El Departamento de Comercio está elaborando un catálogo de herramientas de inteligencia artificial a las que el gobierno federal otorgará un estatus de exportación especial para su venta en el extranjero.

El departamento emitió un convocatoria de propuestas a las empresas participantes en el Registro Federal, buscando crear un “menú de paquetes prioritarios de exportación de IA que el gobierno de EE. UU. promoverá entre aliados y socios de todo el mundo”.

Las empresas y tecnologías incluidas “serán presentadas por representantes del gobierno de EE. UU. como un paquete permanente y completo de exportación de IA estadounidense y pueden recibir promoción gubernamental prioritaria, revisión y procesamiento de licencias de exportación, coordinación entre agencias y referencias de financiamiento, sujeto a la ley aplicable”, dijo el departamento en un aviso del Registro Federal el viernes.

El paquete de exportación fue ordenado a través de la orden ejecutiva de IA del presidente Donald Trump el año pasado, que describía los paquetes de exportación como parte de un esfuerzo mayor para «garantizar que las tecnologías, estándares y modelos de gobernanza de IA estadounidenses se adopten en todo el mundo» y «asegurar nuestro dominio tecnológico continuo».

«El Programa Estadounidense de Exportaciones de IA cumple con la directiva del presidente Trump de garantizar que los sistemas de IA estadounidenses, construidos sobre hardware confiable, datos seguros e innovación líder a nivel mundial, se implementen a escala en todo el mundo», dijo el Secretario de Comercio Howard Lutnick en un declaración a principios de este mes. «Al promover soluciones estadounidenses integrales, estamos fortaleciendo nuestra seguridad económica y nacional, profundizando los vínculos con aliados y socios y garantizando que el futuro de la IA esté liderado por Estados Unidos».

La orden ejecutiva pedía que se incluyeran ciertas tecnologías en el paquete, incluidos modelos y sistemas de inteligencia artificial, pero también chips de computadora, almacenamiento de centros de datos, servicios en la nube y servicios de redes, junto con «medidas» no especificadas para garantizar la seguridad y la ciberseguridad de los sistemas de inteligencia artificial.

El aviso de Comercio prevé ofrecer múltiples paquetes de tecnología de IA de «equipos permanentes de empresas de IA organizadas para ofrecer una pila completa de tecnología de IA estadounidense a los mercados extranjeros de forma continua». No hay límite en el número de empresas que participan en un consorcio, y el Departamento de Comercio dijo que no se requiere «ninguna estructura legal particular».

Si bien la propuesta en varios puntos se refiere a estos paquetes como “IA estadounidense”, el aviso sí especifica que las empresas extranjeras pueden participar.

De hecho, para ciertas categorías como el hardware, el nivel total de contenido fabricado en Estados Unidos sólo necesita ser del 51% o más. Las empresas miembro que proporcionan datos, software, ciberseguridad o servicios de capa de aplicaciones no pueden estar constituidas ni tener su sede principal en países como China o Rusia, donde las leyes de seguridad nacional pueden obligarlas a trabajar con gobiernos extranjeros o entregar datos confidenciales.

El negocio potencial sería amplio y cubriría a compradores extranjeros de los sectores público y privado en mercados globales, regionales y específicos de cada país. También incluye la posible formación de paquetes separados de empresas y productos «bajo demanda» destinados a «oportunidades extranjeras específicas».

Pero el aviso también establece que las decisiones finales serán tomadas sobre la base del “interés nacional” por los directores de los Departamentos de Comercio, Estado, Defensa y Energía, así como por la Oficina de Ciencia, Tecnología y Política de la Casa Blanca.

El Departamento de Comercio no tiene la intención de clasificar formalmente las propuestas ni utilizar fórmulas de puntuación fija para aprobar paquetes de tecnología para el programa de exportación, y el lenguaje del aviso parece dar amplia libertad a los tomadores de decisiones federales para determinar si una propuesta en particular cumple con el umbral de “interés nacional”.

«Una propuesta que realiza esfuerzos razonables para satisfacer la presunción de contenido estadounidense del 51 por ciento del hardware no tiene derecho automáticamente a la designación, y una propuesta que no satisface esa presunción no queda automáticamente descalificada», decía el aviso.

Los investigadores de ciberseguridad han señalado otra evolución más de la actual gusano de cristal campaña, que emplea un nuevo cuentagotas Zig que está diseñado para infectar sigilosamente todos los entornos de desarrollo integrados (IDE) en la máquina de un desarrollador.

La técnica ha sido descubierta en una extensión Open VSX llamada «specstudio.code-wakatime-actividad-rastreador«, que se hace pasar por WakaTime, una herramienta popular que mide el tiempo que los programadores pasan dentro de su IDE. La extensión ya no está disponible para descargar.

«La extensión […] envía un binario nativo compilado por Zig junto con su código JavaScript», dijo el investigador de Aikido Security, Ilyas Makari. dicho en un análisis publicado esta semana.

«Esta no es la primera vez que GlassWorm recurre al uso código compilado nativo en extensiones. Sin embargo, en lugar de utilizar el binario como carga útil directamente, se utiliza como una dirección indirecta sigilosa para el conocido dropper GlassWorm, que ahora infecta secretamente todos los demás IDE que puede encontrar en su sistema».

La extensión Microsoft Visual Studio Code (VS Code) recientemente identificada es casi una réplica de WakaTime, salvo por un cambio introducido en una función llamada «activate()». La extensión instala un binario llamado «win.node» en sistemas Windows y «mac.node», un binario Mach-O universal si el sistema ejecuta Apple macOS.

Estos complementos nativos de Node.js son bibliotecas compartidas compiladas que están escritas en Zig y se cargan directamente en el tiempo de ejecución de Node y se ejecutan fuera del entorno limitado de JavaScript con acceso completo a nivel del sistema operativo.

Una vez cargado, el objetivo principal del binario es encontrar todos los IDE del sistema que admitan extensiones de VS Code. Esto incluye Microsoft VS Code y VS Code Insiders, así como bifurcaciones como VSCodium, Positron y una serie de herramientas de codificación impulsadas por inteligencia artificial (IA) como Cursor y Windsurf.

Luego, el binario descarga una extensión maliciosa de VS Code (.VSIX) desde un sitio controlado por el atacante. cuenta GitHub. La extensión, llamada «floktokbok.autoimport», se hace pasar por «esteoteatos.autoimport,» una extensión legítima con más de 5 millones de instalaciones en el Visual Studio Marketplace oficial.

En el paso final, el archivo .VSIX descargado se escribe en una ruta temporal y se instala silenciosamente en cada IDE mediante el instalador CLI de cada editor. La extensión VS Code de segunda etapa actúa como un gotero que evita la ejecución en sistemas rusos, se comunica con la cadena de bloques de Solana para buscar el servidor de comando y control (C2), extrae datos confidenciales e instala un troyano de acceso remoto (RAT), que finalmente implementa una extensión de Google Chrome para robar información.

Se recomienda a los usuarios que hayan instalado «specstudio.code-wakatime-activity-tracker» o «floktokbok.autoimport» que asuman un compromiso y roten todos los secretos.

Google ha hecho Credenciales de sesión vinculadas al dispositivo (DBSC) generalmente disponible para todos los usuarios de Windows de su navegador web Chrome, meses después de que comenzara a probar la función de seguridad en versión beta abierta.

La disponibilidad pública está actualmente limitada a usuarios de Windows en Chrome 146, y la expansión de macOS está planificada en una próxima versión de Chrome.

«Este proyecto representa un importante paso adelante en nuestros esfuerzos continuos para combatir el robo de sesiones, que sigue siendo una amenaza frecuente en el panorama de seguridad moderno», dijeron los equipos de seguridad de cuentas y Chrome de Google. dicho en una publicación del jueves.

El robo de sesión implica la filtración encubierta de cookies de sesión del navegador web, ya sea reuniendo las existentes o esperando a que la víctima inicie sesión en una cuenta en un servidor controlado por un atacante.

Normalmente, esto sucede cuando los usuarios descargan inadvertidamente malware para robar información en sus sistemas. Estas familias de malware ladrón (de las cuales hay muchas, como Atomic, Lumma y Vidar Stealer) tienen capacidades para recopilar una amplia gama de información de los sistemas comprometidos, incluidas las cookies.

Debido a que las cookies de sesión suelen tener una vida útil más prolongada, los atacantes pueden aprovecharlas para obtener acceso no autorizado a las cuentas en línea de las víctimas sin tener que conocer sus contraseñas. Una vez recolectados, estos tokens se empaquetan y venden a otros actores de amenazas para obtener ganancias financieras. Los ciberdelincuentes que los adquieran pueden realizar sus propios ataques.

DBSC, anunciado por primera vez por Google en abril de 2024, tiene como objetivo contrarrestar este abuso vinculando criptográficamente la sesión de autenticación a un dispositivo específico. Al hacerlo, la idea es hacer que las cookies pierdan su valor incluso si son robadas por malware.

«Lo hace utilizando módulos de seguridad respaldados por hardware, como el Módulo de plataforma segura (TPM) en Windows y Secure Enclave en macOS, para generar un par de claves pública/privada único que no se puede exportar desde la máquina», explicó Google.

«La emisión de nuevas cookies de sesión de corta duración depende de que Chrome demuestre la posesión de la clave privada correspondiente al servidor. Debido a que los atacantes no pueden robar esta clave, cualquier cookie exfiltrada caducará rápidamente y se volverá inútil para esos atacantes».

En caso de que el dispositivo de un usuario no admita el almacenamiento seguro de claves, DBSC vuelve elegantemente al comportamiento estándar sin interrumpir el flujo de autenticación, Google dicho en su documentación para desarrolladores.

El gigante tecnológico dijo que ha observado una reducción significativa en el robo de sesiones desde su lanzamiento, una indicación temprana del éxito de la contramedida. El lanzamiento oficial es solo el comienzo, ya que la compañía planea llevar DBSC a una gama más amplia de dispositivos e introducir capacidades avanzadas para integrarse mejor con entornos empresariales.

Google, que trabajó con Microsoft para diseñar el estándar con el objetivo de convertirlo en un estándar web abierto, también enfatizó que la arquitectura DBSC es privada por diseño y que el enfoque de clave distinta garantiza que los sitios web no puedan usar las credenciales de sesión para correlacionar la actividad de un usuario en diferentes sesiones o sitios en el mismo dispositivo.

«Además, el protocolo está diseñado para ser sencillo: no filtra identificadores de dispositivos ni datos de certificación al servidor más allá de la clave pública por sesión requerida para certificar la prueba de posesión», añadió. «Este intercambio mínimo de información garantiza que DBSC ayude a proteger las sesiones sin permitir el seguimiento entre sitios ni actuar como un mecanismo de toma de huellas digitales del dispositivo».

Cuando Google anunció el mes pasado que estaba adelantando su propio cronograma interno para migrar a formas de cifrado resistentes a los cuánticos, inició una conversación más amplia en las comunidades de ciberseguridad y criptografía: ¿qué estaba empujando a una de las empresas tecnológicas más grandes del mundo a acelerar significativamente la adopción de protecciones poscuánticas para sus sistemas, dispositivos y datos?

En las semanas posteriores, nuevas investigaciones han dado peso a esas afirmaciones. Una investigación conjunta papel del Instituto de Tecnología de California, su startup tecnológica Oratomic y la Universidad de California concluyeron que los avances tecnológicos en matrices de átomos neutros indican que una computadora cuántica capaz de romper el cifrado clásico puede requerir tan solo 10.000 bits cuánticos (o qubits), no millones como se pensaba anteriormente.

Qian Xu, investigador de CalTech y coautor del artículo, dijo que los hallazgos son significativos e indican que una computadora de este tipo podría estar operativa a finales de la década.

«Durante décadas, el recuento de qubits ha sido visto como el principal obstáculo para la computación cuántica tolerante a fallos», dijo Xu en un comunicado. «Espero que nuestro trabajo ayude a cambiar esa perspectiva».

de google División de IA cuántica publicó su propio artículo de investigación casi al mismo tiempo, esbozando un disminución de veinte veces en la cantidad de qubits físicos que se cree que son necesarios para romper algunas de las formas más populares de algoritmos de cifrado de curva elíptica de 256 bits que se utilizan actualmente para proteger las criptomonedas.

“Observamos que si bien soluciones viables como [post-quantum cryptography] existen, tomará tiempo implementarlos, lo que genera una urgencia cada vez mayor para actuar”, escribieron Ryan Babbush, director de investigación y Hartmut Neven, vicepresidente de ingeniería de Google.

La decisión de Google de acelerar su cambio hacia el cifrado poscuántico refleja un consenso cada vez mayor. Durante el año pasado, CyberScoop escuchó preocupaciones similares de funcionarios gubernamentales y tecnológicos, generalmente centradas en dos amenazas relacionadas con la cuántica que enfrentan los gobiernos y las empresas en la actualidad.

Una es la capacidad de naciones extranjeras y ciberdelincuentes de recopilar datos confidenciales y cifrados hoy con la esperanza de descifrarlos más adelante con una computadora cuántica. Esta técnica de “cosechar ahora, descifrar después” es una de las principales razones por las que los defensores impulsan una adopción más rápida del cifrado poscuántico.

El segundo surge de una serie de avances notables en la computación cuántica ocurridos en los últimos dos años, muchos de ellos liderados por investigadores en China.

Andrew McLaughlin, director de operaciones de Sandbox AQ, una empresa de computación en la nube que se centra en la aplicación de tecnologías de inteligencia artificial y computación cuántica, dijo que las preocupaciones se pueden resumir en “hardware, matemáticas y China”.

Los avances en áreas como las matrices de átomos neutros han proporcionado a los científicos hardware más potente, mientras que avances en matemáticas como el del artículo de investigación de Google han encontrado formas de utilizar ese hardware de manera más eficiente.

Pero también señaló lo que describió como avances emocionantes (y preocupantes) en el campo por parte de algunos de los mayores rivales internacionales de Estados Unidos.

Beijing tiene invirtió mucho en computación cuántica, brindando a científicos de primer nivel como Pan Jianwei, profesor de la Universidad de Ciencia y Tecnología de China, los recursos y el apoyo para empujar los límites del desarrollo tecnológico y posicionar a China como líder mundial en ciencia cuántica.

A finales del año pasado, los medios estatales chinos reportado que Huanyuan 1, una computadora cuántica de 100 qubits desarrollada por investigadores de la Universidad de Wuhan en un programa de subvenciones del gobierno chino, había sido aprobada para uso comercial. Los informes afirman que ya se han procesado pedidos por valor de más de 40 millones de yuanes (o 5,6 millones de dólares) en ventas, incluso a las filiales de la empresa de telecomunicaciones nacional China Mobile y al gobierno de Pakistán.

Los expertos dicen que las computadoras cuánticas representan una amenaza potencialmente excepcional para las criptomonedas basadas en blockchain.

Nathaniel Szerezla, director de crecimiento de Naoris Protocol, una empresa que desarrolla cifrado resistente a los cuánticos para la infraestructura blockchain, dijo que el documento de Oratomic y Caltech ha «cambiado el cronograma» para la planificación en torno al cifrado cuántico, particularmente para las plataformas de criptomonedas y blockchain.

La suposición subyacente era que una computadora cuántica «tolerante a fallas» (es decir, una capaz de amenazar el cifrado clásico) requeriría millones de qubits, pero el artículo sugiere que en realidad sólo necesitaría tan solo 10.000 qubits.

«En última instancia, hemos pasado de planificar una amenaza durante dos décadas a una que se superpone con sistemas que se están implementando y financiando activamente», dijo Szerezla.

Para los activos digitales como las criptomonedas, las implicaciones son “inmediatas” porque el cifrado de clave privada que sustenta miles de millones de dólares en la cadena de bloques nunca fue diseñado para resistir ataques de una computadora cuántica.

«Migrar una cadena de bloques en vivo a estándares poscuánticos es un problema completamente diferente de actualizar un sistema centralizado», continuó Szerezla. «Se trata de libros de contabilidad inmutables, miles de millones de dólares en liquidez bloqueada y una gobernanza descentralizada que no puede exigir una actualización coordinada».

No todo el mundo cree que estemos al borde de un apocalipsis de la piratería cuántica.

En BlueSky Matthew Green, profesor de informática y experto en criptografía de la Universidad Johns Hopkins, llamado Los artículos de Google y Oratomic son un buen análisis “precautorio” del desafío a largo plazo del cifrado cuántico.

Sin embargo, expresó escepticismo en cuanto a que la computación cuántica tuviera suficientes “aplicaciones inmediatas y lucrativas” para impulsar el campo más allá de su etapa de investigación fundamental hacia aplicaciones más prácticas. También cuestionó si algunos de los algoritmos más nuevos resistentes a los cuánticos examinados por el NIST realmente resistirían a una computadora cuántica real. Fueron diseñados para proteger contra una amenaza que todavía es en gran medida teórica, y varios de los algoritmos poscuánticos inicialmente evaluados por el NIST resultaron contener vulnerabilidades que podrían ser explotadas por computadoras clásicas.

Eso, si es que realmente se llega en la próxima década. Green dijo esta semana que no está convencido de que los hacks cuánticos sean algo de qué preocuparse durante su vida, aunque reconoció que la predicción podría «perseguirlo» algún día.

Sin embargo, «apostaría enormes cantidades de dinero contra una computadora cuántica relevante para 2029 o incluso 2035», escribió.

Las principales empresas de tecnología han unido fuerzas en un esfuerzo por utilizar inteligencia artificial avanzada para identificar y abordar fallas de seguridad en los sistemas de software más críticos del mundo, lo que marca un cambio significativo en la forma en que la industria aborda las amenazas de ciberseguridad.

Anthropic anunció el martes el Proyecto Glasswing, que reúne a Amazon, Apple, Broadcom, Cisco, CrowdStrike, Linux Foundation, Microsoft y Palo Alto Networks. La iniciativa se centra en Claude Mythos Preview, un modelo de IA inédito que Anthropic pondrá a disposición exclusivamente de los socios del proyecto y aproximadamente 40 organizaciones adicionales responsables de la infraestructura de software crítica.

Según Anthropic, el modelo ya ha identificado miles de vulnerabilidades previamente desconocidas en su fase de prueba inicial, incluidas fallas de seguridad que han existido en sistemas ampliamente utilizados durante décadas. Entre los descubrimientos se encuentra un error de hace 27 años en OpenBSDun sistema operativo conocido principalmente por su enfoque en la seguridad, y una vulnerabilidad de 16 años en FFmpegun programa de software de vídeo ampliamente utilizado que las herramientas de prueba automatizadas no pudieron detectar a pesar de ejecutar la línea de código afectada cinco millones de veces. La empresa se ha puesto en contacto con los encargados del mantenimiento del software correspondiente y se han solucionado todas las vulnerabilidades encontradas.

Anthropic comprometerá hasta 100 millones de dólares en créditos de uso para el proyecto, junto con 4 millones de dólares en donaciones directas a organizaciones de seguridad de código abierto. La compañía ha declarado que no planea poner Mythos Preview a disposición del público en general, citando preocupaciones sobre el posible mal uso del modelo.

La iniciativa refleja la creciente preocupación dentro del sector tecnológico sobre la naturaleza de doble uso de los sistemas avanzados de IA. Si bien Mythos Preview no fue capacitado específicamente para fines de ciberseguridad, sus capacidades de codificación y razonamiento han demostrado ser efectivas para identificar fallas de seguridad sutiles que han eludido a los analistas humanos y las herramientas automatizadas convencionales.

«Aunque los riesgos de los ciberataques potenciados por la IA son graves, hay motivos para el optimismo: las mismas capacidades que hacen que los modelos de IA sean peligrosos en las manos equivocadas los hacen invaluables para encontrar y corregir fallas en software importante y para producir software nuevo con muchos menos errores de seguridad», dijo la compañía. en una publicación de blog. «El Proyecto Glasswing es un paso importante para brindar a los defensores una ventaja duradera en la próxima era de ciberseguridad impulsada por la IA».

El proyecto surge cuando la industria ha predicho que capacidades similares de IA pronto se generalizarán. Los ejecutivos de Anthropic han indicado que sin una acción coordinada, dichas herramientas podrían eventualmente llegar a actores que podrían implementarlas con fines maliciosos en lugar de trabajos de seguridad defensiva.

Las organizaciones participantes deberán compartir sus hallazgos con la industria en general. El proyecto pone especial énfasis en el software de código abierto, que forma la base de la mayoría de los sistemas modernos, incluida la infraestructura crítica, pero cuyos mantenedores históricamente han carecido de acceso a recursos de seguridad sofisticados.

«El software de código abierto constituye la gran mayoría del código en los sistemas modernos, incluidos los mismos sistemas que los agentes de IA utilizan para escribir nuevo software. Al brindar a los mantenedores de estas bases de código abierto críticas acceso a una nueva generación de modelos de IA que pueden identificar y corregir de manera proactiva vulnerabilidades a escala, el Proyecto Glasswing ofrece un camino creíble para cambiar esa ecuación», dijo Jim Zemlin, director ejecutivo de la Fundación Linux. «Así es como la seguridad aumentada por IA puede convertirse en un compañero confiable para todos los encargados del mantenimiento, no solo para aquellos que pueden permitirse costosos equipos de seguridad».

Además, Anthropic dice que ha entablado conversaciones en curso con funcionarios del gobierno de EE. UU. sobre las capacidades de Mythos Preview. La compañía ha enmarcado el proyecto en términos de seguridad nacional, argumentando que mantener el liderazgo en tecnología de inteligencia artificial representa una prioridad estratégica para Estados Unidos y sus aliados. Antrópico ha sido atrapado en una disputa de alto riesgo con el Departamento de Defensa sobre el uso por parte del ejército estadounidense del modelo Claude AI de la startup en operaciones del mundo real.

El éxito del proyecto dependerá en parte de si el enfoque colaborativo puede seguir el ritmo de los rápidos avances en las capacidades de IA. Anthropic ha indicado que es probable que los sistemas fronterizos de inteligencia artificial avancen sustancialmente en unos meses, creando potencialmente un entorno dinámico donde las capacidades defensivas y ofensivas evolucionan en paralelo.

«El Proyecto Glasswing es un punto de partida», escribió Anthropic en una publicación de blog. «Ninguna organización puede resolver estos problemas de ciberseguridad por sí sola: los desarrolladores de IA de vanguardia, otras empresas de software, los investigadores de seguridad, los mantenedores de código abierto y los gobiernos de todo el mundo tienen roles esenciales que desempeñar. El trabajo de defender la ciberinfraestructura mundial podría llevar años; es probable que las capacidades de IA de vanguardia avancen sustancialmente en los próximos meses. Para que los ciberdefensores salgan adelante, debemos actuar ahora».

Un actor de amenazas con sede en China conocido por implementar el ransomware Medusa ha sido vinculado al uso como arma de una combinación de vulnerabilidades de día cero y día N para orquestar ataques de «alta velocidad» e irrumpir en sistemas susceptibles conectados a Internet.

«El alto ritmo operativo del actor de amenazas y su habilidad para identificar activos perimetrales expuestos han demostrado ser exitosos, con intrusiones recientes que han impactado fuertemente a las organizaciones de atención médica, así como a aquellas en los sectores de educación, servicios profesionales y finanzas en Australia, el Reino Unido y los Estados Unidos», dijo el equipo de Microsoft Threat Intelligence. dicho.

Ataques montados por Tormenta-1175 También han aprovechado exploits de día cero, en algunos casos, antes de que se revelaran públicamente, así como vulnerabilidades reveladas recientemente para obtener acceso inicial. Algunos incidentes han involucrado al actor de amenazas encadenando múltiples exploits (por ejemplo, OWASSRF) para una actividad posterior al compromiso.

Una vez que logra afianzarse, el actor cibercriminal con motivación financiera actúa rápidamente para exfiltrar datos e implementar el ransomware Medusa en un lapso de unos pocos días o, en incidentes selectos, dentro de 24 horas.

Para ayudar en estos esfuerzos, el grupo crea persistencia creando nuevas cuentas de usuario, implementando web shells o software legítimo de administración y monitoreo remoto (RMM) para el movimiento lateral, realizando robo de credenciales e interfiriendo con el funcionamiento normal de las soluciones de seguridad, antes de eliminar el ransomware.

Desde 2023, Storm-1175 se ha relacionado con la explotación de más de 16 vulnerabilidades:

Se dice que tanto CVE-2025-10035 como CVE-2026-23760 fueron explotados como días cero antes de ser divulgados públicamente. A finales de 2024, el equipo de hackers ha demostrado habilidad para atacar sistemas Linux, incluida la explotación de instancias vulnerables de Oracle WebLogic en varias organizaciones. Sin embargo, aún se desconoce la vulnerabilidad exacta que se utilizó como arma en estos ataques.

«Storm-1175 rota los exploits rápidamente durante el tiempo entre la divulgación y la disponibilidad o adopción del parche, aprovechando el período en el que muchas organizaciones permanecen desprotegidas», dijo Microsoft.

Algunas de las tacticas notables observadas en estos ataques son las siguientes:

• Uso de binarios que viven fuera de la tierra (LOLBins), incluidos PowerShell y PsExec, junto con Impacket para movimiento lateral.
• Confiar en PDQ Deployer tanto para el movimiento lateral como para la entrega de carga útil, incluido el ransomware Medusa, en toda la red.
• Modificar las políticas de Firewall de Windows para habilitar el Protocolo de escritorio remoto (RDP) y enviar cargas útiles maliciosas a otros dispositivos.
• Realización de volcado de credenciales mediante Impacket y Mimikatz.
• Configurar las exclusiones de Microsoft Defender Antivirus para evitar que bloquee las cargas útiles de ransomware.
• Aprovechando Bandizip y Rclone para la recopilación y exfiltración de datos, respectivamente.

La implicación más importante aquí es que las herramientas RMM como AnyDesk, Atera, MeshAgent, ConnectWise ScreenConnect o SimpleHelp se están convirtiendo en infraestructuras de doble uso para operaciones encubiertas, ya que permiten a los actores de amenazas combinar tráfico malicioso en plataformas cifradas y confiables y reducir la probabilidad de detección.

La parte más activa de la infraestructura empresarial de la empresa es la estación de trabajo del desarrollador. Esa computadora portátil es donde se crean, prueban, almacenan en caché, copian y reutilizan las credenciales en servicios, bots, herramientas de compilación y, ahora, agentes de IA locales.

En marzo de 2026, el actor de amenazas TeamPCP demostró lo valiosas que son las máquinas de desarrollo. Su ataque a la cadena de suministro contra LiteLLM, una popular biblioteca de desarrollo de inteligencia artificial descargada millones de veces al día, convirtió los puntos finales de los desarrolladores en operaciones sistemáticas de recolección de credenciales. El malware solo necesitaba acceso a los secretos de texto sin formato que ya se encontraban en el disco.

El ataque LiteLLM: un estudio de caso sobre el compromiso de los terminales de los desarrolladores

El ataque fue sencillo en ejecución pero devastador en alcance. TeamPCP comprometió los paquetes LiteLLM versiones 1.82.7 y 1.82.8 en PyPI, inyectando malware de robo de información que se activaba cuando los desarrolladores instalaban o actualizaban el paquete. El malware recopiló sistemáticamente claves SSH, credenciales de nube para AWS, Azure y GCP, configuraciones de Docker y otros datos confidenciales de las máquinas de los desarrolladores.

PyPI eliminó los paquetes maliciosos a las pocas horas de su detección, pero la ventana de daño fue significativa. El análisis de GitGuardian encontró que se configuraron 1.705 paquetes PyPIpara extraer automáticamente las versiones comprometidas de LiteLLM como dependencias. Paquetes populares como dspy (5 millones de descargas mensuales), opik (3 millones) y crawl4ai (1,4 millones) habrían desencadenado la ejecución de malware durante la instalación. El efecto cascada significó que las organizaciones que nunca usaron LiteLLM directamente aún podrían verse comprometidas a través de dependencias transitivas.

Por qué las máquinas de desarrollo son objetivos atractivos

Este patrón de ataque no es nuevo; es simplemente más visible. El Campañas de Shai-Hulud demostró tácticas similares a escala. Cuando GitGuardian analizó 6.943 máquinas de desarrollador comprometidas a partir de ese incidente, los investigadores encontraron 33.185 secretos únicos, de los cuales al menos 3.760 aún eran válidos. Más sorprendente: cada secreto activo apareció en aproximadamente ocho ubicaciones diferentes en la misma máquina, y el 59% de los sistemas comprometidos eran ejecutadores de CI/CD en lugar de computadoras portátiles personales.

Los adversarios ahora entran en la cadena de herramientas a través de dependencias comprometidas, complementos maliciosos o actualizaciones envenenadas. Una vez allí, recopilan datos del entorno local con el mismo enfoque sistemático que utilizan los equipos de seguridad para buscar vulnerabilidades, excepto que buscan credenciales almacenadas en archivos .env, perfiles de shell, historial de terminal, configuraciones IDE, tokens almacenados en caché, artefactos de compilación y almacenes de memoria de agentes de IA.

Los secretos viven en todas partes en texto plano

El malware LiteLLM tuvo éxito porque las máquinas de los desarrolladores son puntos de concentración densos para las credenciales de texto sin formato. Los secretos terminan en árboles de fuentes, archivos de configuración locales, resultados de depuración, comandos de terminal copiados, variables de entorno y scripts temporales. Se acumulan en archivos .env que se suponía que eran solo locales pero que se convirtieron en una parte permanente del código base. La comodidad se convierte en residuo, que a su vez se convierte en oportunidad.

Los desarrolladores ejecutan agentes, servidores MCP locales, herramientas CLI, extensiones IDE, canalizaciones de compilación y flujos de trabajo de recuperación, todos los cuales requieren credenciales. Esas credenciales se distribuyen a través de rutas predecibles donde el malware sabe buscar: ~/.aws/credentials, ~/.config/gh/config.yml, archivos .env del proyecto, historial de shell y directorios de configuración del agente.

Protección de los puntos finales de los desarrolladores a escala

Es importante crear una protección continua en todos los puntos finales del desarrollador donde se acumulan las credenciales. GitGuardian aborda esto extendiendo la seguridad de los secretos más allá de los repositorios de código hasta la propia máquina del desarrollador.

El ataque LiteLLM demostró lo que sucede cuando las credenciales se acumulan en texto sin formato en los puntos finales de los desarrolladores. Esto es lo que puede hacer para reducir esa exposición.

Comprenda su exposición

Comience con la visibilidad. Trate la estación de trabajo como el entorno principal para escanear secretos, no como una ocurrencia tardía. Utilice ggshield para escanear repositorios locales en busca de credenciales que se filtraron en el código o persisten en el historial de Git. Analice las rutas del sistema de archivos donde se acumulan secretos fuera de Git: espacios de trabajo de proyectos, archivos de puntos, resultados de compilación y carpetas de agentes donde las herramientas locales de IA generan registros, cachés y almacenes de «memoria».

ggshield detecta un secreto en un archivo específico desde una ruta

No asuma que las variables de entorno son seguras sólo porque no están en archivos. Los perfiles de Shell, las configuraciones IDE y los artefactos generados a menudo persisten en los valores del entorno en el disco de forma indefinida. Escanee estas ubicaciones de la misma manera que escanea los repositorios.

Agregue ganchos de confirmación previa de ggshield para dejar de crear nuevas fugas en las confirmaciones mientras limpia las antiguas. Esto convierte la detección secreta en una barrera de seguridad predeterminada que detecta los errores antes de que se conviertan en incidentes.

Comando de confirmación previa de ggshield que detecta un secreto

Mover secretos a bóvedas

La detección sin remediación es sólo ruido. Cuando se filtra una credencial, la remediación generalmente requiere la coordinación entre varios equipos: la seguridad identifica la exposición, la infraestructura es propietaria del servicio, es posible que el desarrollador original haya abandonado la empresa y los equipos de producto se preocupan por las interrupciones en la producción. Sin una propiedad clara y una automatización del flujo de trabajo, la remediación se convierte en un proceso manual al que se le quita prioridad.

La solución trata los secretos como identidades administradas con propiedad definida, políticas de ciclo de vida y rutas de reparación automatizadas. Mueva las credenciales a una infraestructura de bóveda centralizada donde los equipos de seguridad puedan aplicar programas de rotación, políticas de acceso y monitoreo de uso. Integre la gestión de incidentes con sus sistemas de emisión de tickets existentes para que la solución se produzca en contexto en lugar de requerir un cambio constante de herramientas.

GitGuardian Analytics que muestra el estado de los secretos que se están monitoreando

Trate a los agentes de IA como riesgos de credenciales

Las herramientas agentes pueden leer archivos, ejecutar comandos y mover datos. Con los agentes estilo OpenClaw, la «memoria» son literalmente archivos en el disco (SOUL.md, MEMORY.md) almacenados en ubicaciones predecibles. Nunca pegue credenciales en los chats de los agentes, nunca les enseñe secretos a los agentes «para más tarde» y escanee de forma rutinaria los archivos de memoria de los agentes como almacenes de datos confidenciales.

Eliminar clases enteras de secretos

La forma más rápida de reducir la proliferación de secretos es eliminar la necesidad de categorías enteras de secretos compartidos. En el lado humano, adopte WebAuthn (claves de acceso) para reemplazar las contraseñas. En cuanto a la carga de trabajo, migre a la federación OIDC, para que las canalizaciones dejen de depender de las claves almacenadas en la nube y los secretos de las cuentas de servicio.

Comience con las rutas de mayor riesgo donde las credenciales filtradas perjudican más y luego amplíe. Mueva el acceso de desarrollador a claves de acceso y migre flujos de trabajo de CI/CD a autenticación basada en OIDC.

Utilice credenciales efímeras

Si aún no puede eliminar los secretos, hágalos de corta duración y reemplácelos automáticamente. Utilice SPIFFE para emitir documentos de identidad criptográficos (SVID) que rotan automáticamente en lugar de depender de claves API estáticas.

Comience con claves de nube, tokens de implementación y credenciales de servicio de larga duración que los desarrolladores conservan localmente para su comodidad. Cambie a tokens de corta duración, rotación automática y patrones de identidad de cargas de trabajo. Cada migración es un secreto menos duradero que puede ser robado y convertido en arma.

El objetivo es reducir el valor que un atacante puede extraer de cualquier punto de apoyo exitoso en una máquina de desarrollador.

Honeytokens como sistemas de alerta temprana

Los Honeytokens brindan protección provisional. Coloque credenciales señuelo en ubicaciones a las que los atacantes apuntan sistemáticamente: directorios de inicio de desarrolladores, rutas de configuración comunes y almacenes de memoria de agentes. Cuando se recolectan y validan, estos tokens generan alertas inmediatas, comprimiendo el tiempo de detección de «descubrir daños semanas después» a «detectar ataques mientras se desarrollan». Este no es el estado final, pero cambia la ventana de respuesta mientras continúa la limpieza sistemática.

Los puntos finales de desarrollador ahora son parte de su infraestructura crítica. Se encuentran en la intersección del privilegio, la confianza y la ejecución. El incidente de LiteLLM demostró que los adversarios entienden esto mejor que la mayoría de los programas de seguridad. Las organizaciones que traten las máquinas de desarrollo con la misma disciplina de gobernanza que ya se aplica a los sistemas de producción serán las que sobrevivan al próximo compromiso de la cadena de suministro.

Se ha observado que los actores de amenazas asociados con las operaciones de ransomware Qilin y Warlock utilizan la técnica de traer su propio controlador vulnerable (BYOVD) para silenciar las herramientas de seguridad que se ejecutan en hosts comprometidos, según los hallazgos de Cisco Talos y Trend Micro.

Se ha descubierto que los ataques Qilin analizados por Talos implementan una DLL maliciosa llamada «msimg32.dll», que inicia una cadena de infección de varias etapas para deshabilitar las soluciones de detección y respuesta de endpoints (EDR). La DLL, lanzada mediante carga lateral de DLL, es capaz de terminar más de 300 controladores EDR de casi todos los proveedores de seguridad del mercado.

«La primera etapa consta de un cargador PE responsable de preparar el entorno de ejecución para el componente asesino de EDR», afirman los investigadores de Talos Takahiro Takeda y Holger Unterbrink. dicho. «Esta carga útil secundaria está integrada en el cargador de forma cifrada».

El cargador de DLL implementa una serie de técnicas para evadir la detección. Neutraliza los enlaces del modo de usuario, suprime los registros de eventos de Event Tracing for Windows (ETW) y toma medidas para ocultar el flujo de control y los patrones de invocación de API. Como resultado, permite que la carga útil principal del asesino de EDR se descifre, cargue y ejecute completamente en la memoria mientras pasa completamente desapercibida.

Una vez iniciado, el malware utiliza dos controladores:

• rwdrv.sys, una versión renombrada de «ThrottleStop.sys» que se utiliza para obtener acceso a la memoria física del sistema y actuar como una capa de acceso al hardware en modo kernel.
• hlpdrv.sys, para finalizar procesos asociados con más de 300 controladores EDR diferentes que pertenecen a diversas soluciones de seguridad.

Vale la pena señalar que ambos controladores se han utilizado como parte de ataques BYOVD llevados a cabo junto con intrusiones de ransomware Akira y Makop.

«Antes de cargar el segundo controlador, el componente asesino de EDR cancela el registro de las devoluciones de llamadas de monitoreo establecidas por el EDR, lo que garantiza que la terminación del proceso pueda continuar sin interferencias», dijo Talos. «Demuestra los trucos sofisticados que emplea el malware para eludir o desactivar por completo las funciones modernas de protección EDR en sistemas comprometidos».

Según las estadísticas recopiladas por CYFIRMA y cinetQilin tiene surgió como el grupo de ransomware más activo en los últimos meses, cobrándose cientos de víctimas. El grupo ha sido vinculado a 22 de los 134 incidentes de ransomware reportados en Japón en 2025, lo que representa el 16,4% de todos los ataques.

«Qilin se basa principalmente en credenciales robadas para obtener acceso inicial», Talos dicho. «Después de traspasar con éxito un entorno objetivo, el grupo pone un énfasis considerable en las actividades posteriores al compromiso, lo que le permite expandir metódicamente su control y maximizar el impacto».

El proveedor de ciberseguridad también señaló que la ejecución de ransomware se produjo en promedio aproximadamente seis días después del compromiso inicial, lo que destaca la necesidad de que las organizaciones detecten la actividad maliciosa en la etapa más temprana posible y eviten la implementación de ransomware.

La divulgación se produce mientras el grupo de ransomware Warlock (también conocido como Water Manaul) continúa explotando servidores Microsoft SharePoint sin parches, mientras actualiza su conjunto de herramientas para mejorar la persistencia, el movimiento lateral y la evasión de defensa. Esto incluye el uso de TightVNC para un control persistente y una solución legítima pero vulnerable. controlador NSec («NSecKrnl.sys») en un ataque BYOVD para cancelar productos de seguridad a nivel de kernel, reemplazando el controlador «googleApiUtil64.sys» utilizado en campañas anteriores.

También se observaron durante el curso del ataque de Warlock en enero de 2026 las siguientes herramientas:

• PsExecpara movimiento lateral.
• RDP Patcher, para facilitar sesiones RDP simultáneas.
• Velociraptor, para comando y control (C2).
• Visual Studio Code y Cloudflare Tunnel, para tunelizar las comunicaciones C2.
• yuzepara la penetración de la intranet y el establecimiento de una conexión de proxy inverso al servidor C2 del atacante a través de HTTP (puerto 80), HTTPS (puerto 443) y DNS (puerto 53).
• Rclone, para exfiltración de datos.

Para contrarrestar las amenazas BYOVD, se recomienda permitir únicamente controladores firmados de editores de confianza explícita, monitorear los eventos de instalación de controladores y mantener un programa riguroso de administración de parches para actualizar el software de seguridad, específicamente aquellos con componentes basados ​​en controladores que podrían explotarse.

«La dependencia de Warlock de controladores vulnerables para desactivar los controles de seguridad requiere una defensa de múltiples capas centrada en la integridad del kernel», Trend Micro dicho. «Por lo tanto, las organizaciones deben pasar de una protección básica de endpoints a aplicar una estricta gobernanza de los controladores y un monitoreo en tiempo real de las actividades a nivel del kernel».

Los investigadores de ciberseguridad han descubierto 36 paquetes maliciosos en el registro npm que están disfrazados de complementos de Strapi CMS pero vienen con diferentes cargas útiles para facilitar la explotación de Redis y PostgreSQL, implementar shells inversos, recopilar credenciales y colocar un implante persistente.

«Cada paquete contiene tres archivos (paquete.json, index.js, postinstall.js), no tiene descripción, repositorio ni página de inicio, y utiliza la versión 3.6.8 para aparecer como un complemento comunitario maduro de Strapi v3», SafeDep dicho.

Todos los paquetes npm identificados siguen la misma convención de nomenclatura, comenzando con «strapi-plugin-» y luego frases como «cron», «base de datos» o «servidor» para engañar a los desarrolladores desprevenidos para que los descarguen. Vale la pena señalar que los complementos oficiales de Strapi tienen su alcance en «@strapi/».

Los paquetes, subidos por cuatro cuentas de títeres de calcetines «umarbek1233», «kekylf12», «tikeqemif26» y «umar_bektembiev1» durante un período de 13 horas, se enumeran a continuación:

• strapi-plugin-cron
• strapi-plugin-config
• servidor-plugin-strapi
• base de datos-plugin-strapi
• strapi-plugin-núcleo
• ganchos-plugin-strapi
• monitor-plugin-strapi
• eventos-plugin-strapi
• registrador-plugin-strapi
• strapi-plugin-salud
• sincronización-plugin-strapi
• semilla-plugin-strapi
• correa-plugin-locale
• formulario-plugin-strapi
• strapi-plugin-notificar
• strapi-plugin-api
• strapi-plugin-sitemap-gen
• complemento-strapi-herramientas-nordicas
• strapi-plugin-nordica-sync
• strapi-plugin-nordica-cms
• complemento-strapi-nordica-api
• complemento-strapi-nordica-recon
• strapi-plugin-nordica-stage
• complemento-strapi-nordica-vhost
• complemento-strapi-nordica-deep
• complemento-strapi-nordica-lite
• complemento-strapi-nordica
• complemento-strapi-finseven
• strapi-plugin-hextest
• complemento-strapi-cms-herramientas
• strapi-plugin-sincronización-de-contenido
• herramientas-depuración-plugin-strapi
• control-de-estado-del-plugin-strapi
• strapi-plugin-guardarian-ext
• complemento-strapi-uuid-avanzado
• complemento-strapi-blurhash

Un análisis de los paquetes revela que el código malicioso está incrustado en el enlace del script postinstalación, que se ejecuta en «npm install» sin requerir ninguna interacción por parte del usuario. Se ejecuta con los mismos privilegios que los del usuario instalador, lo que significa que abusa del acceso raíz dentro de entornos CI/CD y contenedores Docker.

La evolución de las cargas útiles distribuidas como parte de la campaña es la siguiente:

• Utilice una instancia de Redis accesible localmente para la ejecución remota de código inyectando una entrada crontab (también conocida como tabla cron) para descargar y ejecutar un script de shell desde un servidor remoto cada minuto. El script de shell escribe un shell web PHP y un shell inverso de Node.js a través de SSH en el directorio de cargas públicas de Strapi. También intenta escanear el disco en busca de secretos (por ejemplo, Elasticsearch y frases iniciales de billeteras de criptomonedas) y extraer un módulo API Guardarian.
• Combine la explotación de Redis con el escape del contenedor Docker para escribir cargas útiles del shell en el host fuera del contenedor. También inicia un shell inverso directo de Python en el puerto 4444 y escribe un activador de shell inverso en el directorio node_modules de la aplicación a través de Redis.
• Implemente un shell inverso, escriba un descargador de shell a través de Redis y ejecute el archivo resultante.
• Escanee el sistema en busca de variables de entorno y cadenas de conexión de bases de datos PostgreSQL.
• Un recolector de credenciales ampliado y una carga útil de reconocimiento para recopilar volcados de entorno, configuraciones de Strapi, extracción de bases de datos de Redis mediante la ejecución de los comandos INFO, DBSIZE y KEYS, mapeo de topología de red y secretos de Docker/Kubernetes, claves criptográficas y archivos de billetera de criptomonedas.
• Lleve a cabo la explotación de la base de datos PostgreSQL conectándose a la base de datos PostgreSQL del objetivo utilizando credenciales codificadas y consultando tablas específicas de Strapi en busca de secretos. También descarta patrones coincidentes relacionados con criptomonedas (por ejemplo, billetera, transacción, depósito, retiro, activo, frío y saldo) e intenta conectarse a seis bases de datos de Guardarian. Esto indica que el actor de la amenaza ya está en posesión de los datos, obtenidos ya sea mediante un compromiso previo o por algún otro medio.
• Implementar un implante persistente diseñado para mantener el acceso remoto a un nombre de host específico («prod-strapi»).
• Facilite el robo de credenciales escaneando rutas codificadas y generando un shell inverso persistente.

«Las ocho cargas útiles muestran una narrativa clara: el atacante comenzó agresivamente (Redis RCE, Docker escape), descubrió que esos enfoques no funcionaban, giró hacia el reconocimiento y la recopilación de datos, utilizó credenciales codificadas para el acceso directo a la base de datos y finalmente se decidió por el acceso persistente con robo de credenciales dirigido», dijo SafeDep.

La naturaleza de las cargas útiles, combinada con el enfoque en los activos digitales y el uso de credenciales de bases de datos y nombres de host codificados, plantea la posibilidad de que la campaña fuera un ataque dirigido contra una plataforma de criptomonedas. Se recomienda a los usuarios que hayan instalado cualquiera de los paquetes antes mencionados que asuman un compromiso y roten todas las credenciales.

El descubrimiento coincide con el descubrimiento de varios ataques a la cadena de suministro dirigidos al ecosistema de código abierto.

• Una cuenta de GitHub llamada «ezmtebo» ha enviado más de 256 solicitudes de extracción en varios repositorios de código abierto que contienen una carga útil de exfiltración de credenciales. «Roba secretos a través de registros de CI y comentarios de relaciones públicas, inyecta flujos de trabajo temporales para volcar valores secretos, aplica automáticamente etiquetas para evitar las puertas pull_request_target y ejecuta un escáner de fondo/procesamiento durante 10 minutos después de que sale el script principal», dijo SafeDep.
• Un secuestro de «protocolo de desarrollo,» una organización verificada de GitHub, para distribuir robots comerciales maliciosos de Polymarket con dependencias npm con errores tipográficos («ts-bign» y «levex-refa» o «big-nunber» y «lint-builder») que roban claves privadas de billetera, filtran archivos confidenciales y abren una puerta trasera SSH en la máquina de la víctima. Mientras que «levex-refa» funciona como un ladrón de credenciales, «lint-builder» instala el SSH backdoor. Tanto «ts-bign» como «big-nunber» están diseñados para entregar «levex-refa» y «lint-builder», respectivamente, como una dependencia transitiva.
• Un compromiso del popular paquete Emacs «.kubernetes-el/kubernetes-el,» que explotó la vulnerabilidad Pwn Request en su flujo de trabajo de GitHub Actions usando el disparador pull_request_target para robar el GITHUB_TOKEN del repositorio, filtrar secretos de CI/CD, desfigurar el repositorio e inyectar código destructivo para eliminar casi todos los archivos del repositorio.
• Un compromiso de lo legítimo «xygeni/xygeni-acción» Flujo de trabajo de GitHub Actions que utiliza credenciales de mantenedor robadas para colocar una puerta trasera de shell inverso. Desde entonces, Xygeni ha implementaron nuevos controles de seguridad para abordar el incidente.
• Un compromiso del paquete npm legítimo «.mgc,» mediante una apropiación de cuenta para impulsar cuatro versiones maliciosas (1.2.1 a 1.2.4) que contienen un script dropper que detecta el sistema operativo y recupera una carga útil específica de la plataforma (un troyano Python para Linux y una variante de PowerShell para Windows llamada WAVESHAPER.V2) de un Gist de GitHub. El ataque se superpone directamente con el reciente ataque a la cadena de suministro dirigido a Axios, que se ha atribuido a un grupo de amenazas de Corea del Norte rastreado como UNC1069.
• Un paquete npm malicioso llamado «sesión-exprés-js» que escribe «express-session» y contiene un cuentagotas que recupera un troyano de acceso remoto (RAT) de siguiente etapa de JSON Keeper para realizar el robo de datos y el acceso persistente conectándose a «216.126.237[.]71» usando la biblioteca Socket.IO.
• Un compromiso del paquete PyPI legítimo «.billetera-bittensor» (versión 4.0.2), para implementar una puerta trasera que se activa durante una operación de descifrado de billetera para exfiltrar claves de billetera usando HTTPS, túnel DNS y TLS sin formato como canales de exfiltración a un dominio codificado o uno creado usando un algoritmo de generación de dominio (DGA) que se rota diariamente.
• Un paquete PyPI malicioso llamado «pironut» que escribe «pyrogram», un popular marco API de Python Telegram, para incorporar una puerta trasera sigilosa que se activa cada vez que un cliente de Telegram inicia y toma el control de la sesión de Telegram y el sistema host subyacente. «La puerta trasera registra controladores de mensajes ocultos de Telegram que permiten que dos cuentas controladas por atacantes codificadas ejecuten código Python arbitrario (a través del comando /e y la biblioteca meval) y comandos de shell arbitrarios (a través del comando y subproceso /shell) en el servidor de la víctima. máquina», afirmó Endor Labs.
• Un conjunto de tres extensiones maliciosas de Microsoft Visual Studio Code (VS Code) publicadas por «IolitaLabs» – «solidity-macos», «solidity-windows» y «solidity-linux» – que originalmente estaban inactivos desde 2018, pero se actualizaron el 25 de marzo de 2026 para lanzar una puerta trasera de varias etapas dirigida a los sistemas Windows y macOS al iniciar la aplicación para establecer la persistencia. En conjunto, las extensiones tenían 27,500 instalaciones antes de ser eliminadas.
• Múltiples versiones del «KhangNghiem/borrador rápido» Extensión VS Code en Open VSX (0.10.89, 0.10.105, 0.10.106 y 0.10.112) que ejecuta un descargador alojado en GitHub para implementar un Socket.IO RAT de segunda etapa, un ladrón de información, un módulo de exfiltración de archivos y un monitor de portapapeles desde un repositorio de GitHub. Curiosamente, las versiones 0.10.88, 0.10.111 y 0.10.129-135 se han encontrado limpios. «Ese no es el patrón de lanzamiento que se espera de una sola compilación comprometida o de un mantenedor que ha cambiado por completo a un comportamiento malicioso», dijo Aikido. «Parece más bien dos flujos de lanzamiento competitivos que comparten la misma identidad de editor».

En un informe publicado en febrero de 2026, Group-IB reveló que los ataques a la cadena de suministro de software se han convertido en «la fuerza dominante que está remodelando el panorama global de amenazas cibernéticas», y agregó que los actores de amenazas persiguen a proveedores confiables, software de código abierto, plataformas SaaS, extensiones de navegador y proveedores de servicios administrados para obtener acceso heredado a cientos de organizaciones posteriores.

La amenaza a la cadena de suministro puede escalar rápidamente de una sola intrusión localizada a algo que tiene un impacto transfronterizo a gran escala, con atacantes industrializando los compromisos de la cadena de suministro y convirtiéndola en un ecosistema «auto-reforzado», ya que ofrece alcance, velocidad y sigilo.

«Los repositorios de paquetes como npm y PyPI se han convertido en objetivos principales, credenciales de mantenimiento robadas y gusanos de malware automatizados para comprometer bibliotecas ampliamente utilizadas, convirtiendo los canales de desarrollo en canales de distribución a gran escala de código malicioso», Group-IB dicho

Se ha observado una operación de recolección de credenciales a gran escala que explota la vulnerabilidad React2Shell como vector de infección inicial para robar credenciales de bases de datos, claves privadas SSH, secretos de Amazon Web Services (AWS), historial de comandos de shell, claves API de Stripe y tokens de GitHub a escala.

Cisco Talos ha atribuido la operación a un grupo de amenazas que rastrea como UAT-10608. Al menos 766 hosts que abarcan múltiples regiones geográficas y proveedores de nube se han visto comprometidos como parte de la actividad.

«Después del compromiso, UAT-10608 aprovecha scripts automatizados para extraer y filtrar credenciales de una variedad de aplicaciones, que luego se publican en su comando y control (C2)», los investigadores de seguridad Asheer Malhotra y Brandon White. dicho en un informe compartido con The Hacker News antes de su publicación.

«El C2 alberga una interfaz gráfica de usuario (GUI) basada en web titulada ‘NEXUS Listener’ que se puede utilizar para ver información robada y obtener conocimientos analíticos utilizando estadísticas precompiladas sobre las credenciales recopiladas y los hosts comprometidos».

Se considera que la campaña está dirigida a aplicaciones Next.js que son vulnerables a CVE-2025-55182 (puntuación CVSS: 10.0), una falla crítica en los componentes del servidor React y el enrutador de aplicaciones Next.js que podría resultar en la ejecución remota de código, para el acceso inicial, y luego eliminar el marco de recopilación de NEXUS Listener.

Esto se logra mediante un cuentagotas que procede a implementar un script de recolección de múltiples fases que recopila varios detalles del sistema comprometido:

• Variables ambientales
• Entorno analizado JSON desde el tiempo de ejecución JS
• Claves privadas SSH y claves_autorizadas
• Historial de comandos de Shell
• Tokens de cuenta de servicio de Kubernetes
• Configuraciones de contenedores Docker (contenedores en ejecución, sus imágenes, puertos expuestos, configuraciones de red, puntos de montaje y variables de entorno)
• Claves API
• Credenciales temporales asociadas a roles de IAM consultando el servicio de metadatos de instancia para AWS, Google Cloud y Microsoft Azure
• Procesos en ejecución

La compañía de ciberseguridad dijo que la amplitud del conjunto de víctimas y el patrón de focalización indiscriminada se alinean con el escaneo automatizado, probablemente aprovechando servicios como Shodan, Censys o escáneres personalizados, para identificar implementaciones de Next.js accesibles públicamente y probarlas para detectar la vulnerabilidad.

Un elemento central del marco es una aplicación web protegida con contraseña que pone todos los datos robados a disposición del operador a través de una interfaz gráfica de usuario que presenta capacidades de búsqueda para examinar la información.

«La aplicación contiene una lista de varias estadísticas, incluida la cantidad de hosts comprometidos y el número total de cada tipo de credencial que se extrajo con éxito de esos hosts», dijo Talos. «La aplicación web permite al usuario navegar a través de todos los hosts comprometidos. También enumera el tiempo de actividad de la propia aplicación».

La versión actual de NEXUS Listener es V3, lo que indica que la herramienta ha pasado por importantes iteraciones de desarrollo antes de llegar a la etapa actual.

Talos, que pudo obtener datos de una instancia de NEXUS Listener no autenticada, dijo que contenía claves API asociadas con Stripe, plataformas de inteligencia artificial (OpenAI, Anthropic y NVIDIA NIM), servicios de comunicación (SendGrid y Brevo), junto con tokens de bot de Telegram, secretos de webhook, tokens de GitHub y GitLab, cadenas de conexión de bases de datos y otros secretos de aplicaciones.

La extensa operación de recopilación de datos destaca cómo los delincuentes podrían utilizar el acceso a hosts comprometidos como arma para realizar ataques posteriores. Se recomienda a las organizaciones que auditen sus entornos para hacer cumplir el principio de privilegio mínimo, habilitar el escaneo secreto, evitar la reutilización de pares de claves SSH, implementar la aplicación de IMDSv2 en todas las instancias de AWS EC2 y rotar las credenciales si se sospecha que están comprometidas.

«Más allá del valor operativo inmediato de las credenciales individuales, el conjunto de datos agregado representa un mapa detallado de la infraestructura de las organizaciones víctimas: qué servicios ejecutan, cómo están configurados, qué proveedores de nube utilizan y qué integraciones de terceros existen», dijeron los investigadores.

«Esta inteligencia tiene un valor significativo para diseñar ataques de seguimiento dirigidos, campañas de ingeniería social o vender acceso a otros actores de amenazas».