TeamPCP, el actor de amenazas detrás del ataque a la cadena de suministro dirigido a Trivy, KICS y litellm, ahora ha comprometido la telnyx Paquete Python al impulsar dos versiones maliciosas para robar datos confidenciales.

Las dos versiones, 4.87.1 y 4.87.2, publicadas en el repositorio Python Package Index (PyPI) el 27 de marzo de 2026, ocultaron sus capacidades de recolección de credenciales dentro de un archivo .WAV. Se recomienda a los usuarios que bajen a la versión 4.87.0 inmediatamente. El proyecto PyPI se encuentra actualmente en cuarentena.

Varios informes de Aikido, Laboratorios Endor, Seguridad del águila pescadora, SafeDep, Enchufey PasoSeguridad indicar que el código malicioso es inyectado en «telnyx/_client.py», lo que hace que se invoque cuando el paquete se importa a una aplicación Python. El malware está diseñado para atacar sistemas Windows, Linux y macOS.

«Nuestro análisis revela una cadena de ataque en tiempo de ejecución de tres etapas en Linux/macOS que consiste en la entrega mediante esteganografía de audio, la ejecución en memoria de un recolector de datos y la exfiltración cifrada», dijo Socket. «Toda la cadena está diseñada para operar dentro de un directorio temporal autodestructivo y dejar casi cero artefactos forenses en el host».

En Windows, el malware descarga un archivo llamado «hangup.wav» de un servidor de comando y control (C2) y extrae de los datos de audio un ejecutable que luego se coloca en la carpeta Inicio como «msbuild.exe». Esto le permite persistir durante los reinicios del sistema y ejecutarse automáticamente cada vez que un usuario inicia sesión en el sistema.

En caso de que el host comprometido se ejecute en Linux o macOS, recupera un archivo .WAV diferente («ringtone.wav») del mismo servidor para extraer un script recopilador de tercera etapa y ejecutarlo. El recolector de credenciales está diseñado para capturar una amplia gama de datos confidenciales y exfiltrar los datos en el formato «tpcp.tar.gz» a través de una solicitud HTTP POST al «83.142.209[.]203:8080.»

«La técnica destacada en esta muestra, y el motivo del título de la publicación, es el uso de esteganografía de audio para entregar la carga útil final», dijo Ossprey Security. «En lugar de alojar un ejecutable sin formato o un blob base64 en el C2 (ambos marcados trivialmente por la inspección de red y EDR), el atacante envuelve la carga útil dentro de un archivo .WAV».

Actualmente no se sabe cómo TeamPCP obtuvo el PYPI_TOKEN del paquete, pero es probable que haya sido a través de una operación previa de recolección de credenciales.

«Creemos que el vector más probable es el compromiso del litellm en sí», dijeron los investigadores de Endor Labs Kiran Raj y Rachana Misal. «El recolector de TeamPCP barrió variables de entorno, archivos .env e historiales de shell de cada sistema que importó litellm. Si algún desarrollador o canal de CI tenía litellm instalado y acceso al token PyPI de telnyx, ese token ya estaba en manos de TeamPCP».

Lo notable del ataque es la ausencia de un mecanismo de persistencia en Linux y macOS y el uso de un directorio temporal para realizar acciones maliciosas y eliminar recursivamente todo su contenido una vez que todo esté completo.

«La división estratégica es clara. Windows obtiene persistencia: un binario en la carpeta Inicio que sobrevive a los reinicios, proporcionando al actor de la amenaza un acceso repetible a largo plazo», explicó Socket. «Linux/macOS se vuelve devastador: una única operación de recolección de datos de alta velocidad que recopila todo lo de valor y lo exfiltra inmediatamente, luego desaparece».

El desarrollo se produce unos días después de que el actor de amenazas repartido Versiones troyanizadas del popular paquete Litellm Python para filtrar credenciales de la nube, secretos de CI/CD y claves de un dominio bajo su control.

El incidente de la cadena de suministro también refleja una nueva maduración, donde el actor de la amenaza ha infectado constantemente paquetes legítimos y confiables con bases de usuarios masivas para distribuir malware a usuarios intermedios y ampliar el radio de explosión, en lugar de publicar directamente typosquats maliciosos en repositorios de paquetes de código abierto.

«La selección de objetivos en esta campaña se centra en herramientas con acceso elevado a canalizaciones automatizadas: un escáner de contenedores (Trivy), una herramienta de escaneo de infraestructura (KICS) y una biblioteca de enrutamiento de modelos de IA (litellm)», Snyk dicho. «Cada una de estas herramientas requiere un amplio acceso de lectura a los sistemas en los que opera (credenciales, configuraciones, variables de entorno) por diseño».

Para mitigar la amenaza, se recomienda a los desarrolladores que realicen las siguientes acciones:

• Audite los entornos Python y los archivos requisitos.txt para telnyx==4.87.1 o telnyx==4.87.2. Si los encuentra, reemplácelos con una versión limpia.
• Asuma un compromiso y rote todos los secretos.
• Busque un archivo llamado «msbuild.exe» en la carpeta de inicio de Windows.
• Bloquear el dominio C2 y de exfiltración («83.142.209[.]203»).

El compromiso es parte de una campaña más amplia y en curso emprendida por EquipoPCP que abarca múltiples ecosistemas, y el actor de amenazas anuncia colaboraciones con otros grupos de ciberdelincuentes como LAPSUS$ y un grupo de ransomware emergente llamado vector para realizar operaciones de extorsión y ransomware.

Esto también indica un cambio en el que las bandas de ransomware, que históricamente se han centrado en métodos de acceso inicial como el phishing y la explotación de fallos de seguridad, ahora están utilizando como arma los ataques a la cadena de suministro dirigidos a la infraestructura de código abierto como punto de entrada para ataques posteriores.

«Esto pone de relieve cualquier cosa en entornos CI/CD que no esté bloqueado», dijo Socket. «A los escáneres de seguridad, las extensiones IDE, las herramientas de construcción y los entornos de ejecución se les otorga amplio acceso porque se espera que lo necesiten. Cuando los atacantes apuntan a las herramientas mismas, cualquier cosa que se ejecute en el proceso debe ser tratada como un punto de entrada potencial».

Los investigadores de ciberseguridad han revelado detalles de un error ahora parcheado que afecta el proceso de escaneo previo a la publicación de Open VSX y hace que la herramienta permita que una extensión maliciosa de Microsoft Visual Studio Code (VS Code) pase el proceso de investigación y entre en funcionamiento en el registro.

«La canalización tenía un único valor de retorno booleano que significaba ‘no hay escáneres configurados’ y ‘todos los escáneres no pudieron ejecutarse’», Oran Simhony, investigador de Koi Security. dicho en un informe compartido con The Hacker News. «La persona que llamó no pudo notar la diferencia. Entonces, cuando los escáneres fallaron bajo carga, Open VSX lo trató como ‘nada que buscar’ y agitó la extensión directamente».

A principios del mes pasado, la Fundación Eclipse, que mantiene Open VSX, anunció planes para hacer cumplir controles de seguridad previos a la publicación antes de que las extensiones de VS Code se publiquen en el repositorio en un intento de abordar el creciente problema de las extensiones maliciosas.

Dado que Open VSX también sirve como mercado de extensiones para Cursor, Windsurf y otras bifurcaciones de VS Code, la medida fue vista como un enfoque proactivo para evitar que se publiquen extensiones maliciosas en primer lugar. Como parte del análisis previo a la publicación, las extensiones que no superan el proceso se ponen en cuarentena para revisión del administrador.

La vulnerabilidad descubierta por Koi, cuyo nombre en código Sésamo abiertotiene que ver con cómo este servicio basado en Java informa los resultados del análisis. Específicamente, se debe al hecho de que malinterpreta las fallas en el trabajo del escáner, ya que no hay escáneres configurados, lo que hace que una extensión se marque como aprobada y luego se active inmediatamente y esté disponible para su descarga desde Open VSX.

Al mismo tiempo, también puede hacer referencia a un escenario en el que los analizadores existen y los trabajos del analizador han fallado y no se pueden poner en cola porque el grupo de conexiones de la base de datos está agotado. Aún más preocupante, un servicio de recuperación diseñado para reintentar análisis fallidos sufrió el mismo problema, permitiendo así que las extensiones omitan todo el proceso de análisis bajo ciertas condiciones.

Un atacante puede aprovechar esta debilidad para inundar el punto final de publicación con varias extensiones .VSIX maliciosas, lo que provoca que la carga simultánea agote el grupo de conexiones de la base de datos. Esto, a su vez, conduce a un escenario en el que los trabajos de escaneo no se ponen en cola.

Lo notable del ataque es que no requiere ningún privilegio especial. Un actor malicioso con una cuenta de editor gratuita podría haber activado de manera confiable esta vulnerabilidad para socavar el proceso de escaneo y publicar su extensión. El problema era dirigido en Abierto VSX versión 0.32.0 el mes pasado luego de la divulgación responsable el 8 de febrero de 2026.

«El escaneo previo a la publicación es una capa importante, pero es una capa», dijo Koi. «El diseño del oleoducto es sólido, pero un solo valor booleano que no podía distinguir entre ‘nada que hacer’ y ‘algo salió mal’ convirtió toda la infraestructura en una puerta que se abrió bajo presión».

«Este es un antipatrón común: manejo de errores de apertura fallida escondido detrás de una ruta de código diseñada para un caso legítimo de ‘nada que hacer’. Si está creando canalizaciones similares, haga explícitos los estados de falla. Nunca permita que ‘no se necesita trabajo’ y ‘trabajo fallido’ compartan un valor de retorno».

INTERPOL el viernes anunciado la eliminación de 45.000 direcciones IP y servidores maliciosos utilizados en relación con campañas de phishing, malware y ransomware, como parte de los esfuerzos continuos de la agencia para desmantelar redes criminales, interrumpir amenazas emergentes y proteger a las víctimas de estafas.

El esfuerzo es parte de una operación internacional de aplicación de la ley que involucró a 72 países y territorios. También condujo al arresto de 94 personas, y otras 110 personas aún están bajo investigación. Durante las redadas realizadas en distintos lugares clave se incautaron un total de 212 dispositivos electrónicos y servidores.

En una operación de este tipo en Bangladesh se arrestó a 40 sospechosos y se confiscaron 134 dispositivos electrónicos relacionados con una amplia gama de delitos cibernéticos, incluidas estafas de préstamos y empleos, robo de identidad y fraude con tarjetas de crédito.

En Togo, las autoridades detuvieron a 10 sospechosos acusados ​​de dirigir una red de fraude desde una zona residencial. Si bien algunos participaron en la piratería de cuentas de redes sociales, otros llevaron a cabo esquemas de ingeniería social, incluidas estafas románticas y sextorsión.

Los estafadores, después de obtener acceso no autorizado a la cuenta de una víctima, contactaban a sus contactos en línea, haciéndose pasar por el titular de la cuenta para entablar relaciones románticas falsas y engañar a amigos y familiares. El objetivo final de la estafa era engañar a las víctimas secundarias para que realizaran transferencias de dinero.

Por último, los funcionarios encargados de hacer cumplir la ley de Macao identificaron más de 33.000 sitios web fraudulentos y de phishing relacionados con casinos falsos e infraestructura crítica, como bancos, gobiernos y servicios de pago. Estos sitios web se crearon para defraudar a las víctimas indicándoles que recargaran sus saldos o ingresaran información personal.

La represión del cibercrimen marca la tercera fase de la Operación Synergia, que tuvo lugar entre el 18 de julio de 2025 y el 31 de enero de 2026. Las dos fases anteriores tuvieron lugar en 2023 y 2024, identificando miles de servidores maliciosos y decenas de arrestos.

La CBI de la India se centra en un caso de fraude transnacional

La divulgación se produce cuando la Oficina Central de Investigaciones (CBI) de la India dijo que realizó búsquedas coordinadas en 15 ubicaciones en Delhi, Rajasthan, Uttar Pradesh y Punjab como parte de una inversión en línea organizada a gran escala y un fraude laboral a tiempo parcial que involucra principalmente a una plataforma fintech con sede en Dubai llamada Pyypl.

«Se alegó que miles de ciudadanos indios desprevenidos fueron estafados con millones de rupias a través de esquemas engañosos en línea operados por un sindicato de fraude transnacional organizado», dijo la CBI. dicho.

Se dice que la red criminal aprovechó las plataformas de redes sociales, aplicaciones móviles y servicios de mensajería cifrada para atraer a las víctimas con promesas de altos rendimientos de las inversiones en línea y oportunidades laborales a tiempo parcial.

Como destacó Proofpoint en octubre de 2024, estas estafas tienen como objetivo ganarse la confianza de las víctimas convenciéndolas de depositar pequeñas cantidades y mostrar ganancias ficticias en sitios falsos, tras lo cual se las persuade a invertir mayores sumas de dinero.

Tan pronto como se depositan los fondos, se transfieren rápidamente a través de múltiples cuentas bancarias para cubrir el rastro del dinero y luego se retiran mediante retiros en cajeros automáticos en el extranjero utilizando tarjetas de débito habilitadas para transacciones internacionales y mediante recargas de billetera en plataformas fintech extranjeras como Pyypl utilizando las redes de pago Visa y Mastercard.

Estos retiros, según el CBI, aparecieron como transacciones de punto de venta (PoS) en los sistemas bancarios que pasaron desapercibidas. Parte del dinero robado también se convirtió en criptomonedas y se consolidó en cuentas vinculadas a 15 empresas fantasma y enrutadas a través de dos entidades.

«Estas entidades convirtieron los ingresos en USDT a través de intercambios de activos virtuales con sede en India y transfirieron la criptomoneda a sus billeteras incluidas en la lista blanca», agregó el CBI.

La agencia de investigación criminal ha identificado a Ashok Kumar Sharma y otros cómplices anónimos como miembros clave del sindicato. Sharma ha sido detenido. También dijo que se han congelado varias cuentas bancarias utilizadas por las entidades y se han incautado documentos incriminatorios y pruebas digitales relacionadas con las operaciones diarias del sindicato.

Los investigadores de ciberseguridad han descubierto cinco cajas Rust maliciosas que se hacen pasar por utilidades relacionadas con el tiempo para transmitir datos de archivos .env a los actores de la amenaza.

Los paquetes de Rust, publicados en crates.io, se enumeran a continuación:

• crono_ancla
• dnp3veces
• calibrador_tiempo
• calibradores_de_tiempo
• sincronización de tiempo

Las cajas, según Socket, se hacen pasar por timeapi.io y se publicaron entre finales de febrero y principios de marzo de 2026. Se considera que es el trabajo de un único actor de amenazas basado en el uso de la misma metodología de exfiltración y el dominio similar («timeapis[.]io») para ocultar los datos robados.

«Aunque las cajas se hacen pasar por servicios de hora local, su comportamiento principal es el robo de credenciales y secretos», afirma el investigador de seguridad Kirill Boychenko. dicho. «Intentan recopilar datos confidenciales de entornos de desarrolladores, sobre todo archivos .env, y exfiltrarlos a una infraestructura controlada por actores de amenazas».

Si bien cuatro de los paquetes antes mencionados exhiben capacidades bastante sencillas para filtrar archivos .env, «chrono_anchor» va un paso más allá al implementar ofuscación y cambios operativos para evitar la detección. Las cajas se anunciaron como una forma de calibrar la hora local sin depender del Protocolo de hora de red (NTP).

«Chrono_anchor» incorpora la lógica de exfiltración dentro de un archivo llamado «guard.rs» que se invoca desde una función auxiliar de «sincronización opcional» para evitar levantar sospechas de los desarrolladores. A diferencia de otros programas maliciosos, el código observado en este caso no tiene como objetivo establecer la persistencia en el host a través de un servicio o tarea programada.

En cambio, la caja intenta filtrar repetidamente secretos .env cada vez que el desarrollador de un flujo de trabajo de Integración Continua (CI) llama al código malicioso.

El objetivo de archivos .env no es un accidente, ya que normalmente se usa para contener claves API, tokens y otros secretos, lo que permite a un atacante comprometer a los usuarios intermedios y obtener un acceso más profundo a sus entornos, incluidos servicios en la nube, bases de datos y GitHub y tokens de registro.

Si bien los paquetes se eliminaron de crates.io, se recomienda a los usuarios que los hayan descargado accidentalmente que asuman una posible exfiltración, roten claves y tokens, auditen los trabajos de CI/CD que se ejecutan con credenciales de publicación o implementación y limiten el acceso saliente a la red cuando sea posible.

«Esta campaña muestra que el malware de cadena de suministro de baja complejidad aún puede tener un alto impacto cuando se ejecuta dentro de espacios de trabajo de desarrolladores y trabajos de CI», afirmó Socket. «Priorizar controles que detengan las dependencias maliciosas antes de que se ejecuten».

Un bot impulsado por IA aprovecha las acciones de GitHub

La divulgación se produce tras el descubrimiento de una campaña de ataque automatizado dirigida a canales de CI/CD que abarcan los principales repositorios de código abierto, con un robot impulsado por inteligencia artificial (IA) llamado hackerbot-claw que escanea repositorios públicos en busca de flujos de trabajo explotables de GitHub Actions para recopilar secretos de los desarrolladores.

Entre el 21 y el 28 de febrero de 2026, la cuenta de GitHub, que se describió a sí misma como un agente autónomo de investigación de seguridad, apuntó a no menos de siete repositorios pertenecientes a Microsoft, Datadog y Aqua Security, entre otros.

El ataque se desarrolla de la siguiente manera –

• Escanee repositorios públicos en busca de canalizaciones de CI/CD mal configuradas
• Bifurca el repositorio de destino y prepara una carga útil maliciosa
• Abra una solicitud de extracción con un cambio trivial, como una corrección de error tipográfico, mientras oculta la carga útil principal en el nombre de la rama, el nombre del archivo o un script de CI.
• Active la canalización de CI aprovechando el hecho de que los flujos de trabajo se activan automáticamente en cada solicitud de extracción, lo que hace que el código malicioso se ejecute en el servidor de compilación.
• Robar secretos y tokens de acceso

Uno de los objetivos más destacados del ataque fue el repositorio «aquasecurity/trivy», un popular escáner de seguridad de Aqua Security que busca vulnerabilidades, configuraciones erróneas y secretos conocidos.

«Hackerbot-claw explotó un flujo de trabajo pull_request_target «Para robar un token de acceso personal (PAT)», dijo la empresa de seguridad de la cadena de suministro StepSecurity. «La credencial robada se utilizó luego para hacerse cargo del repositorio».

en un declaración publicado la semana pasada, Itay Shakury de Aqua Security reveló que el atacante aprovechó el flujo de trabajo de GitHub Actions para enviar una versión maliciosa de la extensión Visual Studio Code (VS Code) de Trivy al registro Open VSX para aprovechar los agentes de codificación de IA locales para recopilar y filtrar información confidencial.

Socket, que también investigó el compromiso de la extensión, dicho la lógica inyectada en las versiones 1.8.12 y 1.8.13 ejecuta asistentes de codificación de IA locales, incluidos Claude, Codex, Gemini, GitHub Copilot CLI y Kiro CLI, en modos altamente permisivos, indicándoles que realicen una inspección exhaustiva del sistema, generen un informe de la información descubierta y guarden los resultados en un repositorio de GitHub llamado «posture-report-trivy» utilizando la propia sesión autenticada de GitHub CLI de la víctima.

Desde entonces, Aqua eliminó los artefactos del mercado y revocó el token utilizado para publicarlos. Se recomienda a los usuarios que instalaron las extensiones que las eliminen inmediatamente, verifiquen la presencia de repositorios inesperados y roten los secretos del entorno. El artefacto malicioso ha sido eliminado. No se han identificado otros artefactos afectados. El incidente se está rastreando bajo el identificador CVE. CVE-2026-28353.

Vale la pena señalar que para que un sistema se vea afectado por el problema, se deben cumplir los siguientes requisitos previos:

• Se instaló la versión 1.8.12 o 1.8.13 desde Open VSX
• Al menos una de las CLI de codificación de IA específicas se instaló localmente
• La CLI aceptó los indicadores de ejecución permisivos proporcionados.
• El agente pudo acceder a datos confidenciales en el disco.
• La CLI de GitHub se instaló y se autenticó (para la versión 1.8.13)

«La progresión de .12 a .13 parece una iteración», dijo Socket. «El primer mensaje dispersa datos a través de canales aleatorios sin que el atacante tenga una forma confiable de recopilar el resultado. El segundo soluciona ese problema usando la propia cuenta de GitHub de la víctima como un canal de exfiltración limpio, pero sus instrucciones vagas pueden hacer que el agente envíe secretos a un repositorio privado que el atacante no puede ver».

Investigadores de ciberseguridad han revelado detalles de una falla de seguridad ahora parcheada en Google Chrome que podría haber permitido a los atacantes escalar privilegios y obtener acceso a archivos locales en el sistema.

La vulnerabilidad, rastreada como CVE-2026-0628 (puntuación CVSS: 8,8), se ha descrito como un caso de aplicación insuficiente de políticas en la etiqueta WebView. Fue parcheado por Google a principios de enero de 2026 en la versión 143.0.7499.192/.193 para Windows/Mac y 143.0.7499.192 para Linux.

«La aplicación insuficiente de políticas en la etiqueta WebView en Google Chrome antes de 143.0.7499.192 permitió que un atacante convenciera a un usuario de instalar una extensión maliciosa para inyectar scripts o HTML en una página privilegiada a través de una extensión de Chrome diseñada», según una descripción en la Base de datos nacional de vulnerabilidad (NVD) del NIST.

Gal Weizman, investigador de la Unidad 42 de Palo Alto Networks, quien descubrió e informó la falla el 23 de noviembre de 2025, dicho el problema podría haber permitido que extensiones maliciosas con permisos básicos tomaran el control del nuevo Panel Géminis en vivo en Chrome. El panel se puede iniciar haciendo clic en el icono de Gemini ubicado en la parte superior de la ventana del navegador. Google integración agregada de Géminis a Chrome en septiembre de 2025.

Un atacante podría haber abusado de este ataque para lograr una escalada de privilegios, permitiéndole acceder a la cámara y al micrófono de la víctima sin su permiso, tomar capturas de pantalla de cualquier sitio web y acceder a archivos locales.

Los hallazgos resaltan un vector de ataque emergente que surge al integrar inteligencia artificial (IA) y capacidades de agente directamente en los navegadores web para facilitar el resumen de contenido en tiempo real, la traducción y la ejecución automatizada de tareas, ya que se podría abusar de las mismas capacidades para realizar acciones privilegiadas.

El problema, en esencia, es la necesidad de otorgar a estos agentes de IA acceso privilegiado al entorno de navegación para realizar operaciones de varios pasos, convirtiéndose así en un arma de doble filo cuando un atacante inserta indicaciones ocultas en una página web maliciosa y se engaña a un usuario víctima para que acceda a ella mediante ingeniería social o algún otro medio.

El mensaje podría indicar al asistente de IA que realice acciones que de otro modo serían bloqueadas por el navegador, lo que provocaría la filtración de datos o la ejecución de código. Peor aún, la página web podría manipular al agente para almacenar las instrucciones en la memorialo que hace que persista entre sesiones.

Además de la superficie de ataque ampliada, Unit 42 dijo que la integración de un panel lateral de IA en navegadores agentes trae de vuelta los riesgos de seguridad clásicos de los navegadores.

«Al colocar este nuevo componente dentro del contexto de alto privilegio del navegador, los desarrolladores podrían crear inadvertidamente nuevos fallos lógicos y debilidades de implementación», dijo Weizman. «Esto podría incluir vulnerabilidades relacionadas con secuencias de comandos entre sitios (XSS), escalada de privilegios y ataques de canal lateral que pueden ser explotados por sitios web o extensiones de navegador con menos privilegios».

Si bien las extensiones del navegador funcionan según un conjunto definido de permisos, la explotación exitosa de CVE-2026-0628 socava el modelo de seguridad del navegador y permite a un atacante ejecutar código arbitrario en «gemini.google».[.]com/app» a través del panel del navegador y obtenga acceso a datos confidenciales.

«Una extensión con acceso a un permiso básico establecido a través del API declarativaNetRequest «Permisos permitidos que podrían haber permitido a un atacante inyectar código JavaScript en el nuevo panel de Gemini», agregó Weizman. «Cuando la aplicación Gemini se carga dentro de este nuevo componente del panel, Chrome la conecta con acceso a potentes capacidades».

Vale la pena señalar que la API declarativeNetRequest permite que las extensiones intercepten y cambien las propiedades de las solicitudes y respuestas web HTTPS. Lo utilizan las extensiones de bloqueo de anuncios para dejar de emitir solicitudes para cargar anuncios en páginas web.

En otras palabras, todo lo que necesita un atacante es engañar a un usuario desprevenido para que instale una extensión especialmente diseñada, que luego podría inyectar código JavaScript arbitrario en el panel lateral de Gemini para interactuar con el sistema de archivos, tomar capturas de pantalla, acceder a la cámara, encender el micrófono: todas las funciones necesarias para que el asistente de IA realice sus tareas.

«Esta diferencia en el tipo de componente que carga la aplicación Gemini es la línea entre el comportamiento por diseño y una falla de seguridad», dijo la Unidad 42. Se espera una extensión que influya en un sitio web. Sin embargo, una extensión que influye en un componente integrado en el navegador supone un grave riesgo de seguridad».