Han surgido detalles sobre una vulnerabilidad de seguridad ahora parcheada en un kit de desarrollo de software (SDK) de Android de terceros ampliamente utilizado llamado SDK de Engage Lab eso podría haber puesto en riesgo a millones de usuarios de billeteras de criptomonedas.

«Esta falla permite que las aplicaciones en el mismo dispositivo eviten la zona de pruebas de seguridad de Android y obtengan acceso no autorizado a datos privados», dijo el equipo de investigación de seguridad de Microsoft Defender. dicho en un informe publicado hoy.

EngageLab SDK ofrece una servicio de notificaciones pushque, según su sitio web, está diseñado para entregar «notificaciones oportunas» basadas en el comportamiento del usuario ya rastreado por los desarrolladores. Una vez integrado en una aplicación, el SDK ofrece una forma de enviar notificaciones personalizadas e impulsar la interacción en tiempo real.

El gigante tecnológico dijo que una cantidad significativa de aplicaciones que utilizan el SDK son parte del ecosistema de criptomonedas y billeteras digitales, y que las aplicaciones de billetera afectadas representaron más de 30 millones de instalaciones. Cuando se incluyen aplicaciones que no son de billetera creadas con el mismo SDK, el recuento de instalaciones supera los 50 millones.

Microsoft no reveló los nombres de las aplicaciones, pero señaló que todas las aplicaciones detectadas que utilizan versiones vulnerables del SDK se eliminaron de Google Play Store. Tras la divulgación responsable en abril de 2025, EngageLab lanzó versión 5.2.1 en noviembre de 2025 para abordar la vulnerabilidad.

El problema, identificado en la versión 4.5.4, se ha descrito como una vulnerabilidad de redirección de intención. Las intenciones en Android se refieren a objetos de mensajeria que se utilizan para solicitar una acción de otro componente de la aplicación.

La redirección de intención ocurre cuando el contenido de una intención que envía una aplicación vulnerable se manipula aprovechando su contexto confiable (es decir, permisos) para obtener acceso no autorizado a componentes protegidos, exponer datos confidenciales o escalar privilegios dentro del entorno de Android.

Un atacante podría aprovechar esta vulnerabilidad mediante una aplicación maliciosa instalada en el dispositivo a través de algún otro medio para acceder a directorios internos asociados con una aplicación que tenga el SDK integrado, lo que resultaría en un acceso no autorizado a datos confidenciales.

No hay evidencia de que la vulnerabilidad haya sido explotada alguna vez en un contexto malicioso. Dicho esto, se recomienda a los desarrolladores que integran el SDK que actualicen a la última versión lo antes posible, especialmente teniendo en cuenta que incluso las fallas triviales en las bibliotecas ascendentes pueden tener impactos en cascada y afectar a millones de dispositivos.

«Este caso muestra cómo las debilidades de los SDK de terceros pueden tener implicaciones de seguridad a gran escala, especialmente en sectores de alto valor como la gestión de activos digitales», dijo Microsoft. «Las aplicaciones dependen cada vez más de SDK de terceros, lo que crea dependencias grandes y a menudo opacas en la cadena de suministro. Estos riesgos aumentan cuando las integraciones exponen componentes exportados o se basan en suposiciones de confianza que no se validan a través de los límites de las aplicaciones».

La reciente operación dirigida por el FBI para expulsar a los piratas informáticos del gobierno ruso de los enrutadores buscaba derribar una campaña de ciberespionaje especialmente insidiosa y amenazadoramente contagiosa, dijo a CyberScoop el principal funcionario cibernético de la oficina, Brett Leatherman.

Los investigadores, junto con agencias gubernamentales estadounidenses y extranjeras, revelaron detalles de la campaña esta semana mediante la cual APT28, también conocido como Forest Blizzard o Fancy Bear, y atribuido a la Dirección Principal de Inteligencia del Estado Mayor (GRU) de Rusia, comprometió más de 18.000 enrutadores TP-Link y se infiltró en más de 200 organizaciones en todo el mundo.

El compromiso de los enrutadores utilizados en oficinas pequeñas y domésticas provocó la operación de eliminación, Operación Mascarada, que implicó enviar comandos a los enrutadores para restablecer la configuración del Sistema de nombres de dominio (DNS) para evitar que los piratas informáticos explotaran ese acceso.

«Lo que es único para mí en este caso es que cuando cambias la configuración de Internet en un enrutador como lo hicieron ellos, se propaga a todos los dispositivos de tu casa», dijo Leatherman, subdirector de la división cibernética del FBI. «Todos esos dispositivos ahora, una vez que están conectados a esa Wi-Fi, obtienen direcciones IP maliciosas a través de las cuales luego enrutan su tráfico, y esto le da al GRU ruso un tremendo acceso al contenido ofrecido a través de un enrutador».

«La dificultad de un ataque como éste es que es prácticamente invisible para los usuarios finales», afirmó. «Los actores no estaban implementando malware como vemos a menudo. Entonces, cuando piensas en la detección de puntos finales en tu computadora o algo así, no ven esa actividad porque no es necesario. Están usando las herramientas en el enrutador para capturar el tráfico de Internet y extenderlo por toda la casa, y las herramientas tradicionales que detectan esa actividad». [are] simplemente no está allí”.

La operación de interrupción está en línea con la estrategia cibernética que la administración Trump publicó el mes pasado, con su énfasis en atacar a los piratas informáticos maliciosos y proteger la infraestructura crítica, dijo Leatherman.

El FBI comprende su papel en la implementación de esa estrategia, dijo, y trabajó con la Oficina del Director Nacional Cibernético y otras agencias para desarrollarla. La Casa Blanca ha mantenido al público y colina del capitolio Sin embargo, no sabemos nada sobre la implementación de la estrategia.

«Tenemos un largo historial de aprovechar autoridades y capacidades únicas para contrarrestar a estos actores, imponer costos y, a través de las 56 oficinas de campo, defender realmente la infraestructura crítica», dijo Leatherman. «Eso es realmente parte de nuestro ADN. Y por eso queremos asegurarnos de continuar alineándolo de la manera más escalable y ágil que podamos, para alinearnos con las prioridades de la estrategia misma».

Leatherman rastreó cómo la Operación Mascarada, cuyo éxito atribuyó a las oficinas del FBI en Boston y a las asociaciones con el sector privado y gobiernos extranjeros, encaja en una serie de perturbaciones dirigidas a los piratas informáticos del gobierno ruso que se remontan a 2018.

Fue entonces cuando la oficina atacó la botnet VPNFilter al apoderarse de un dominio utilizado para comunicarse con enrutadores infectados. En 2022, el FBI se enfrentó a la botnet Cyclops Blink y, en 2024, la Operación Dying Ember fue tras otra red de robots.

«En el transcurso de esas cuatro operaciones, mientras el adversario continuó evolucionando en su oficio, nosotros también», dijo Leatherman. «Pasamos de simplemente bloquear dominios a tomar medidas que los bloquean en la puerta de estos enrutadores, les quitamos cualquier capacidad a esos enrutadores para que ya no pudieran recopilar información confidencial y luego les prohibimos volver a ingresar».

Los investigadores de ciberseguridad han detectado una nueva variante de malware llamada Caoseso es capaz de atacar implementaciones en la nube mal configuradas, lo que marca una expansión de la infraestructura de destino de la botnet.

«El malware del caos se dirige cada vez más a implementaciones en la nube mal configuradas, expandiéndose más allá de su enfoque tradicional en enrutadores y dispositivos de borde», Darktrace dicho en un nuevo informe.

El caos fue documentado por primera vez por Lumen Black Lotus Labs en septiembre de 2022, y lo describió como un malware multiplataforma capaz de apuntar a entornos Windows y Linux para ejecutar comandos de shell remotos, colocar módulos adicionales, propagarse a otros hosts mediante claves SSH de fuerza bruta, extraer criptomonedas y lanzar ataques distribuidos de denegación de servicio (DDoS) a través de HTTP, TLS, TCP, UDP y WebSocket.

Se considera que el malware es una evolución de otro malware DDoS conocido como Kaiji que ha detectado instancias Docker mal configuradas. Actualmente no se sabe quién está detrás de la operación, pero la presencia de caracteres en idioma chino y el uso de infraestructura con sede en China sugieren que el actor de la amenaza podría ser de origen chino.

Darktrace dijo que identificó la nueva variante dirigida a su red honeypot el mes pasado, una instancia de Hadoop deliberadamente mal configurada que permite la ejecución remota de código en el servicio. En el ataque detectado por la empresa de ciberseguridad, la intrusión comenzó con una solicitud HTTP al despliegue de Hadoop para crear una nueva aplicación.

La aplicación, por su parte, incorporó una secuencia de comandos de shell para recuperar un binario del agente Chaos de un servidor controlado por un atacante («pan.tenire[.]com»), establecer permisos para permitir a todos los usuarios leerlo, modificarlo o ejecutarlo («chmod 777») y luego ejecutar el binario y eliminar el artefacto del disco para minimizar el rastro forense.

Un aspecto interesante del ataque es que el dominio se utilizó anteriormente en relación con una campaña de phishing por correo electrónico llevada a cabo por el grupo chino de cibercrimen Silver Fox para entregar documentos señuelo y malware ValleyRAT. La campaña recibió el nombre en clave. Operation Silk Lure de Seqrite Labs en octubre de 2025.

El binario ELF de 64 bits es una versión reestructurada y actualizada de Chaos que reelabora varias de sus funciones, manteniendo intacta la mayoría de sus funciones principales. Sin embargo, uno de los cambios más significativos se refiere a la eliminación de funciones que permitían propagarse a través de SSH y explotar las vulnerabilidades del enrutador.

En su lugar se encuentra una nueva característica de proxy SOCKS que permite que el sistema comprometido se utilice para transportar tráfico, ocultando así los verdaderos orígenes de la actividad maliciosa y dificultando que los defensores detecten y bloqueen el ataque.

«Además, también se han cambiado varias funciones que anteriormente se creía que eran heredadas de Kaiji, lo que sugiere que los actores de la amenaza reescribieron el malware o lo refactorizaron ampliamente», añadió Darktrace.

La adición de la función de proxy es probablemente una señal de que los actores de amenazas detrás del malware buscan monetizar aún más la botnet más allá de la minería de criptomonedas y el alquiler de DDoS, y mantenerse al día con sus competidores en el mercado del cibercrimen ofreciendo una gama diversa de servicios ilícitos.

«Si bien Chaos no es un malware nuevo, su continua evolución pone de relieve la dedicación de los ciberdelincuentes para expandir sus botnets y mejorar las capacidades a su disposición», concluyó Darktrace. «El reciente cambio en botnets como AISURU y Chaos para incluir servicios proxy como características principales demuestra que la denegación de servicio ya no es el único riesgo que estos botnets representan para las organizaciones y sus equipos de seguridad».

Fortinet lanzó una actualización de software de emergencia durante el fin de semana para abordar una vulnerabilidad explotada activamente en FortiClient EMS, una herramienta de administración de terminales para dispositivos de clientes.

La vulnerabilidad de día cero CVE-2026-35616 – tiene una calificación CVSS de 9,8 y se agregó a la Agencia de Seguridad de Infraestructura y Ciberseguridad catálogo de vulnerabilidades explotadas conocidas Lunes.

Fortinet dijo un sábado aviso de seguridad que ha visto la vulnerabilidad siendo explotada activamente en la naturaleza. La compañía emitió una revisión y planea lanzar una actualización de software más completa más adelante, aunque esa actualización aún no está disponible.

El proveedor de seguridad no dijo cuándo ocurrió el primer exploit conocido ni cuántas instancias ya se han visto afectadas.

Se observó por primera vez a atacantes desconocidos intentando explotar la vulnerabilidad el 31 de marzo, dijo a CyberScoop Benjamin Harris, fundador y director ejecutivo de watchTowr.

«Los intentos de explotación y las investigaciones fueron inicialmente limitados, lo que refleja el deseo típico de los atacantes de intentar evitar el uso de un día cero desde el descubrimiento y la observación», añadió. «A partir del 6 de abril, dada la atención y Fortinet emitiendo una revisión, la explotación ha aumentado, lo que indica un creciente interés de los atacantes y probablemente un objetivo más amplio».

Escaneos de Shadowserver encontrados casi 2.000 casos expuestos públicamente de FortiClient EMS el domingo. No está claro cuántas de esas instancias ejecutan versiones vulnerables del software.

El día cero recientemente descubierto comparte similitudes con CVE-2026-21643otro defecto no autenticado de FortiClient EMS que Fortinet revelado 6 de febrero. El vendedor y autoridades cibernéticas La semana pasada advirtió que CVE-2026-21643 había sido explotado en estado salvaje.

Los investigadores aún tienen que encontrar un vínculo significativo entre las vulnerabilidades o atribuir los ataques a actores de amenazas conocidos, pero ambos defectos fueron explotados activamente en un corto período de tiempo y ambos permiten a los atacantes ejecutar código de forma remota.

«Las soluciones de Fortinet son objetivos populares para los actores de amenazas en general, por lo que la explotación no es necesariamente sorprendente», dijo Caitlin Condon, vicepresidenta de investigación de seguridad de VulnCheck.

CISA ha añadido 10 defectos de Fortinet a su catálogo de vulnerabilidades explotadas conocidas desde principios de 2025.

Si bien no existe un parche completo para CVE-2026-35616, Harris le dio crédito a Fortinet por lanzar una revisión durante un fin de semana festivo, y agregó que refleja la urgencia con la que la compañía está tratando el asunto.

«El momento en el que se intensifica la explotación salvaje de este día cero probablemente no sea una coincidencia», afirmó. «Los atacantes han demostrado repetidamente que los fines de semana festivos son el mejor momento para actuar. Los equipos de seguridad están a la mitad de sus efectivos, los ingenieros de guardia están distraídos y la ventana entre el compromiso y la detección se extiende de horas a días. La Semana Santa, como cualquier otro día festivo, representa una oportunidad».

Un portavoz de Fortinet dijo que los esfuerzos de respuesta y remediación están en curso y que la compañía se está comunicando directamente con los clientes para asesorarlos sobre las acciones necesarias.

«El mejor momento para aplicar la revisión fue ayer», dijo Harris. «El segundo mejor momento es ahora».

Se ha observado que actores de amenazas probablemente asociados con la República Popular Democrática de Corea (RPDC) utilizan GitHub como infraestructura de comando y control (C2) en ataques de múltiples etapas dirigidos a organizaciones en Corea del Sur.

La cadena de ataque, por Laboratorios Fortinet FortiGuardinvolucra archivos de acceso directo de Windows (LNK) ofuscados que actúan como punto de partida para colocar un documento PDF señuelo y un script de PowerShell que prepara el escenario para la siguiente fase del ataque. Se considera que estos archivos LNK se distribuyen a través de correos electrónicos de phishing.

Tan pronto como se descargan las cargas útiles, a la víctima se le muestra el documento PDF, mientras que el script malicioso de PowerShell se ejecuta silenciosamente en segundo plano. El script de PowerShell realiza comprobaciones para resistir el análisis mediante la búsqueda de procesos en ejecución relacionados con máquinas virtuales, depuradores y herramientas forenses. Si se detecta alguno de esos procesos, el script finaliza inmediatamente.

De lo contrario, extrae un script de Visual Basic (VBScript) y configura la persistencia mediante una tarea programada que inicia la carga útil de PowerShell cada 30 minutos en una ventana oculta para evitar la detección. Esto garantiza que el script de PowerShell se ejecute automáticamente después de cada reinicio del sistema.

Luego, el script de PowerShell perfila el host comprometido, guarda el resultado en un archivo de registro y lo extrae a un repositorio de GitHub creado bajo la cuenta «motoralis» utilizando un token de acceso codificado. Algunas de las cuentas de GitHub creadas como parte de la campaña incluyen «God0808RAMA», «Pigresy80», «entire73», «pandora0009» y «brandonleeodd93-blip».

Luego, el script analiza un archivo específico en el mismo repositorio de GitHub para obtener módulos o instrucciones adicionales, lo que permite al operador utilizar como arma la confianza asociada con una plataforma como GitHub para integrarse y mantener un control persistente sobre el host infectado.

Fortinet dijo que las versiones anteriores de la campaña se basaban en archivos LNK para difundir familias de malware como Xeno RAT. Vale la pena señalar que el uso de GitHub C2 para distribuir Xeno RAT y su variante MoonPeak fue documentado por ENKI y Trellix el año pasado. Estos ataques fueron atribuidos a un grupo patrocinado por el Estado norcoreano conocido como Kimsuky.

«En lugar de depender de un complejo malware personalizado, el actor de amenazas utiliza herramientas nativas de Windows para su implementación, evasión y persistencia», dijo la investigadora de seguridad Cara Lin. «Al minimizar el uso de archivos PE caídos y aprovechar LolBins, el atacante puede apuntar a una audiencia amplia con una tasa de detección baja».

La divulgación llega como AhnLab detallado una cadena de infección similar basada en LNK de Kimsuky que, en última instancia, resulta en la implementación de una puerta trasera basada en Python.

Los archivos LNK, como antes, ejecutan un script de PowerShell y crean una carpeta oculta en la ruta «C:\windirr» para organizar las cargas útiles, incluido un PDF señuelo y otro archivo LNK que imita un documento de procesador de textos Hangul (HWP). También se implementan cargas útiles intermedias para configurar la persistencia e iniciar un script de PowerShell, que luego usa Dropbox como canal C2 para recuperar un script por lotes.

Luego, el archivo por lotes descarga dos fragmentos de archivos ZIP separados desde un servidor remoto («quickcon[.]store») y los combina para crear un único archivo y extrae de él un programador de tareas XML y una puerta trasera de Python. El programador de tareas se utiliza para iniciar el implante.

El malware basado en Python admite la capacidad de descargar cargas útiles adicionales y ejecutar comandos emitidos desde el servidor C2. Las instrucciones le permiten ejecutar scripts de shell, enumerar directorios, cargar/descargar/eliminar archivos y ejecutar archivos BAT, VBScript y EXE.

Los hallazgos también coinciden con el cambio de ScarCruft de las tradicionales cadenas de ataque basadas en LNK a un dropper basado en HWP OLE para entregar RokRAT, un troyano de acceso remoto utilizado exclusivamente por el grupo de hackers norcoreano, según S2W. Específicamente, el malware está incrustado como un objeto OLE dentro de un documento HWP y se ejecuta mediante carga lateral de DLL.

«A diferencia de cadenas de ataques anteriores que progresaron desde scripts BAT lanzados por LNK hasta shellcode, este caso confirma el uso de malware dropper y downloader recientemente desarrollado para entregar shellcode y la carga útil ROKRAT», dijo la compañía de seguridad de Corea del Sur. dicho.

Un juez federal condenó al fabricante de stalkerware pcTattleTale, que cerró después de una violación de datos, a liberación supervisada y una multa de 5.000 dólares.

Bryan Fleming se declaró culpable en enero de un cargo de fabricación, posesión o venta intencional de un dispositivo a sabiendas de que se utilizaría principalmente para la interceptación subrepticia de comunicaciones. El viernes, un juez dictó la sentencia de Fleming.

Fue la primera condena por stalkerware desde 2014, cuando el fabricante de StealthGenie se declaró culpable y tampoco cumplió condena en prisión, sino que recibió una condena. Multa de 500.000 dólares de la corte.

Según el acuerdo de culpabilidad de Fleming, su actividad incriminatoria comenzó ya en 2017, como propietario de Fleming Technologies LLC.

«El software del demandado permitió a los compradores monitorear de forma encubierta y remota las actividades informáticas y del teléfono celular de la víctima, incluidos mensajes de texto, correos electrónicos, llamadas telefónicas, ubicación geográfica y navegación web», establece el acuerdo. «El acusado comenzó a anunciar directamente su software de espionaje a personas que querían espiar a sus cónyuges o parejas sin su conocimiento».

Continuó: «El software de espionaje del acusado creó de manera encubierta un video cada vez que se usaba el dispositivo de la víctima, que capturaba toda la actividad que ocurría en el dispositivo. La persona que monitoreaba el dispositivo podía iniciar sesión en un panel remoto y monitorear la actividad en el dispositivo de la víctima».

Un agente encubierto de Investigaciones de Seguridad Nacional, una división del Servicio de Inmigración y Control de Aduanas de EE. UU., se hizo pasar por un afiliado de marketing y cliente para comunicarse con Fleming, según un acusación 2022.

pcTattletale salió del negocio en 2024 tras sufrir una filtración de datos. Los investigadores han descubierto que las aplicaciones de stalkerware a menudo no protegen la información personal recopilada durante su uso.

Un abogado de Fleming no respondió de inmediato a una solicitud de comentarios el lunes por la mañana.

El senador Ron Wyden, demócrata por Oregón, advirtió al jefe de la Administración de la Seguridad Social, Frank Bisignano, que cualquier seguimiento de la orden ejecutiva del presidente Donald Trump que crea una nueva base de datos de votantes estadounidenses utilizando datos de la agencia sería visto por los demócratas como una elección consciente por parte de los funcionarios de la SSA de participar en una “descarada supresión de votantes”.

«Facilitar la directiva de Donald Trump de crear una base de datos de votantes defectuosa sería participar voluntariamente en una flagrante supresión de votantes antes de las consiguientes elecciones de mitad de período», escribió Wyden, el principal demócrata en el Comité de Finanzas del Senado, en un carta a Bisignano enviado el viernes.

El orden ejecutivaemitido el 31 de marzo, ordena al secretario de Seguridad Nacional, al director de los Servicios de Inmigración y Ciudadanía de EE.UU. y al comisionado de la Administración de la Seguridad Social que recopilen listas de votantes estadounidenses para cada estado, incluido su supuesto estatus de ciudadanía.

Para construir las listas, las agencias se basarían en la controvertida base de datos de Verificación Sistemática de Derechos de Extranjeros que el DHS ha estado construyendo bajo la administración Trump, así como en los registros federales de ciudadanía y naturalización del Seguro Social y.

Esas listas luego se transmitirían a los estados, la mayoría de los cuales ya han rechazado esfuerzos anteriores de la administración Trump para recopilar datos de votantes o dictar listas de registro de votantes. Otra sección de la orden ordenaría al director general de correos que desarrollara una lista similar, estado por estado, de votantes elegibles para votar por correo.

“La clara intención de esta orden ejecutiva es socavar el voto por correo y privar de sus derechos a los votantes elegibles”, escribió Wyden. «La SSA tiene el deber de garantizar que sus datos no se utilicen indebidamente como parte de este esfuerzo».

Wyden se hizo eco de numerosos funcionarios estatales y expertos electorales al calificar la orden ejecutiva de la administración Trump como una usurpación inconstitucional por parte del poder ejecutivo de las autoridades electorales que la Constitución de los Estados Unidos define claramente para el Congreso y los estados.

La orden ejecutiva de la Casa Blanca ya ha sido impugnada en demandas de funcionarios estatales y defensores del derecho al voto, y una orden ejecutiva anterior, menos ambiciosa, emitida el año pasado que intentaba hacer valer autoridades similares del poder ejecutivo fue revocada en gran medida por los tribunales estadounidenses.

La misiva de Wyden esencialmente le pide a Bisignano que considere si seguir la orden de la administración Trump entraría en conflicto con su responsabilidad de salvaguardar los registros del Seguro Social bajo leyes como la Ley de Privacidad y la Ley del Seguro Social.

Pregunta cómo se asegurará la agencia de no privar de sus derechos a los votantes y si solicitó permiso a los ciudadanos para utilizar sus datos del Seguro Social para una lista de elecciones federales, y señala que las propias regulaciones de la agencia limitan el intercambio de datos del Seguro Social al «uso rutinario para determinar la elegibilidad o la cantidad de beneficios en un programa de salud o mantenimiento de ingresos».

Ampliar el papel de la agencia a las elecciones -un área en la que no tiene antecedentes ni experiencia- estaría en conflicto directo con esas reglas.

«En pocas palabras, compartir los datos personales de los estadounidenses con el DHS para crear una lista de 'ciudadanía estatal' no cumple con este estándar», escribió Wyden.

El responsable del paquete Axios npm ha confirmado que el compromiso de la cadena de suministro fue el resultado de una campaña de ingeniería social muy específica orquestada por actores de amenazas norcoreanos rastreados como UNC1069.

mantenedor Jason Saayman dijo que los atacantes adaptaron sus esfuerzos de ingeniería social «específicamente a mí», acercándose primero a él bajo la apariencia del fundador de una empresa legítima y conocida.

«Habían clonado la imagen de los fundadores de la empresa y la propia empresa», Saayman dicho en una autopsia del incidente. «Luego me invitaron a un espacio de trabajo real de Slack. Este espacio de trabajo tenía la marca del CI de la empresa y un nombre plausible. [workspace] fue pensado muy bien; Tenían canales donde compartían publicaciones de LinkedIn».

Posteriormente, se dice que los actores de amenazas programaron una reunión con él en Microsoft Teams. Al unirse a la llamada falsa, se le presentó un mensaje de error falso que decía «algo en mi sistema no estaba actualizado». Tan pronto como se activó la actualización, el ataque provocó la implementación de un troyano de acceso remoto.

El acceso proporcionado por el troyano permitió a los atacantes robar las credenciales de la cuenta npm necesarias para publicar dos versiones troyanizadas del paquete Axios npm (1.14.1 y 0.30.4) que contiene un implante llamado WAVESHAPER.V2.

«Todo estuvo muy bien coordinado, parecía legítimo y se hizo de manera profesional», añadió Saayman.

La cadena de ataque descrita por el responsable del proyecto comparte amplias superposiciones con las técnicas asociadas con UNC1069 y BlueNoroff. Los detalles de la campaña fueron documentados extensamente por Huntress y Kaspersky el año pasado, y este último la rastreó bajo el nombre de GhostCall.

«Históricamente, […] Estos tipos específicos han perseguido a los fundadores de criptomonedas, capitalistas de riesgo y personas públicas», dijo el investigador de seguridad Taylor Monahan. «Ellos ingeniero social ellos y hacerse cargo de sus cuentas y apuntar a la siguiente ronda de personas. Esta evolución hacia la focalización [OSS maintainers] es un poco preocupante en mi opinión.»

Como medidas preventivas, Saayman ha descrito varios cambios, incluido el restablecimiento de todos los dispositivos y credenciales, la configuración de versiones inmutables, la adopción del flujo OIDC para la publicación y la actualización de GitHub Actions para adoptar las mejores prácticas.

Los hallazgos demuestran cómo los mantenedores de proyectos de código abierto se están convirtiendo cada vez más en el objetivo de ataques sofisticados, lo que permite de manera efectiva que los actores de amenazas apunten a usuarios intermedios a gran escala mediante la publicación de versiones envenenadas de paquetes muy populares.

Dado que Axios atrae casi 100 millones de descargas semanales y se utiliza mucho en todo el ecosistema de JavaScript, el radio de explosión de un ataque de este tipo a la cadena de suministro puede ser enorme, ya que se propaga rápidamente a través de dependencias directas y transitivas.

«Un paquete tan ampliamente utilizado como Axios que está comprometido muestra lo difícil que es razonar sobre la exposición en un entorno JavaScript moderno», Ahmad Nassri de Socket dicho. «Es una propiedad de cómo funciona hoy la resolución de dependencias en el ecosistema».

El Servicio de Inmigración y Control de Aduanas confirmó que está utilizando el software espía Paragon, lo que provocó indignación el jueves por parte de un trío de demócratas de la Cámara de Representantes.

En respuesta a una carta de los legisladores preguntando sobre el uso de Paragon, el director interino de ICE, Todd Lyons, escribió que había autorizado el uso de “herramientas tecnológicas de vanguardia” para ayudar a la división de Investigaciones de Seguridad Nacional a luchar contra el fentanilo, particularmente contra organizaciones que utilizan comunicaciones cifradas.

“Cualquier uso de la tecnología cumplirá con los requisitos constitucionales y se coordinará con la Oficina del Asesor Legal Principal de ICE”, escribió Lyons el miércoles, sin nombrar específicamente a Paragon. «Además, el uso de la tecnología se alineará y apoyará las iniciativas estratégicas del Grupo de Trabajo de Seguridad Nacional para identificar, desarticular y desmantelar organizaciones terroristas extranjeras, abordar la creciente epidemia de fentanilo y salvaguardar la seguridad nacional».

Pero los representantes demócratas Summer Lee de Pensilvania, Shontel Brown de Ohio y Yassamin Ansari de Arizona no quedaron satisfechos con la respuesta de ICE.

“Es indignante que [the Department of Homeland Security] e ICE están utilizando este software espía sin supervisión del Congreso y con una falta total de estándares de cumplimiento», dijeron en una declaración conjunta compartida con CyberScoop. «Dado el historial de la Administración Trump, el cumplimiento fingido de ICE con los estándares existentes no significa mucho; Necesitamos ver pruebas y evidencias de salvaguardias férreas.

“Por eso solicitamos tanta documentación, que no nos han proporcionado en absoluto”, continuaron. «Los demócratas de la Cámara de Representantes seguirán exigiendo más información y responsabilizando a ICE por sus abusos».

Lyons escribió que certificó el uso de la tecnología, que, según dijo, cumplía con una orden ejecutiva de 2023 emitida por el entonces presidente Joe Biden. Esa orden ejecutiva requiere la certificación de que el uso de software espía comercial no plantearía riesgos de seguridad nacional o de contrainteligencia, ni crearía riesgos significativos de uso indebido por parte de un gobierno extranjero.

En 2024, el contrato de ICE por valor de 2 millones de dólares con Paragon fue objeto de revisión por la Casa Blanca. Pero el año pasado, ICE levantó una orden de suspensión de trabajo.

ICE no respondió de inmediato a una solicitud de comentarios sobre la reacción de los demócratas. El uso de tecnología de vigilancia por parte de ICE ha preocupación dibujada de grupos de libertades civiles.

La tecnología Graphite de Paragon se ha encontrado en los teléfonos de periodistas y se sospecha que se utiliza en varios países. WhatsApp dijo el año pasado que había interrumpido una campaña que empleaba software espía contra sus usuarios.

Bloomberg reportado por primera vez sobre la carta de Lyons.

La empresa de tecnología médica Stryker dice que ha vuelto a estar “plenamente operativa”, tres semanas después de convertirse en la víctima más destacada hasta la fecha de los piratas informáticos iraníes, quienes dijeron que atacaron a la empresa con sede en Michigan en represalia por el conflicto con Estados Unidos e Israel.

Un ataque del 11 de marzo por parte del grupo pro palestino vinculado al gobierno iraní Handala dañó el procesamiento de pedidos, la fabricación y el envío de la empresa. Más recientemente, Handala afirmó haber comprometido los datos del director del FBI, Kash Patel, aunque el FBI dijo que no se tomó información del gobierno.

«La producción avanza rápidamente hacia la capacidad máxima con disciplina y estabilidad, respaldada por sistemas comerciales, de pedidos y de distribución restaurados», escribió la compañía en una actualización en su sitio web el miércoles. «El suministro general de productos se mantiene saludable, con una fuerte disponibilidad en la mayoría de las líneas de productos, mientras continuamos satisfaciendo la demanda de los clientes y apoyando la atención al paciente».

Stryker dijo que continúa trabajando con expertos cibernéticos externos, agencias gubernamentales y socios de la industria en su investigación y recuperación.

«La atención al paciente sigue siendo nuestra máxima prioridad, con un enfoque continuo en apoyar a los proveedores de atención médica y a los pacientes a los que atienden», dijo. «Este sigue siendo un esfuerzo 24 horas al día, 7 días a la semana y la primera prioridad de toda nuestra organización».

Los piratas informáticos iraníes han estado ocupados desde que comenzaron los ataques entre Estados Unidos e Israel, pero han obtenido pocos éxitos en Estados Unidos. Handala se jactó esta semana de un ataque en el condado de St. Joseph, Indiana, donde las autoridades dijeron ellos estaban investigando un hack de su servicio de fax externo.

Esta semana, Handala también reclamó haber penetrado los sistemas de defensa aérea de Israel y filtrado documentos al respecto. Pero Handala también ha sido acusada de exagerando sus hechos.

El FBI incautaron algunos sitios web asociado con Handala el mes pasado, y el Departamento de Estado ha ofrecido una recompensa por información sobre el grupo de hackers.