Linux

admin Noticias, Trending controlados cookies Cron CYBERDEFENSA.MX detalla Linux Microsoft persisten PHP por servidores shells través Web

Microsoft detalla shells web PHP controlados por cookies que persisten a través de Cron en servidores Linux – CYBERDEFENSA.MX

Los actores de amenazas utilizan cada vez más cookies HTTP como canal de control para shells web basados en PHP en servidores Linux y para lograr la ejecución remota de código, según los hallazgos del equipo de investigación de seguridad de Microsoft Defender.

«En lugar de exponer la ejecución de comandos a través de parámetros de URL o cuerpos de solicitud, estos shells web se basan en valores de cookies proporcionados por los actores de amenazas para controlar la ejecución, pasar instrucciones y activar funciones maliciosas», dijo el gigante tecnológico. dicho.

El enfoque ofrece mayor sigilo, ya que permite que el código malicioso permanezca inactivo durante la ejecución normal de la aplicación y active la lógica del shell web solo cuando están presentes valores de cookies específicos. Este comportamiento, señaló Microsoft, se extiende a solicitudes web, tareas programadas y trabajadores en segundo plano confiables.

La actividad maliciosa aprovecha el hecho de que los valores de las cookies están disponibles en tiempo de ejecución a través del $_COOKIE superglobal variable, lo que permite consumir las entradas proporcionadas por el atacante sin análisis adicional. Es más, es poco probable que la técnica genere señales de alerta, ya que las cookies se mezclan con el tráfico web normal y reducen la visibilidad.

El modelo de ejecución controlado por cookies viene en diferentes implementaciones:

Un cargador PHP que utiliza múltiples capas de ofuscación y comprobaciones de tiempo de ejecución antes de analizar la entrada de cookies estructuradas para ejecutar una carga útil secundaria codificada.
Un script PHP que segmenta datos de cookies estructurados para reconstruir componentes operativos, como funciones de manejo de archivos y decodificación, y escribe condicionalmente una carga útil secundaria en el disco y la ejecuta.
Un script PHP que utiliza un único valor de cookie como marcador para desencadenar acciones controladas por el actor de amenazas, incluida la ejecución de la entrada proporcionada y la carga de archivos.

En al menos un caso, se ha descubierto que los actores de amenazas obtienen acceso inicial al entorno Linux alojado de una víctima a través de credenciales válidas o la explotación de una vulnerabilidad de seguridad conocida para configurar un trabajo cron que invoca una rutina de shell periódicamente para ejecutar un cargador PHP ofuscado.

Esta arquitectura de «autocuración» permite que la tarea programada recree repetidamente el cargador PHP incluso si se eliminó como parte de los esfuerzos de limpieza y remediación, creando así un canal de ejecución remota de código confiable y persistente. Una vez que se implementa el cargador PHP, permanece inactivo durante el tráfico normal y entra en acción al recibir solicitudes HTTP con valores de cookies específicos.

«Al trasladar el control de ejecución a las cookies, el shell web puede permanecer oculto en el tráfico normal, activándose sólo durante interacciones deliberadas», añadió Microsoft. «Al separar la persistencia a través de la recreación basada en cron del control de ejecución a través de la activación activada por cookies, el actor de amenazas redujo el ruido operativo y limitó los indicadores observables en los registros de aplicaciones de rutina».

Un aspecto común que une todas las implementaciones antes mencionadas es el uso de ofuscación para ocultar funciones sensibles y activación basada en cookies para iniciar la acción maliciosa, dejando al mismo tiempo una huella interactiva mínima.

Para contrarrestar la amenaza, Microsoft recomienda aplicar la autenticación multifactor para los paneles de control del alojamiento, el acceso SSH y las interfaces administrativas; monitoreo de actividad de inicio de sesión inusual; restringir la ejecución de intérpretes de shell; auditar trabajos cron y tareas programadas en servidores web; comprobar si se han creado archivos sospechosos en directorios web; y limitar las capacidades de shell de los paneles de control de hosting.

«El uso constante de cookies como mecanismo de control sugiere la reutilización de técnicas web establecidas», dijo Microsoft. «Al trasladar la lógica de control a las cookies, los actores de amenazas permiten un acceso persistente posterior al compromiso que puede evadir muchos controles tradicionales de inspección y registro».

«En lugar de depender de complejas cadenas de exploits, el actor de la amenaza aprovechó rutas de ejecución legítimas ya presentes en el entorno, incluidos los procesos del servidor web, los componentes del panel de control y la infraestructura cron, para preparar y preservar el código malicioso».

admin Noticias, Trending aislamiento AppArmor contenedores CrackArmor CYBERDEFENSA.MX escalada evitan fallas Linux Nueve permiten raíz

Nueve fallas de CrackArmor en Linux AppArmor permiten la escalada de raíz y evitan el aislamiento de contenedores – CYBERDEFENSA.MX

Los investigadores de ciberseguridad han revelado múltiples vulnerabilidades de seguridad dentro del kernel de Linux. Armadura de aplicaciones módulo que podría ser explotado por usuarios sin privilegios para eludir las protecciones del kernel, escalar a la raíz y socavar las garantías de aislamiento del contenedor.

Las nueve vulnerabilidades confusas de los diputados han recibido un nombre en código colectivo Armadura de grieta por la Unidad de Investigación de Amenazas Qualys (TRU). La empresa de ciberseguridad dijo que el problema existe desde 2017. No se han asignado identificadores CVE a las deficiencias.

AppArmor es un módulo de seguridad de Linux que proporciona control de acceso obligatorio (MAC) y protege el sistema operativo contra amenazas externas o internas al evitar que se exploten fallas conocidas y desconocidas de las aplicaciones. Se ha incluido en el kernel principal de Linux desde la versión 2.6.36.

«Este aviso de ‘CrackArmor’ expone una defecto adjunto confundido permitiendo a usuarios sin privilegios manipular perfiles de seguridad a través de pseudoarchivos, eludir restricciones de espacio de nombres de usuario y ejecutar código arbitrario dentro del kernel», Saeed Abbasi, gerente senior de Qualys TRU, dicho.

«Estas fallas facilitan la escalada de privilegios locales para rootear a través de interacciones complejas con herramientas como Sudo y Postfix, junto con ataques de denegación de servicio a través del agotamiento de la pila y omisiones de Kernel Address Space Layout Randomization (KASLR) a través de lecturas fuera de límites».

Vulnerabilidades confusas del diputado Ocurre cuando un usuario no autorizado obliga a un programa privilegiado a hacer un uso indebido de sus privilegios para realizar acciones maliciosas no deseadas. Básicamente, el problema explota la confianza asociada con una herramienta con más privilegios para ejecutar un comando que conduce a una escalada de privilegios.

Qualys dijo que una entidad que no tiene permisos para realizar una acción puede manipular los perfiles de AppArmor para deshabilitar protecciones de servicios críticos o hacer cumplir políticas de denegación total, desencadenando ataques de denegación de servicio (DoS) en el proceso.

«Combinado con fallas a nivel de kernel inherentes al análisis de perfiles, los atacantes eluden las restricciones del espacio de nombres de usuario y logran una escalada de privilegios locales (LPE) hasta la raíz completa», agregó.

«La manipulación de políticas compromete todo el host, mientras que las omisiones del espacio de nombres facilitan exploits avanzados del kernel, como la divulgación de memoria arbitraria. Las capacidades DoS y LPE resultan en interrupciones del servicio, manipulación de credenciales a través de raíz sin contraseña (por ejemplo, modificación de /etc/passwd) o divulgación de KASLR, lo que permite más cadenas de explotación remota».

Para empeorar las cosas, CrackArmor permite a los usuarios sin privilegios crear espacios de nombres de usuario con todas las capacidades, evitando de manera efectiva los problemas de Ubuntu. restricciones de espacio de nombres de usuario implementado a través de AppArmor, además de subvertir garantías de seguridad críticas como el aislamiento de contenedores, la aplicación de privilegios mínimos y el refuerzo del servicio.

La compañía de ciberseguridad dijo que está reteniendo la publicación de exploits de prueba de concepto (PoC) para las fallas identificadas para darles a los usuarios algo de tiempo para priorizar los parches y minimizar la exposición.

El problema afecta a todos los kernels de Linux desde la versión 4.11 en cualquier distribución que integre AppArmor. Con más de 12,6 millones de instancias empresariales de Linux que funcionan con AppArmor habilitado de forma predeterminada en varias distribuciones importantes, como Ubuntu, Debian y SUSE, se recomienda aplicar parches inmediatos al kernel para mitigar estas vulnerabilidades.

«El parche inmediato del kernel sigue siendo la prioridad no negociable para neutralizar estas vulnerabilidades críticas, ya que la mitigación provisional no ofrece el mismo nivel de garantía de seguridad que restaurar la ruta del código arreglado por el proveedor», señaló Abbasi.

admin Noticias, Trending CYBERDEFENSA.MX falsos implementan Laravel Linux macOS Packagist paquetes RAT Windows

Paquetes falsos de Laravel en Packagist implementan RAT en Windows, macOS y Linux – CYBERDEFENSA.MX

Los investigadores de ciberseguridad han marcado Paquetes PHP maliciosos de Packagist disfrazados de utilidades de Laravel que actúan como conducto para un troyano de acceso remoto (RAT) multiplataforma que funciona en sistemas Windows, macOS y Linux.

Los nombres de los paquetes se enumeran a continuación –

nhattuanbl/lara-helper (37 Descargas)
nhattuanbl/simple-queue (29 Descargas)
nhattuanbl/lara-swagger (49 Descargas)

Según Socket, el paquete «nhattuanbl/lara-swagger» no incorpora directamente código malicioso, sino que enumera «nhattuanbl/lara-helper» como un Dependencia del compositorprovocando que instale el RAT. Los paquetes todavía están disponibles para descargar desde el registro de paquetes PHP.

Se ha descubierto que tanto lara-helper como simple-queue contienen un archivo PHP llamado «src/helper.php», que emplea una serie de trucos para complicar el análisis estático mediante el uso de técnicas como la ofuscación del flujo de control, la codificación de nombres de dominio, nombres de comandos y rutas de archivos, e identificadores aleatorios para nombres de variables y funciones.

«Una vez cargada, la carga útil se conecta a un servidor C2 en helper.leuleu[.]net:2096, envía datos de reconocimiento del sistema y espera comandos, dándole al operador acceso remoto completo al host», dijo el investigador de seguridad Kush Pandya.

Esto incluye el envío de información del sistema y el análisis de comandos recibidos del servidor C2 para su posterior ejecución en el host comprometido. La comunicación se produce a través de TCP utilizando PHP. flujo_socket_client(). La lista de comandos admitidos se encuentra a continuación:

silbidopara enviar un latido automáticamente cada 60 segundos
informaciónpara enviar datos de reconocimiento del sistema al servidor C2
cmdpara ejecutar un comando de shell
powershellpara ejecutar un comando de PowerShell
correrpara ejecutar un comando de shell en segundo plano
captura de pantallapara capturar la pantalla usando imagegrabscreen()
descargarpara leer un archivo del disco
subira un archivo en el disco y otorgarle permisos de lectura, escritura y ejecución a todos los usuarios
deteneral enchufe y salir

«Para la ejecución del shell, RAT prueba las funciones deshabilitadas y elige el primer método disponible entre: popen, proc_open, exec, shell_exec, system, passthru», dijo Pandya. «Esto lo hace resistente a las configuraciones comunes de refuerzo de PHP».

Si bien el servidor C2 actualmente no responde, el RAT está configurado de manera que reintenta la conexión cada 15 segundos en un bucle persistente, lo que lo convierte en un riesgo para la seguridad. Se recomienda a los usuarios que hayan instalado los paquetes que asuman un compromiso, los eliminen, roten todos los secretos accesibles desde el entorno de la aplicación y auditen el tráfico saliente al servidor C2.

Además de los tres paquetes antes mencionados, el actor de amenazas detrás de la operación ha publicado otras tres bibliotecas («nhattuanbl/lara-media», «nhattuanbl/snooze» y «nhattuanbl/syslog») que están limpias, probablemente en un esfuerzo por generar credibilidad y engañar a los usuarios para que instalen los maliciosos.

«Cualquier aplicación Laravel que instale lara-helper o simple-queue ejecuta una RAT persistente. El actor de la amenaza tiene acceso completo al shell remoto, puede leer y escribir archivos arbitrarios y recibe un perfil de sistema continuo para cada host conectado», dijo Socket.

«Debido a que la activación ocurre en el inicio de la aplicación (a través del proveedor de servicios) o en las cargas automáticas de clases (a través de una cola simple), el RAT se ejecuta en el mismo proceso que la aplicación web con los mismos permisos del sistema de archivos y variables de entorno, incluidas las credenciales de la base de datos, las claves API y los contenidos .env».

admin Noticias Chrome Claude Crash CYBERDEFENSA.MX Flaws Kali Linux LockBit Stories Traps WinRAR

Kali Linux + Claude, Chrome Crash Traps, WinRAR Flaws, LockBit & 15+ Stories – CYBERDEFENSA.MX

Nothing here looks dramatic at first glance. That’s the point. Many of this week’s threats begin with something ordinary, like an ad, a meeting invite, or a software update.

Behind the scenes, the tactics are sharper. Access happens faster. Control is established sooner. Cleanup becomes harder.

Here is a quick look at the signals worth paying attention to.

Belarus-linked Android spyware

ResidentBat is an Android spyware implant used by Belarusian authorities for surveillance operations against journalists and civil society. Once installed, it provides operators with access to call logs, microphone recordings, SMS, encrypted messenger traffic, screen captures, and locally stored files. The malware, although first documented in December 2025, is assessed to date back to 2021. According to Censys, ResidentBat-associated infrastructure is concentrated in Europe and Russia: the Netherlands (5 hosts), Germany (2 hosts), Switzerland (2 hosts), and Russia (1 host) in a recent Platform view, using a narrow port range (7000-7257) for control traffic.
Crypto phishing wave

Phishing campaigns are impersonating cryptocurrency brokerage services like Bitpanda to harvest sensitive data under the pretext of reconfirming their information or risk having their accounts blocked. «Attempting to get multiple forms of information and identification, the attackers used tactics that would seem legitimate to the everyday user,» Cofense said. «User information such as name verification, email, and password credentials, and location were all used in this attempt to harvest information under the guise of a multi-factor authentication process.»
Breakout times shrink

In its 2026 Global Threat Report, CrowdStrike said adversaries became faster than ever before in 2025. «The average e-crime breakout time — the period between initial access and lateral movement onto another system — dropped to 29 minutes, a 65% increase in speed from 2024,» the company said. One such intrusion undertaken by Luna Moth (aka Chatty Spider) targeting a law firm moved from initial access to data exfiltration in four minutes. Chief among the factors fueling this dramatic acceleration was the widespread abuse of legitimate credentials, which allowed attackers to blend into normal network traffic and bypass many traditional security controls. This was coupled with threat actors of varied motivations utilizing AI technology to accelerate and optimize their existing techniques. Some of the threat actors that have leveraged AI in their operations include Fancy Bear, Punk Spider (aka Akira), Blind Spider (aka Blind Eagle), Odyssey Spider (aka TA558), and an India-nexus hacking group called Frantic Tiger that has used Netlify and Cloudflare pages for credential-harvesting operations. The cybersecurity company said it observed an 89% increase in the number of attacks by AI-enabled adversaries compared to 2024 and a 42% year-over-year increase in zero-days exploited prior to public disclosure. In tandem, 67% of vulnerabilities exploited by China-nexus adversaries provided immediate system access, and 40% targeted edge devices that typically lack comprehensive monitoring. The vast majority of attacks, 82%, were free of malware — highlighting attackers’ enduring shift toward hands-on-keyboard operations and the abuse of legitimate tools and credentials.
4-minute lateral movement

In a similar report, ReliaQuest said the fastest intrusions reached lateral movement in just 4 minutes, an 85% acceleration from last year, with data exfiltration taking place in 6 minutes. The statistic is fueled by attackers increasingly weaving AI and automation into their tradecraft. «As attackers increasingly secure valid credentials with elevated privileges, the time to react has drastically dropped,» ReliaQuest said. «In 2025, the average breakout time (initial access to lateral movement) dropped to 34 minutes. In 47% of incidents, they secured high privileges before ever touching the network. This allows them to skip escalation, blend into traffic, and repurpose legitimate tools.»
ClickFix fuels Mac stealers

Mac users searching for popular software like Homebrew, 7-Zip, Notepad++, LibreOffice, and Final Cut Pro are the target of an active malvertising campaign powered by at least 35 hijacked Google advertiser accounts originating from countries including the U.S., Canada, Italy, Poland, Brazil, India, Saudi Arabia, Japan, China, Romania, Malta, Slovenia, Germany, the U.K., and the U.A.E. More than 200 malicious advertisements impersonating legitimate macOS software have been found. The end goal of these efforts is to direct users to fake pages that contain ClickFix-like instructions to deliver MacSync stealer. Another ClickFix campaign has been observed using fake CAPTCHA verification lures on bogus phishing pages to distribute stealer malware that can harvest data from web browsers, gaming apps like Steam, cryptocurrency wallets, and VPN apps. According to ReliaQuest data, a quarter of attacks used social engineering for initial access last year, with ClickFix responsible for delivering 59% of the top malware families.
Encryption debate resurfaces

Meta went ahead with a plan to encrypt the messaging services connected to its Facebook and Instagram apps despite internal warnings that it would hinder the social media giant’s ability to flag child-exploitation cases to law enforcement, Reuters reported. The internal chat exchange dated March 2019 was filed in connection with a lawsuit brought by the U.S. state of New Mexico, accusing it of exposing children and teens to sexual exploitation on its platforms and profiting from it. In response to the concerns raised, Meta said it worked on additional safety features before it launched encrypted messaging on Facebook and Instagram in 2023.
ActiveMQ flaw aids LockBit

Threat actors are exploiting a now-patched security flaw in internet-facing Apache ActiveMQ servers (CVE-2023-46604) to deploy LockBit ransomware. «Despite being evicted after the initial intrusion, they successfully breached the same server on a second occasion 18 days later,» The DFIR Report said. «After compromising the server, the threat actor used Metasploit, possibly along with Meterpreter, to perform post-exploitation activities. These activities included escalating privileges, accessing LSASS process memory, and moving laterally across the network. After regaining access following their eviction, the threat actor swiftly transitioned to deploying ransomware. They leveraged credentials extracted during their previous breach to deploy LockBit ransomware via RDP.» The ransomware is suspected to be crafted using the leaked LockBit builder.
Chrome crash-to-command trick

Two newly flagged Google Chrome extensions, Pixel Shield – Block Ads (ID: nlogodaofdghipmbdclajkkpheneldjd) and PageGuard – Phishing Protection (ID: mlaonedihngoginmmlaacpihnojcoocl), have been found to adopt the same playbook as CrashFix, where the browser is deliberately crashed, and the user is tricked into running a malicious command à la ClickFix. The most concerning aspect of this campaign is that the extensions actually work and offer the advertised functionality. «The original NexShield DoS created a billion chrome.runtime.connect() calls,» Annex Security’s John Tuckner said. «These variants use a different technique I’m calling the Promise Bomb because it crashes the browser by flooding Chrome’s message passing system with millions of unresolvable promises.» While the original NexShield used timer-based activation, the new variants have evolved to push notification-based command-and-control (C2), causing the denial-of-service to be triggered only when the C2 server sends a push notification containing a «newVersion» value ending in «2.» This, in turn, gives the attacker selective remote control over when the crashes happen.
WinRAR patch lag persists

Cybersecurity firm Stairwell said more than 80% of the IT networks it monitors run versions of WinRAR vulnerable to CVE-2025-8088, a vulnerability that has been widely exploited by cybercrime and cyber espionage groups. «This finding underscores a persistent challenge in enterprise security when widely deployed, trusted software that quietly falls out of date and becomes a high-value target for attackers,» Alex Hegyi said.
Crypto IV reuse risk

A new analysis from Trail of Bits has revealed that more than 723,000 open-source projects use cryptographic libraries with insecure defaults. The aes-js and pyaes libraries have been found to provide a default initialization vector (IV) in their AES-CTR API, leading to a large number of key/IV reuse bugs. «Reusing a key/IV pair leads to serious security issues: if you encrypt two messages in CTR mode or GCM with the same key and IV, then anybody with access to the ciphertexts can recover the XOR of the plaintexts, and that’s a very bad thing,» Trail of Bits said. While neither library has been updated in years, strongSwan has released an update to address the problem in strongMan (CVE-2026-25998).
AI audits smart contracts

OpenAI and Paradigm have jointly announced EVMbench, a benchmark that measures how well AI agents can detect, exploit, and patch high-severity smart contract vulnerabilities. «EVMbench draws on 120 curated vulnerabilities from 40 audits, with most sourced from open code audit competitions,» OpenAI said. «EVMbench is intended both as a measurement tool and as a call to action. As agents improve, it becomes increasingly important for developers and security researchers to incorporate AI-assisted auditing into their workflows.»
Fake FSB extortion plot

A Russian national has been accused of trying to extort money from the notorious Conti ransomware group by posing as an officer of Russia’s Federal Security Service (FSB), according to local media reports. RBC reported that the suspect, Ruslan Satuchin, posed as an FSB officer and demanded a large payment from Conti. Although an investigation was formally launched in September 2025, the incident allegedly began in September 2022 when Satuchin contacted one of the members of the hacker group and extorted them to avoid criminal liability. Once a prolific ransomware gang, Conti shut down its operations in mid-2022 after splintering into small groups.
Ad cloaking service exposed

Varonis has disclosed details of a newly identified cybercrime service known as 1Campaign that enables threat actors to run malicious Google Ads for extended periods of time while evading scrutiny. The cloaking platform «passes Google’s screening, filters out security researchers, and keeps phishing and crypto drainer pages online for as long as possible, funneling real users to attacker-controlled sites,» Varonis security researcher Daniel Kelley said. «It combines real-time visitor filtering, fraud scoring, geographic targeting, and a bot guard script generator into a single dashboard.» It’s developed and maintained by a threat actor named DuppyMeister for over three years, along with offering Telegram channels for support. Traffic linked to 1Campaign has been distributed across the U.S., Canada, the Netherlands, China, Germany, France, Japan, Hungary, and Albania.
Teams call drops macOS malware

A social engineering campaign has been observed using Microsoft Teams meetings to trick attendants into installing macOS malware. Daylight Security has assessed that the activity is consistent with an ongoing attack campaign orchestrated by North Korean threat actors under the name GhostCall. «During the call, the attacker claimed audio issues and coached the victim into running terminal commands that downloaded and executed malicious binaries,» Daylight researchers Kyle Henson and Oren Biderman said. «Analysts observed staged downloads and execution from macOS cache and temporary paths, Keychain credential access, and outbound connections to newly created attacker-controlled domains.»
RAMP fallout reshapes underground

Last month, law enforcement authorities from the U.S. seized the notorious RAMP cybercrime forum. The event has had a cascading impact, destabilising trust and accelerating fragmentation across the underground cybercrime ecosystem. There are also speculations that RAMP may have functioned as a honeypot or had been compromised long before its seizure. «Rather than consolidating around a single successor, ransomware actors are redistributing across both gated platforms like T1erOne and accessible forums such as Rehub,» Rapid7 said. «This shift reflects adaptation, not decline. Disruption fractures trust and redistributes coordination across multiple platforms.»
Anonymous Fénix members detained

Spanish authorities have announced the arrest of four members of the Anonymous Fénix group for their involvement in distributed denial-of-service (DDoS) attacks. The suspects, whose names were not disclosed, targeted the websites of government ministries, political parties, and public institutions. Two of the group leaders were arrested in May 2025. The first attacks occurred in April 2023. The group is said to have intensified its activities beginning in September 2024, recruiting volunteers to mount DDoS attacks against targets of interest.
Judicial spear-phish drops RAT

A spear-phishing campaign has been observed targeting Argentina’s judicial sector that delivers a ZIP archive containing a Windows shortcut that, when launched, displays a decoy PDF to the victims, while stealthily dropping a Rust-based remote access trojan (RAT). «The campaign leverages highly authentic judicial decoy documents to exploit trust in court communications, enabling successful delivery of a covert remote access trojan and facilitating long-term access to sensitive legal and institutional data,» Seqrite Labs said.
Typosquat spreads ValleyRAT

A persuasive lookalike website of Huorong Security antivirus («huoronga[.]com») has been used to deliver a RAT malware known as ValleyRAT. The campaign is the work of a Chinese cybercrime group called Silver Fox, which has a history of distributing trojanized versions of popular Chinese software and other popular programs through typosquatted domains to distribute trojanized installers responsible for deploying ValleyRAT. «Once it’s installed, attackers can monitor the victim, steal sensitive information, and remotely control the system,» Malwarebytes said.
Repo-squatting via Google Ads

Users searching for developer tools have become the target of an ongoing campaign dubbed GPUGate that uses a malicious installer to deliver Hijack Loader and Atomic Stealer. «The attacker creates a throwaway GitHub account and forks the official GitHub Desktop repository,» GMO Cybersecurity by Ierae said. «The attacker edits the download link in the README to point to their malicious installer and commits the change. Lastly, the attacker used sponsored ads for ‘GitHub Desktop’ to promote their commit, using an anchor in README.md to skip past GitHub’s cautions.» Victims who downloaded the malicious Windows installer would execute a multi-stage loader, while Mac victims received Atomic Stealer.

These stories may seem separate, but they point in the same direction. Speed is increasing. Deception is improving. And attackers are finding new ways to blend into everyday activity.

The warning signs are there for those who look closely. Small gaps, delayed patches, misplaced trust, and rushed clicks still make the biggest difference.

Staying aware of these shifts is no longer optional. The details change each week. The pressure does not.

Noticias, Trending

El NIST limita el enriquecimiento de CVE después de un aumento del 263 % en las presentaciones de vulnerabilidades – CYBERDEFENSA.MX

abril 17, 2026

Operación PowerOFF incauta 53 dominios DDoS y expone 3 millones de cuentas criminales – CYBERDEFENSA.MX

Noticias, Trending

La botnet PowMix recientemente descubierta ataca a los trabajadores checos utilizando tráfico C2 aleatorio – CYBERDEFENSA.MX

abril 16, 2026

Noticias, Trending

El abuso del complemento Obsidian genera RAT PHANTOMPULSE en finanzas dirigidas y ataques criptográficos – CYBERDEFENSA.MX

abril 16, 2026

Los funcionarios confiscan 53 dominios de alquiler de DDoS en una ofensiva en curso

Latest

Breaking News

Microsoft detalla shells web PHP controlados por cookies que persisten a través de Cron en servidores Linux – CYBERDEFENSA.MX

Nueve fallas de CrackArmor en Linux AppArmor permiten la escalada de raíz y evitan el aislamiento de contenedores – CYBERDEFENSA.MX

Paquetes falsos de Laravel en Packagist implementan RAT en Windows, macOS y Linux – CYBERDEFENSA.MX

Kali Linux + Claude, Chrome Crash Traps, WinRAR Flaws, LockBit & 15+ Stories – CYBERDEFENSA.MX

El NIST limita el enriquecimiento de CVE después de un aumento del 263 % en las presentaciones de vulnerabilidades – CYBERDEFENSA.MX

Operación PowerOFF incauta 53 dominios DDoS y expone 3 millones de cuentas criminales – CYBERDEFENSA.MX

Apache ActiveMQ CVE-2026-34197 agregado a CISA KEV en medio de explotación activa – CYBERDEFENSA.MX

Ciudadanos estadounidenses condenados por ayudar al plan de trabajadores tecnológicos de Corea del Norte

La botnet PowMix recientemente descubierta ataca a los trabajadores checos utilizando tráfico C2 aleatorio – CYBERDEFENSA.MX

El abuso del complemento Obsidian genera RAT PHANTOMPULSE en finanzas dirigidas y ataques criptográficos – CYBERDEFENSA.MX

Los funcionarios confiscan 53 dominios de alquiler de DDoS en una ofensiva en curso

¿Pasajero escondido? Cómo Taboola enruta las sesiones bancarias registradas a Temu – CYBERDEFENSA.MX

Defender 0-Day, SonicWall Brute-Force, 17-Year-Old Excel RCE and 15 More Stories – CYBERDEFENSA.MX

[Webinar] Encuentre y elimine identidades no humanas huérfanas en su entorno – CYBERDEFENSA.MX

Or Check Our Popuplar Categories...

Tag Archives: Linux