2.000 dólares. También se les ordenó renunciar a las ganancias ilícitas obtenidas al participar en la conspiración de fraude electrónico. Travis fue sentenciado a un año de prisión y se le ordenó perder 193.265 dólares, la cantidad ganada por los norcoreanos al usar su identidad.

«Estos hombres prácticamente dieron las llaves del reino en línea a probables trabajadores norcoreanos de tecnología en el extranjero que buscaban recaudar ingresos ilícitos para el gobierno de Corea del Norte, todo a cambio de lo que les parecía dinero fácil», dijo en un comunicado Margaret Heap, fiscal estadounidense para el Distrito Sur de Georgia.

La semana pasada, Flare e IBM X-Force publicaron una descripción detallada del trabajador de TI operación y su estructura internaal tiempo que destaca cómo los trabajadores de TI asisten a prestigiosas universidades en Corea del Norte y pasan por un riguroso proceso de entrevistas antes de unirse al plan.

Son «considerados miembros de élite de la sociedad norcoreana y se han convertido en una parte indispensable de los objetivos estratégicos generales del gobierno norcoreano», señalaron las empresas. «Estos objetivos incluyen, entre otros, generación de ingresos, actividad laboral remota, robo de información corporativa y patentada, extorsión y apoyo a otros grupos norcoreanos».

Veeam ha lanzado actualizaciones de seguridad para abordar múltiples vulnerabilidades críticas en su software Backup & Replication que, si se explotan con éxito, podrían resultar en la ejecución remota de código.

El vulnerabilidades son los siguientes –

• CVE-2026-21666 (Puntuación CVSS: 9,9): una vulnerabilidad que permite a un usuario de dominio autenticado realizar la ejecución remota de código en Backup Server.
• CVE-2026-21667 (Puntuación CVSS: 9,9): una vulnerabilidad que permite a un usuario de dominio autenticado realizar la ejecución remota de código en Backup Server.
• CVE-2026-21668 (Puntuación CVSS: 8,8): una vulnerabilidad que permite a un usuario de dominio autenticado evitar restricciones y manipular archivos arbitrarios en un repositorio de respaldo.
• CVE-2026-21672 (Puntuación CVSS: 8,8): una vulnerabilidad que permite la escalada de privilegios locales en servidores Veeam Backup & Replication basados ​​en Windows.
• CVE-2026-21708 (Puntuación CVSS: 9,9): una vulnerabilidad que permite que un visor de copia de seguridad realice la ejecución remota de código como usuario de postgres.

Las deficiencias, que afectan a Veeam Backup & Replication 12.3.2.4165 y a todas las versiones anteriores 12, se abordaron en versión 12.3.2.4465. CVE-2026-21672 y CVE-2026-21708 también se han corregido en Copia de seguridad y replicación 13.0.1.2067junto con dos fallos de seguridad más críticos –

• CVE-2026-21669 (Puntuación CVSS: 9,9): una vulnerabilidad que permite a un usuario de dominio autenticado realizar la ejecución remota de código en Backup Server.
• CVE-2026-21671 (Puntuación CVSS: 9.1): una vulnerabilidad que permite a un usuario autenticado con la función de administrador de respaldo realizar la ejecución remota de código en implementaciones de alta disponibilidad (HA) de Veeam Backup & Replication.

«Es importante tener en cuenta que una vez que se revela una vulnerabilidad y su parche asociado, los atacantes probablemente intentarán aplicar ingeniería inversa al parche para explotar implementaciones sin parches del software Veeam», dijo la compañía en su aviso.

Dado que las vulnerabilidades en el software Veeam han sido explotadas repetidamente por actores de amenazas para llevar a cabo ataques de ransomware en el pasado, es esencial que los usuarios actualicen sus instancias a la última versión para protegerse contra cualquier amenaza potencial.

Investigadores de ciberseguridad han revelado detalles de dos fallas de seguridad ahora parcheadas en la plataforma de automatización de flujo de trabajo n8n, incluidos dos errores críticos que podrían resultar en la ejecución de comandos arbitrarios.

Las vulnerabilidades se enumeran a continuación:

• CVE-2026-27577 (Puntuación CVSS: 9,4) – Escape de la zona de pruebas de expresión que conduce a la ejecución remota de código (RCE)
• CVE-2026-27493 (Puntuación CVSS: 9,5) – Evaluación de expresiones no autenticadas a través de los nodos de formulario de n8n

«CVE-2026-27577 es un escape de espacio aislado en el compilador de expresiones: un caso faltante en la reescritura de AST permite que el proceso se escape sin transformar, dando a cualquier expresión autenticada un RCE completo», dijo Eilon Cohen, investigador de Pillar Security, quien descubrió e informó los problemas, dicho en un informe compartido con The Hacker News.

La empresa de ciberseguridad describió CVE-2026-27493 como un «error de doble evaluación» en los nodos de formulario de n8n del que se podría abusar para la inyección de expresiones aprovechando el hecho de que los puntos finales del formulario son públicos por diseño y no requieren autenticación ni una cuenta de n8n.

Todo lo que se necesita para una explotación exitosa es aprovechar un formulario público «Contáctenos» para ejecutar comandos de shell arbitrarios simplemente proporcionando una carga útil como entrada en el campo Nombre.

En un aviso publicado a finales del mes pasado, n8n dijo que CVE-2026-27577 podría ser utilizado como arma por un usuario autenticado con permiso para crear o modificar flujos de trabajo para desencadenar la ejecución involuntaria de comandos del sistema en el host que ejecuta n8n a través de expresiones diseñadas en los parámetros del flujo de trabajo.

N8n también señaló que CVE-2026-27493, cuando se encadena con una expresión de escape de espacio aislado como CVE-2026-27577, podría «escalar a la ejecución remota de código en el host n8n». Ambas vulnerabilidades afectan las implementaciones autohospedadas y en la nube de n8n.

• < 1.123.22, >= 2.0.0 < 2.9.3 y >= 2.10.0 < 2.10.1 – Corregido en las versiones 2.10.1, 2.9.3 y 1.123.22

Si el parche inmediato de CVE-2026-27577 no es una opción, se recomienda a los usuarios que limiten la creación de flujos de trabajo y los permisos de edición a usuarios de plena confianza e implementen n8n en un entorno reforzado con privilegios de sistema operativo y acceso a la red restringidos.

En cuanto a CVE-2026-27493, n8n recomienda las siguientes mitigaciones:

• Revise el uso de nodos de formulario manualmente para conocer las condiciones previas mencionadas anteriormente.
• Deshabilite el nodo Formulario agregando n8n-nodes-base.form a la variable de entorno NODES_EXCLUDE.
• Deshabilite el nodo Activador de formulario agregando n8n-nodes-base.formTrigger a la variable de entorno NODES_EXCLUDE.

«Estas soluciones no solucionan completamente el riesgo y sólo deben usarse como medidas de mitigación a corto plazo», advirtieron quienes los mantuvieron.

Pillar Security dijo que un atacante podría aprovechar estas fallas para leer la variable de entorno N8N_ENCRYPTION_KEY y usarla para descifrar cada credencial almacenada en la base de datos de n8n, incluidas las claves de AWS, las contraseñas de la base de datos, los tokens de OAuth y las claves de API.

Las versiones 2.10.1, 2.9.3 y 1.123.22 de N8n también resuelven dos vulnerabilidades críticas más de las que también se podría abusar para lograr la ejecución de código arbitrario:

• CVE-2026-27495 (Puntuación CVSS: 9,4): un usuario autenticado con permiso para crear o modificar flujos de trabajo podría aprovechar una vulnerabilidad de inyección de código en el entorno limitado de JavaScript Task Runner para ejecutar código arbitrario fuera de los límites del entorno limitado.
• CVE-2026-27497 (Puntuación CVSS: 9,4): un usuario autenticado con permiso para crear o modificar flujos de trabajo podría aprovechar el modo de consulta SQL del nodo Merge para ejecutar código arbitrario y escribir archivos arbitrarios en el servidor n8n.

Además de limitar los permisos de creación y edición del flujo de trabajo a usuarios confiables, n8n ha descrito las siguientes soluciones para cada falla:

• CVE-2026-27495 – Utilice el modo de corredor externo (N8N_RUNNERS_MODE=externo) para limitar el radio de explosión.
• CVE-2026-27497 – Deshabilite el nodo Merge agregando n8n-nodes-base.merge a la variable de entorno NODES_EXCLUDE.

Si bien n8n no menciona ninguna de estas vulnerabilidades que se estén explotando en la naturaleza, se recomienda a los usuarios que mantengan sus instalaciones actualizadas para una protección óptima.

Dos extensiones de Google Chrome se han vuelto maliciosas tras lo que parece ser un caso de transferencia de propiedadofreciendo a los atacantes una forma de enviar malware a clientes posteriores, inyectar código arbitrario y recopilar datos confidenciales.

Las extensiones en cuestión, ambas originalmente asociadas con un desarrollador llamado «akshayanuonline@gmail.com» (BuildMelon), se enumeran a continuación:

• QuickLens – Pantalla de búsqueda con Google Lens (ID: kdenlnncndfnhkognokgfpabgkgehodd) – 7000 usuarios
• ShotBird: desplazamiento de capturas de pantalla, imágenes de tweets y editor (ID: gengfhhkjekmlejbhmmopegofnoifnjp) – 800 usuarios

Si bien QuickLens ya no está disponible para descargar desde Chrome Web Store, ShotBird permanece accesible al momento de escribir este artículo. ShotBird fue lanzado originalmente en noviembre de 2024, con su desarrollador, Akshay Anu S (@AkshayAnuOnline), reclamando en X que la extensión es adecuada para «crear imágenes profesionales tipo estudio» y que todo el procesamiento se realiza localmente.

De acuerdo a investigación Publicado por monxresearch-sec, el complemento del navegador recibió una marca de «Destacado» en enero de 2025, antes de pasarlo a un desarrollador diferente («loraprice198865@gmail.com») en algún momento del mes pasado.

De manera similar, QuickLens fue puesto a la venta en ExtensionHub el 11 de octubre de 2025 por «akshayanuonline@gmail.com» apenas dos días después de su publicación, John Tuckner de Anexo Security. dicho. El 1 de febrero de 2026, el propietario de la extensión cambió a «support@doodlebuggle.top» en la página de listado de Chrome Web Store.

La actualización maliciosa introducida a QuickLens el 17 de febrero de 2026 mantuvo la funcionalidad original pero introdujo capacidades para eliminar encabezados de seguridad (por ejemplo, X-Frame-Options) de cada respuesta HTTP, lo que permite que scripts maliciosos inyectados en una página web realicen solicitudes arbitrarias a otros dominios, omitiendo la Política de seguridad de contenido (CSP) protecciones.

Además, la extensión contenía código para tomar huellas digitales del país del usuario, detectar el navegador y el sistema operativo, y sondea un servidor externo cada cinco minutos para recibir JavaScript, que se almacena en el almacenamiento local del navegador y se ejecuta en cada carga de página agregando un GIF oculto de 1×1. elemento y estableciendo la cadena JavaScript como su atributo «onload». Esto, a su vez, hace que el código malicioso se ejecute una vez cargada la imagen.

«El código malicioso real nunca aparece en los archivos fuente de la extensión», explicó Tuckner. «El análisis estático muestra una función que crea elementos de imagen. Eso es todo. Las cargas útiles se entregan desde el C2 y se almacenan en el almacenamiento local; sólo existen en tiempo de ejecución».

Un análisis similar de la extensión ShotBird realizado por monxresearch-sec ha descubierto el uso de devoluciones de llamada directas para entregar código JavaScript en lugar de crear una imagen de 1×1 píxeles para activar la ejecución. El JavaScript está diseñado para mostrar un mensaje falso de actualización del navegador Google Chrome, haciendo clic en qué usuarios reciben una página estilo ClickFix para abrir el cuadro de diálogo Ejecutar de Windows, iniciar «cmd.exe» y pegar un comando de PowerShell, lo que resulta en la descarga de un ejecutable llamado «googleupdate.exe» en los hosts de Windows.

Luego, el malware procede a enlazar la entrada, el área de texto, seleccionar elementos HTML y capturar cualquier dato ingresado por la víctima. Esto podría incluir credenciales, PIN, detalles de tarjetas, tokens e identificadores gubernamentales. También está equipado para desviar datos almacenados en el navegador web Chrome, como contraseñas, historial de navegación e información relacionada con extensiones.

«Esta es una cadena de abuso de dos etapas: control remoto del navegador del lado de la extensión más pivote de ejecución a nivel de host a través de actualizaciones falsas», dijo el investigador. «El resultado es una exposición de datos de alto riesgo en el navegador y una ejecución confirmada de secuencias de comandos del lado del host en al menos un sistema afectado. En términos prácticos, esto eleva el impacto del abuso exclusivo del navegador a un posible robo de credenciales y un compromiso más amplio de los terminales».

Se evalúa que el mismo actor de amenazas está detrás del compromiso de las dos extensiones y está operando dichos complementos en paralelo, dado el uso de un patrón de arquitectura de comando y control (C2) idéntico, los señuelos ClickFix inyectados en el contexto de navegación y la transferencia de propiedad como vector de infección.

Curiosamente, el desarrollador de la extensión original ha publicado varios otro extensiones bajo su nombre en Chrome Web Store y todos ellos han recibido una insignia de Destacados. El desarrollador también tiene un cuenta en ExtensionHubaunque actualmente no hay extensiones a la venta. Es más, el individuo tiene atentado para vender dominios como «AIInfraStack[.]com» por $2500, indicando que el «dominio de palabras clave fuertes» es «relevante para [sic] Ecosistema de IA en rápido crecimiento».

«Este es, en pocas palabras, el problema de la extensión de la cadena de suministro», dijo Anexo Security. «Una extensión funcional ‘destacada’, revisada, cambia de manos y el nuevo propietario envía una actualización armada a cada usuario existente».

La divulgación se produce cuando Microsoft advirtió sobre las extensiones maliciosas del navegador basadas en Chromium que se hacen pasar por herramientas legítimas de asistencia de inteligencia artificial para recopilar historiales de chat de LLM y datos de navegación.

«A escala, esta actividad convierte una extensión de productividad aparentemente confiable en un mecanismo de recopilación de datos persistente integrado en el uso cotidiano del navegador empresarial, lo que destaca el creciente riesgo que representan las extensiones del navegador en entornos corporativos», dijo el equipo de investigación de seguridad de Microsoft Defender. dicho.

En las últimas semanas, los cazadores de amenazas también han detectado una extensión maliciosa de Chrome llamada lmΤoken Chromophore (ID: bbhaganppipihlhjgaaeeeefbaoihcgi) que se hace pasar por imToken mientras se anuncia como un visualizador de colores hexadecimales en Chrome Web Store para robar frases iniciales de criptomonedas mediante redirecciones de phishing.

«En lugar de proporcionar la herramienta inofensiva que promete, la extensión abre automáticamente un sitio de phishing controlado por un actor de amenazas tan pronto como se instala, y nuevamente cada vez que el usuario hace clic en él», dijo el investigador de Socket Kirill Boychenko. dicho.

«Durante la instalación, la extensión obtiene una URL de destino desde un punto final JSONKeeper codificado (jsonkeeper[.]com/b/KUWNE) y abre una pestaña que apunta a un dominio similar al estilo Chrome Web Store, chromewedbstorre-detail-extension[.]com. La página de inicio se hace pasar por imToken utilizando homoglifos de escritura mixta y canaliza a las víctimas hacia flujos de captura de credenciales que solicitan una frase inicial de 12 o 24 palabras o una clave privada».

Otras extensiones maliciosas marcado por Palo Alto Networks Se ha descubierto que la Unidad 42 de Networks participa en secuestro de afiliados y exfiltración de datos, uno de ellos: Chrome MCP Server – AI Browser Control (ID: fpeabamapgecnidibdmjoepaiehokgda) – servicio como un troyano de acceso remoto completo mientras se hace pasar por una herramienta de automatización de inteligencia artificial que utiliza el protocolo de contexto modelo (MCP).

Los investigadores de Unit 42 también han revelado que tres extensiones populares de Chrome, a saber, Urban VPN Proxy, Urban Browser Guard y Urban Ad Blocker, que fueron identificadas por Koi como extractoras de conversaciones de IA de varios chatbots como OpenAI ChatGPT, Anthropic Claude, Microsoft Copilot, DeepSeek, Google Gemini, xAI Grok, Meta AI y Perplexity, han regresado a Chrome Web Store.

«Tras la divulgación pública de la campaña el 15 de diciembre de 2025, el desarrollador actualizó las versiones benignas en enero de 2026, probablemente en respuesta al informe», afirman los investigadores Qinge Xie, Nabeel Mohamed, Shresta Bellary Seetharam, Fang Liu, Billy Melicher y Alex Starov. dicho.

Además, la empresa de ciberseguridad identificó una extensión denominada Palette Creator (ID: iofmialeiddolmdlkbheakaefefkjokp), que cuenta con más de 100.000 usuarios y cuya versión anterior se comunicaba con conocidos indicadores de red asociados a una campaña denominada RedDirection para realizar secuestro de navegador.

Eso no es todo. Una nueva campaña que comprende Se ha descubierto que más de 30.000 dominios inician una cadena de redireccionamiento para dirigir el tráfico a una página de destino («algoritmo ansible[.]com») que se utiliza para distribuir una extensión de Chrome llamada OmniBar AI Chat and Search (ID: ajfanjhcdgaohcbphpaceglgpgaaohod).

La extensión utiliza la API chrome_settings_overrides para modificar la configuración de Chrome y configurar la página de inicio del navegador en omnibar.[.]ai, además de convertir el proveedor de búsqueda predeterminado en una URL personalizada: «go.omnibar[.]ai/?api=omni&sub1=omnibar.ai&q={searchTerms}​» y realizar un seguimiento de las consultas a través de un parámetro API.

Se cree que el objetivo final es realizar un secuestro de navegador como parte de lo que parece ser un plan de marketing de afiliación a gran escala, dijo Unit 42, añadiendo que identificó otras dos extensiones que exhiben el mismo comportamiento de secuestro de navegador consistente con OmniBar a través de la anulación de la página de inicio y la interceptación de búsqueda.

• Herramienta de algoritmo de salida de IA (ID: eeoonfhmbjlmienmmbgapfloddpmoalh)
• Extensión oficial de Serpey.com (ID: hokdpdlchkgcenfpiibjjfkfmleoknkp)

Una investigación más profunda de tres extensiones más publicadas por el mismo desarrollador («jon@status77.com» y Status 77) ha descubierto que dos de ellas rastrean la actividad de navegación del usuario para inyectar marcadores de afiliados, mientras que una tercera extrae y transmite hilos de comentarios de Reddit del usuario a un punto final API controlado por el desarrollador.

• Care.Sale (ID: jaioobipjdejpeckgojiojjahmkiaihp)
• Extensión oficial de cupones gigantes (ID: akdajpomgjgldidenledjjiemgkjcchc)
• Consenso: resumen de comentarios de Reddit (ID: mkkfklcadlnkhgapjeejemflhamcdjld)

Se recomienda a los usuarios que hayan instalado cualquiera de las extensiones antes mencionadas que las eliminen de sus navegadores con efecto inmediato, eviten la carga lateral o la instalación de extensiones de productividad no verificadas y auditen los navegadores en busca de extensiones desconocidas y las desinstalen.

El actor de amenazas detrás de la campaña asistida por inteligencia artificial (IA) recientemente revelada dirigida a los dispositivos Fortinet FortiGate aprovechó una plataforma de prueba de seguridad nativa de IA de código abierto llamada CyberStrikeAI para ejecutar los ataques.

Los nuevos hallazgos provienen del equipo Cymru, que detectó su uso tras un análisis de la dirección IP («212.11.64[.]250») que fue utilizado por el presunto actor de amenazas de habla rusa para realizar escaneos masivos automatizados en busca de dispositivos vulnerables.

CyberStrikeAI es una «herramienta de seguridad ofensiva (OST) de inteligencia artificial (IA) de código abierto desarrollada por un desarrollador con sede en China que consideramos que tiene algunos vínculos con el gobierno chino», dijo el investigador de seguridad Will Thomas (alias @BushidoToken) dicho.

Los detalles de la actividad impulsada por la IA salieron a la luz el mes pasado cuando Amazon Threat Intelligence dijo que detectó que un atacante desconocido apuntaba sistemáticamente a dispositivos FortiGate utilizando servicios de inteligencia artificial (IA) generativa como Anthropic Claude y DeepSeek, comprometiendo más de 600 dispositivos en 55 países.

Según el descripción En su repositorio de GitHub, CyberStrikeAI está construido en Go e integra más de 100 herramientas de seguridad para permitir el descubrimiento de vulnerabilidades, el análisis de la cadena de ataques, la recuperación de conocimientos y la visualización de resultados. Lo mantiene un desarrollador chino que utiliza el alias en línea Ed1s0nZ.

Team Cymru dijo que observó 21 direcciones IP únicas ejecutando CyberStrikeAI entre el 20 de enero y el 26 de febrero de 2026, con servidores alojados principalmente en China, Singapur y Hong Kong. Se han detectado servidores adicionales relacionados con la herramienta en EE. UU., Japón y Suiza.

La cuenta Ed1s0nZ, además de albergar CyberStrikeAI, ha publicado varias otras herramientas que demuestran su interés en la explotación y el jailbreak de los modelos de IA.

• herramienta de marca de agua, para agregar marcas de agua digitales invisibles a los documentos.
• banana_blackmail, un ransomware basado en Golang,
• PrivHunterAI, una herramienta basada en Golang que utiliza modelos Kimi, DeepSeek y GPT para detectar vulnerabilidades de escalada de privilegios.
• ChatGPTJailbreak, que contiene un archivo README.md con indicaciones para hacer jailbreak a OpenAI ChatGPT engañándolo para que ingrese al modo Do Anything Now (DAN) o pidiéndole que actúe como ChatGPT con el modo de desarrollador habilitado.
• InfiltrateX, un escáner basado en Golang para detectar vulnerabilidades de escalada de privilegios.
• VigilantEye, una herramienta basada en Golang que monitorea la divulgación de información confidencial, como números de teléfono y números de tarjetas de identificación, en bases de datos. Está configurado para enviar una alerta a través de un bot de WeChat Work si se detecta una posible violación de datos.

«Además, las actividades de Ed1s0nZ en GitHub indican que interactúan con organizaciones que apoyan operaciones cibernéticas potencialmente patrocinadas por el gobierno chino», dijo Thomas. «Esto incluye empresas del sector privado chino que tienen vínculos conocidos con el Ministerio de Seguridad del Estado (MSS) chino».

Una de esas empresas que el desarrollador tiene interactuado con es Conocidosec 404un proveedor de seguridad chino que sufrió una fuga importante de más de 12.000 documentos internos a finales del año pasado, exponiendo los datos de los empleados de la empresa, la clientela gubernamental, las herramientas de piratería, grandes volúmenes de datos robados, como registros de llamadas de Corea del Sur e información relacionada con las organizaciones de infraestructura crítica de Taiwán, y el funcionamiento interno de las operaciones cibernéticas en curso dirigidas a otros países.

«Aparentemente, KnownSec parecía ser simplemente otra empresa de seguridad, pero esto es sólo una verdad a medias», DomainTools anotado en un análisis publicado en enero, describiéndolo como un «contratista cibernético alineado con el estado» capaz de apoyar la seguridad nacional, la inteligencia y los objetivos militares de China.

«En realidad, […] tiene una organización en la sombra que trabaja para el EPL, el MSS y los órganos del estado de seguridad chino. Esta filtración expone a una empresa que opera mucho más allá del papel de un proveedor típico de ciberseguridad. Herramientas como ZoomEye y Critical Infrastructure Target Library brindan a China un sistema de reconocimiento global que cataloga millones de IP, dominios y organizaciones extranjeras mapeadas por sector, geografía y valor estratégico».

También se ha observado que Ed1s0nZ realiza modificaciones activas en un archivo README.md ubicado en un repositorio del mismo nombre. eliminando referencias a ellos haber sido honrados con el Premio de Contribución de Nivel 2 a la Base de Datos Nacional de Vulnerabilidad de Seguridad de la Información de China (CNNVD). El desarrollador también ha afirmado que «todo lo que se comparte aquí es puramente para investigación y aprendizaje».

De acuerdo a investigación Publicado por Bitsight el mes pasado, China mantiene dos bases de datos de vulnerabilidades diferentes: CNNVD y la Base de datos nacional de vulnerabilidades de China (CNVD). Mientras que la CNNVD está supervisada por el Ministerio de Seguridad del Estado, la CNVD está controlada por la CNCERT. Los hallazgos anteriores de Recorded Future han reveló que CNNVD tarda más en publicar vulnerabilidades con puntuaciones CVSS más altas que vulnerabilidades con puntuaciones más bajas.

«El reciente intento del desarrollador de eliminar las referencias al CNNVD de su perfil de GitHub apunta a un esfuerzo activo para ocultar estos vínculos estatales, probablemente para proteger la viabilidad operativa de la herramienta a medida que crece su popularidad», dijo Thomas. «La adopción de CyberStrikeAI está a punto de acelerarse, lo que representa una evolución preocupante en la proliferación de herramientas de seguridad ofensivas mejoradas por IA».