Los investigadores de ciberseguridad han revelado detalles de un error ahora parcheado que afecta el proceso de escaneo previo a la publicación de Open VSX y hace que la herramienta permita que una extensión maliciosa de Microsoft Visual Studio Code (VS Code) pase el proceso de investigación y entre en funcionamiento en el registro.

«La canalización tenía un único valor de retorno booleano que significaba ‘no hay escáneres configurados’ y ‘todos los escáneres no pudieron ejecutarse’», Oran Simhony, investigador de Koi Security. dicho en un informe compartido con The Hacker News. «La persona que llamó no pudo notar la diferencia. Entonces, cuando los escáneres fallaron bajo carga, Open VSX lo trató como ‘nada que buscar’ y agitó la extensión directamente».

A principios del mes pasado, la Fundación Eclipse, que mantiene Open VSX, anunció planes para hacer cumplir controles de seguridad previos a la publicación antes de que las extensiones de VS Code se publiquen en el repositorio en un intento de abordar el creciente problema de las extensiones maliciosas.

Dado que Open VSX también sirve como mercado de extensiones para Cursor, Windsurf y otras bifurcaciones de VS Code, la medida fue vista como un enfoque proactivo para evitar que se publiquen extensiones maliciosas en primer lugar. Como parte del análisis previo a la publicación, las extensiones que no superan el proceso se ponen en cuarentena para revisión del administrador.

La vulnerabilidad descubierta por Koi, cuyo nombre en código Sésamo abiertotiene que ver con cómo este servicio basado en Java informa los resultados del análisis. Específicamente, se debe al hecho de que malinterpreta las fallas en el trabajo del escáner, ya que no hay escáneres configurados, lo que hace que una extensión se marque como aprobada y luego se active inmediatamente y esté disponible para su descarga desde Open VSX.

Al mismo tiempo, también puede hacer referencia a un escenario en el que los analizadores existen y los trabajos del analizador han fallado y no se pueden poner en cola porque el grupo de conexiones de la base de datos está agotado. Aún más preocupante, un servicio de recuperación diseñado para reintentar análisis fallidos sufrió el mismo problema, permitiendo así que las extensiones omitan todo el proceso de análisis bajo ciertas condiciones.

Un atacante puede aprovechar esta debilidad para inundar el punto final de publicación con varias extensiones .VSIX maliciosas, lo que provoca que la carga simultánea agote el grupo de conexiones de la base de datos. Esto, a su vez, conduce a un escenario en el que los trabajos de escaneo no se ponen en cola.

Lo notable del ataque es que no requiere ningún privilegio especial. Un actor malicioso con una cuenta de editor gratuita podría haber activado de manera confiable esta vulnerabilidad para socavar el proceso de escaneo y publicar su extensión. El problema era dirigido en Abierto VSX versión 0.32.0 el mes pasado luego de la divulgación responsable el 8 de febrero de 2026.

«El escaneo previo a la publicación es una capa importante, pero es una capa», dijo Koi. «El diseño del oleoducto es sólido, pero un solo valor booleano que no podía distinguir entre ‘nada que hacer’ y ‘algo salió mal’ convirtió toda la infraestructura en una puerta que se abrió bajo presión».

«Este es un antipatrón común: manejo de errores de apertura fallida escondido detrás de una ruta de código diseñada para un caso legítimo de ‘nada que hacer’. Si está creando canalizaciones similares, haga explícitos los estados de falla. Nunca permita que ‘no se necesita trabajo’ y ‘trabajo fallido’ compartan un valor de retorno».

Citrix ha lanzado actualizaciones de seguridad para abordar dos vulnerabilidades en NetScaler ADC y NetScaler Gateway, incluida una falla crítica que podría explotarse para filtrar datos confidenciales de la aplicación.

Las vulnerabilidades se enumeran a continuación:

• CVE-2026-3055 (Puntuación CVSS: 9,3) – Validación de entrada insuficiente que provoca una lectura excesiva de la memoria
• CVE-2026-4368 (Puntuación CVSS: 7,7) – Condición de carrera que provoca una confusión en la sesión del usuario

Empresa de ciberseguridad Rapid7 dicho que CVE-2026-3055 se refiere a una lectura fuera de límites que podría ser explotada por atacantes remotos no autenticados para filtrar información potencialmente confidencial de la memoria del dispositivo.

Sin embargo, para que la explotación sea exitosa, el dispositivo Citrix ADC o Citrix Gateway debe estar configurado como proveedor de identidad SAML (SAML IDP), lo que significa que las configuraciones predeterminadas no se ven afectadas. Para determinar si el dispositivo se ha configurado como perfil IDP SAML, Citrix insta a los clientes a inspeccionar su configuración de NetScaler para ver la cadena especificada: «agregar autenticación samlIdPProfile .*».

CVE-2026-4368, por otro lado, requiere que el dispositivo esté configurado como una puerta de enlace (es decir, SSL VPN, ICA Proxy, CVPN y RDP Proxy) o una autenticación, autorización y contabilidad (aaa) servidor. Los clientes pueden verificar la configuración de NetScaler para determinar si sus dispositivos se han configurado como cualquiera de los nodos:

• Servidor virtual AAA: agregue autenticación vserver.*
• Puerta de enlace: agregue vpn vserver.*

Las vulnerabilidades afectan a NetScaler ADC y NetScaler Gateway versiones 14.1 anteriores a 14.1-66.59 y 13.1 anteriores a 13.1-62.23, así como a NetScaler ADC 13.1-FIPS y 13.1-NDcPP anteriores a 13.1-37.262. Se recomienda a los usuarios que apliquen las últimas actualizaciones lo antes posible para una protección óptima.

Si bien no hay evidencia de que las deficiencias hayan sido explotadas en la naturaleza, las fallas de seguridad en los dispositivos NetScaler han sido explotadas repetidamente por actores de amenazas (CVE-2023-4966, también conocido como Citrix Bleed, CVE-2025-5777, también conocido como Citrix Bleed 2, CVE-2025-6543 y CVE-2025-7775), lo que hace imperativo que los usuarios tomen medidas para actualizar sus instancias.

«CVE-2026-3055 permite a atacantes no autenticados filtrar y leer memoria sensible de implementaciones de NetScaler ADC. Si suena familiar, es porque lo es: esta vulnerabilidad suena sospechosamente similar a Citrix Bleed y Citrix Bleed 2, que continúan representando un evento traumático para muchos», dijo el CEO y fundador de watchTowr, Benjamin Harris, a The Hacker News.

«Los NetScalers son soluciones críticas que han sido objeto continuamente de acceso inicial a entornos empresariales. Si bien el aviso acaba de publicarse, los defensores deben actuar rápidamente. Cualquiera que ejecute versiones afectadas debe aplicar parches urgentemente. Es muy probable que se produzca una explotación inminente».

Sansec advierte sobre una falla de seguridad crítica en la API REST de Magento que podría permitir a atacantes no autenticados cargar ejecutables arbitrarios y lograr la ejecución de código y el control de cuentas.

La vulnerabilidad ha sido nombrada en código. PoliShell por Sansec debido a que el ataque consiste en disfrazar el código malicioso como una imagen. No hay evidencia de que la deficiencia haya sido explotada en la naturaleza. La falla en la carga de archivos sin restricciones afecta a todas las versiones de Magento Open Source y Adobe Commerce hasta 2.4.9-alpha2.

La firma de seguridad holandesa dijo que el problema surge del hecho de que la API REST de Magento acepta cargas de archivos como parte de las opciones personalizadas para el artículo del carrito.

«Cuando una opción de producto tiene el tipo ‘archivo’, Magento procesa un objeto file_info incrustado que contiene datos de archivo codificados en base64, un tipo MIME y un nombre de archivo», indica. dicho. «El archivo está escrito en pub/media/custom_options/quote/ en el servidor».

Dependiendo de la configuración del servidor web, la falla puede permitir la ejecución remota de código mediante la carga de PHP o la apropiación de cuentas a través de XSS almacenado.

Sansec también señaló que Adobe solucionó el problema en la rama de prelanzamiento 2.4.9 como parte de APSB25-94pero deja las versiones de producción actuales sin un parche aislado.

«Si bien Adobe proporciona una configuración de servidor web de muestra que limitaría en gran medida las consecuencias, la mayoría de las tiendas utilizan una configuración personalizada de su proveedor de alojamiento», añadió.

Para mitigar cualquier riesgo potencial, se recomienda a las tiendas de comercio electrónico que realicen los siguientes pasos:

• Restrinja el acceso al directorio de carga («pub/media/custom_options/»).
• Verifique que las reglas de nginx o Apache impidan el acceso al directorio.
• Escanee las tiendas en busca de web shells, puertas traseras y otro malware.

«Bloquear el acceso no bloquea las cargas, por lo que las personas aún podrán cargar códigos maliciosos si no estás utilizando un WAF especializado [Web Application Firewall]», dijo Sansec.

El desarrollo se produce cuando Netcraft señaló una campaña en curso que involucra el compromiso y la desfiguración de miles de sitios de comercio electrónico Magento en múltiples sectores y geografías. La actividad, que comenzó el 27 de febrero de 2026, implica que el actor de amenazas cargue archivos de texto sin formato en directorios web de acceso público.

«Los atacantes han implementado archivos de texto de destrucción de datos en aproximadamente 15.000 nombres de host que abarcan 7.500 dominios, incluida la infraestructura asociada con marcas globales prominentes, plataformas de comercio electrónico y servicios gubernamentales», dijo la investigadora de seguridad Gina Chow. dicho.

Actualmente no está claro si los ataques explotan una vulnerabilidad específica de Magento o una mala configuración, y es obra de un único actor de amenazas. La campaña ha impactado la infraestructura de varias marcas reconocidas a nivel mundial, incluidas Asus, FedEx, Fiat, Lindt, Toyota y Yamaha, entre otras.

Hacker News también se comunicó con Netcraft para comprender si esta actividad tiene una conexión con PolyShell, y actualizaremos la historia si recibimos respuesta.

Una falla de seguridad de alta gravedad que afecta las instalaciones predeterminadas de las versiones 24.04 y posteriores de Ubuntu Desktop podría aprovecharse para escalar privilegios al nivel raíz.

Seguimiento como CVE-2026-3888 (Puntuación CVSS: 7,8), el problema podría permitir a un atacante tomar el control de un sistema vulnerable.

«Esta falla (CVE-2026-3888) permite a un atacante local sin privilegios escalar privilegios a acceso raíz completo mediante la interacción de dos componentes estándar del sistema: snap-confine y systemd-tmpfiles», informó la Unidad de Investigación de Amenazas de Qualys (TRU) dicho. «Si bien el exploit requiere una ventana de tiempo específica (10 a 30 días), el impacto resultante es un compromiso total del sistema host».

El problema, señaló Qualys, surge de la interacción no intencionada de snap-confine, que administra los entornos de ejecución para aplicaciones instantáneas mediante la creación de un entorno limitado, y systemd-tmpfiles, que limpia automáticamente archivos y directorios temporales (por ejemplo,/tmp, /run y /var/tmp) más antiguos que un umbral definido.

La vulnerabilidad ha sido parcheada en las siguientes versiones:

• Ubuntu 24.04 LTS: versiones snapd anteriores a 2.73+ubuntu24.04.1
• Ubuntu 25.10 LTS: versiones snapd anteriores a 2.73+ubuntu25.10.1
• Ubuntu 26.04 LTS (Dev): versiones snapd anteriores a 2.74.1+ubuntu26.04.1
• Snapd ascendente: versiones anteriores a 2.75

El ataque requiere privilegios bajos y ninguna interacción del usuario, aunque la complejidad del ataque es alta debido al mecanismo de retardo en la cadena de explotación.

«En las configuraciones predeterminadas, systemd-tmpfiles está programado para eliminar datos obsoletos en /tmp», dijo Qualys. «Un atacante puede aprovechar esto manipulando el momento de estos ciclos de limpieza».

El ataque se desarrolla de la siguiente manera:

• El atacante debe esperar a que el demonio de limpieza del sistema elimine un directorio crítico (/tmp/.snap) requerido por snap-confine. El período predeterminado es de 30 días en Ubuntu 24.04 y de 10 días en versiones posteriores.
• Una vez eliminado, el atacante recrea el directorio con cargas útiles maliciosas.
• Durante la siguiente inicialización de la zona de pruebas, ajuste el ajuste unir montajes estos archivos como raíz, lo que permite la ejecución de código arbitrario dentro del contexto privilegiado.

Además, Qualys dijo que descubrió una falla en la condición de carrera en el paquete uutils coreutils que permite a un atacante local sin privilegios reemplazar entradas de directorio con enlaces simbólicos (también conocidos como enlaces simbólicos) durante ejecuciones cron de propiedad raíz.

«La explotación exitosa podría conducir a la eliminación arbitraria de archivos como raíz o a una mayor escalada de privilegios al apuntar a directorios de espacio aislado», dijo la compañía de ciberseguridad. «La vulnerabilidad se informó y mitigó antes del lanzamiento público de Ubuntu 25.10. El comando rm predeterminado en Ubuntu 25.10 se revirtió a GNU coreutils para mitigar este riesgo de inmediato. Desde entonces, se han aplicado correcciones iniciales al repositorio de uutils».

Investigadores de ciberseguridad han revelado una falla de seguridad crítica que afecta al demonio telnet GNU InetUtils (telnetd) y que podría ser explotada por un atacante remoto no autenticado para ejecutar código arbitrario con privilegios elevados.

La vulnerabilidad, rastreada como CVE-2026-32746tiene una puntuación CVSS de 9,8 sobre 10,0. Se ha descrito como un caso de escritura fuera de límites en el controlador de subopción Establecer caracteres locales (SLC) de LINEMODE que resulta en un desbordamiento del búfer, lo que en última instancia allana el camino para la ejecución del código.

La empresa israelí de ciberseguridad Dream, que descubrió e informó la falla el 11 de marzo de 2026, dijo que afecta a todas las versiones de la implementación del servicio Telnet hasta la 2.7. Se espera que una solución para la vulnerabilidad esté disponible a más tardar el 1 de abril de 2026.

«Un atacante remoto no autenticado puede aprovechar esto enviando un mensaje especialmente diseñado durante el protocolo de enlace de conexión inicial, antes de que aparezca cualquier mensaje de inicio de sesión», Dream dicho en una alerta. «Una explotación exitosa puede resultar en la ejecución remota de código como root».

«Una única conexión de red al puerto 23 es suficiente para desencadenar la vulnerabilidad. No se requieren credenciales, ninguna interacción del usuario ni una posición especial en la red».

El controlador SLC, según Dream, procesa la negociación de opciones durante el protocolo de enlace Telnet. Pero dado que la falla puede activarse antes de la autenticación, un atacante puede convertirla en un arma inmediatamente después de establecer una conexión enviando mensajes de protocolo especialmente diseñados.

Una explotación exitosa podría comprometer completamente el sistema si telnetd se ejecuta con privilegios de root. Esto, a su vez, podría abrir la puerta a diversas acciones posteriores a la explotación, incluido el despliegue de puertas traseras persistentes, exfiltración de datos y movimiento lateral mediante el uso de hosts comprometidos como puntos de pivote.

«Un atacante no autenticado puede activarlo conectándose al puerto 23 y enviando una subopción SLC diseñada con muchos tripletes». de acuerdo a al investigador de seguridad de Dream, Adiel Sol.

«No es necesario iniciar sesión; el error se detecta durante la negociación de opciones, antes del mensaje de inicio de sesión. El desbordamiento corrompe la memoria y puede convertirse en escrituras arbitrarias. En la práctica, esto puede conducir a la ejecución remota de código. Debido a que telnetd generalmente se ejecuta como root (por ejemplo, bajo inetd o xinetd), un exploit exitoso le daría al atacante control total del sistema».

A falta de una solución, se recomienda desactivar el servicio si no es necesario, ejecutar telnetd sin privilegios de root cuando sea necesario, bloquear el puerto 23 en el perímetro de la red y el nivel del firewall basado en host para restringir el acceso y aislar el acceso a Telnet.

La divulgación se produce casi dos meses después de que se revelara otra falla de seguridad crítica en GNU InetUtils telnetd (CVE-2026-24061, puntuación CVSS: 9,8) que podría aprovecharse para obtener acceso raíz a un sistema de destino. Desde entonces, la vulnerabilidad ha sido objeto de explotación activa en la naturaleza, según la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU.

Dos extensiones de Google Chrome se han vuelto maliciosas tras lo que parece ser un caso de transferencia de propiedadofreciendo a los atacantes una forma de enviar malware a clientes posteriores, inyectar código arbitrario y recopilar datos confidenciales.

Las extensiones en cuestión, ambas originalmente asociadas con un desarrollador llamado «akshayanuonline@gmail.com» (BuildMelon), se enumeran a continuación:

• QuickLens – Pantalla de búsqueda con Google Lens (ID: kdenlnncndfnhkognokgfpabgkgehodd) – 7000 usuarios
• ShotBird: desplazamiento de capturas de pantalla, imágenes de tweets y editor (ID: gengfhhkjekmlejbhmmopegofnoifnjp) – 800 usuarios

Si bien QuickLens ya no está disponible para descargar desde Chrome Web Store, ShotBird permanece accesible al momento de escribir este artículo. ShotBird fue lanzado originalmente en noviembre de 2024, con su desarrollador, Akshay Anu S (@AkshayAnuOnline), reclamando en X que la extensión es adecuada para «crear imágenes profesionales tipo estudio» y que todo el procesamiento se realiza localmente.

De acuerdo a investigación Publicado por monxresearch-sec, el complemento del navegador recibió una marca de «Destacado» en enero de 2025, antes de pasarlo a un desarrollador diferente («loraprice198865@gmail.com») en algún momento del mes pasado.

De manera similar, QuickLens fue puesto a la venta en ExtensionHub el 11 de octubre de 2025 por «akshayanuonline@gmail.com» apenas dos días después de su publicación, John Tuckner de Anexo Security. dicho. El 1 de febrero de 2026, el propietario de la extensión cambió a «support@doodlebuggle.top» en la página de listado de Chrome Web Store.

La actualización maliciosa introducida a QuickLens el 17 de febrero de 2026 mantuvo la funcionalidad original pero introdujo capacidades para eliminar encabezados de seguridad (por ejemplo, X-Frame-Options) de cada respuesta HTTP, lo que permite que scripts maliciosos inyectados en una página web realicen solicitudes arbitrarias a otros dominios, omitiendo la Política de seguridad de contenido (CSP) protecciones.

Además, la extensión contenía código para tomar huellas digitales del país del usuario, detectar el navegador y el sistema operativo, y sondea un servidor externo cada cinco minutos para recibir JavaScript, que se almacena en el almacenamiento local del navegador y se ejecuta en cada carga de página agregando un GIF oculto de 1×1. elemento y estableciendo la cadena JavaScript como su atributo «onload». Esto, a su vez, hace que el código malicioso se ejecute una vez cargada la imagen.

«El código malicioso real nunca aparece en los archivos fuente de la extensión», explicó Tuckner. «El análisis estático muestra una función que crea elementos de imagen. Eso es todo. Las cargas útiles se entregan desde el C2 y se almacenan en el almacenamiento local; sólo existen en tiempo de ejecución».

Un análisis similar de la extensión ShotBird realizado por monxresearch-sec ha descubierto el uso de devoluciones de llamada directas para entregar código JavaScript en lugar de crear una imagen de 1×1 píxeles para activar la ejecución. El JavaScript está diseñado para mostrar un mensaje falso de actualización del navegador Google Chrome, haciendo clic en qué usuarios reciben una página estilo ClickFix para abrir el cuadro de diálogo Ejecutar de Windows, iniciar «cmd.exe» y pegar un comando de PowerShell, lo que resulta en la descarga de un ejecutable llamado «googleupdate.exe» en los hosts de Windows.

Luego, el malware procede a enlazar la entrada, el área de texto, seleccionar elementos HTML y capturar cualquier dato ingresado por la víctima. Esto podría incluir credenciales, PIN, detalles de tarjetas, tokens e identificadores gubernamentales. También está equipado para desviar datos almacenados en el navegador web Chrome, como contraseñas, historial de navegación e información relacionada con extensiones.

«Esta es una cadena de abuso de dos etapas: control remoto del navegador del lado de la extensión más pivote de ejecución a nivel de host a través de actualizaciones falsas», dijo el investigador. «El resultado es una exposición de datos de alto riesgo en el navegador y una ejecución confirmada de secuencias de comandos del lado del host en al menos un sistema afectado. En términos prácticos, esto eleva el impacto del abuso exclusivo del navegador a un posible robo de credenciales y un compromiso más amplio de los terminales».

Se evalúa que el mismo actor de amenazas está detrás del compromiso de las dos extensiones y está operando dichos complementos en paralelo, dado el uso de un patrón de arquitectura de comando y control (C2) idéntico, los señuelos ClickFix inyectados en el contexto de navegación y la transferencia de propiedad como vector de infección.

Curiosamente, el desarrollador de la extensión original ha publicado varios otro extensiones bajo su nombre en Chrome Web Store y todos ellos han recibido una insignia de Destacados. El desarrollador también tiene un cuenta en ExtensionHubaunque actualmente no hay extensiones a la venta. Es más, el individuo tiene atentado para vender dominios como «AIInfraStack[.]com» por $2500, indicando que el «dominio de palabras clave fuertes» es «relevante para [sic] Ecosistema de IA en rápido crecimiento».

«Este es, en pocas palabras, el problema de la extensión de la cadena de suministro», dijo Anexo Security. «Una extensión funcional ‘destacada’, revisada, cambia de manos y el nuevo propietario envía una actualización armada a cada usuario existente».

La divulgación se produce cuando Microsoft advirtió sobre las extensiones maliciosas del navegador basadas en Chromium que se hacen pasar por herramientas legítimas de asistencia de inteligencia artificial para recopilar historiales de chat de LLM y datos de navegación.

«A escala, esta actividad convierte una extensión de productividad aparentemente confiable en un mecanismo de recopilación de datos persistente integrado en el uso cotidiano del navegador empresarial, lo que destaca el creciente riesgo que representan las extensiones del navegador en entornos corporativos», dijo el equipo de investigación de seguridad de Microsoft Defender. dicho.

En las últimas semanas, los cazadores de amenazas también han detectado una extensión maliciosa de Chrome llamada lmΤoken Chromophore (ID: bbhaganppipihlhjgaaeeeefbaoihcgi) que se hace pasar por imToken mientras se anuncia como un visualizador de colores hexadecimales en Chrome Web Store para robar frases iniciales de criptomonedas mediante redirecciones de phishing.

«En lugar de proporcionar la herramienta inofensiva que promete, la extensión abre automáticamente un sitio de phishing controlado por un actor de amenazas tan pronto como se instala, y nuevamente cada vez que el usuario hace clic en él», dijo el investigador de Socket Kirill Boychenko. dicho.

«Durante la instalación, la extensión obtiene una URL de destino desde un punto final JSONKeeper codificado (jsonkeeper[.]com/b/KUWNE) y abre una pestaña que apunta a un dominio similar al estilo Chrome Web Store, chromewedbstorre-detail-extension[.]com. La página de inicio se hace pasar por imToken utilizando homoglifos de escritura mixta y canaliza a las víctimas hacia flujos de captura de credenciales que solicitan una frase inicial de 12 o 24 palabras o una clave privada».

Otras extensiones maliciosas marcado por Palo Alto Networks Se ha descubierto que la Unidad 42 de Networks participa en secuestro de afiliados y exfiltración de datos, uno de ellos: Chrome MCP Server – AI Browser Control (ID: fpeabamapgecnidibdmjoepaiehokgda) – servicio como un troyano de acceso remoto completo mientras se hace pasar por una herramienta de automatización de inteligencia artificial que utiliza el protocolo de contexto modelo (MCP).

Los investigadores de Unit 42 también han revelado que tres extensiones populares de Chrome, a saber, Urban VPN Proxy, Urban Browser Guard y Urban Ad Blocker, que fueron identificadas por Koi como extractoras de conversaciones de IA de varios chatbots como OpenAI ChatGPT, Anthropic Claude, Microsoft Copilot, DeepSeek, Google Gemini, xAI Grok, Meta AI y Perplexity, han regresado a Chrome Web Store.

«Tras la divulgación pública de la campaña el 15 de diciembre de 2025, el desarrollador actualizó las versiones benignas en enero de 2026, probablemente en respuesta al informe», afirman los investigadores Qinge Xie, Nabeel Mohamed, Shresta Bellary Seetharam, Fang Liu, Billy Melicher y Alex Starov. dicho.

Además, la empresa de ciberseguridad identificó una extensión denominada Palette Creator (ID: iofmialeiddolmdlkbheakaefefkjokp), que cuenta con más de 100.000 usuarios y cuya versión anterior se comunicaba con conocidos indicadores de red asociados a una campaña denominada RedDirection para realizar secuestro de navegador.

Eso no es todo. Una nueva campaña que comprende Se ha descubierto que más de 30.000 dominios inician una cadena de redireccionamiento para dirigir el tráfico a una página de destino («algoritmo ansible[.]com») que se utiliza para distribuir una extensión de Chrome llamada OmniBar AI Chat and Search (ID: ajfanjhcdgaohcbphpaceglgpgaaohod).

La extensión utiliza la API chrome_settings_overrides para modificar la configuración de Chrome y configurar la página de inicio del navegador en omnibar.[.]ai, además de convertir el proveedor de búsqueda predeterminado en una URL personalizada: «go.omnibar[.]ai/?api=omni&sub1=omnibar.ai&q={searchTerms}​» y realizar un seguimiento de las consultas a través de un parámetro API.

Se cree que el objetivo final es realizar un secuestro de navegador como parte de lo que parece ser un plan de marketing de afiliación a gran escala, dijo Unit 42, añadiendo que identificó otras dos extensiones que exhiben el mismo comportamiento de secuestro de navegador consistente con OmniBar a través de la anulación de la página de inicio y la interceptación de búsqueda.

• Herramienta de algoritmo de salida de IA (ID: eeoonfhmbjlmienmmbgapfloddpmoalh)
• Extensión oficial de Serpey.com (ID: hokdpdlchkgcenfpiibjjfkfmleoknkp)

Una investigación más profunda de tres extensiones más publicadas por el mismo desarrollador («jon@status77.com» y Status 77) ha descubierto que dos de ellas rastrean la actividad de navegación del usuario para inyectar marcadores de afiliados, mientras que una tercera extrae y transmite hilos de comentarios de Reddit del usuario a un punto final API controlado por el desarrollador.

• Care.Sale (ID: jaioobipjdejpeckgojiojjahmkiaihp)
• Extensión oficial de cupones gigantes (ID: akdajpomgjgldidenledjjiemgkjcchc)
• Consenso: resumen de comentarios de Reddit (ID: mkkfklcadlnkhgapjeejemflhamcdjld)

Se recomienda a los usuarios que hayan instalado cualquiera de las extensiones antes mencionadas que las eliminen de sus navegadores con efecto inmediato, eviten la carga lateral o la instalación de extensiones de productividad no verificadas y auditen los navegadores en busca de extensiones desconocidas y las desinstalen.

Investigadores de ciberseguridad han revelado detalles de una falla de seguridad ahora parcheada en Google Chrome que podría haber permitido a los atacantes escalar privilegios y obtener acceso a archivos locales en el sistema.

La vulnerabilidad, rastreada como CVE-2026-0628 (puntuación CVSS: 8,8), se ha descrito como un caso de aplicación insuficiente de políticas en la etiqueta WebView. Fue parcheado por Google a principios de enero de 2026 en la versión 143.0.7499.192/.193 para Windows/Mac y 143.0.7499.192 para Linux.

«La aplicación insuficiente de políticas en la etiqueta WebView en Google Chrome antes de 143.0.7499.192 permitió que un atacante convenciera a un usuario de instalar una extensión maliciosa para inyectar scripts o HTML en una página privilegiada a través de una extensión de Chrome diseñada», según una descripción en la Base de datos nacional de vulnerabilidad (NVD) del NIST.

Gal Weizman, investigador de la Unidad 42 de Palo Alto Networks, quien descubrió e informó la falla el 23 de noviembre de 2025, dicho el problema podría haber permitido que extensiones maliciosas con permisos básicos tomaran el control del nuevo Panel Géminis en vivo en Chrome. El panel se puede iniciar haciendo clic en el icono de Gemini ubicado en la parte superior de la ventana del navegador. Google integración agregada de Géminis a Chrome en septiembre de 2025.

Un atacante podría haber abusado de este ataque para lograr una escalada de privilegios, permitiéndole acceder a la cámara y al micrófono de la víctima sin su permiso, tomar capturas de pantalla de cualquier sitio web y acceder a archivos locales.

Los hallazgos resaltan un vector de ataque emergente que surge al integrar inteligencia artificial (IA) y capacidades de agente directamente en los navegadores web para facilitar el resumen de contenido en tiempo real, la traducción y la ejecución automatizada de tareas, ya que se podría abusar de las mismas capacidades para realizar acciones privilegiadas.

El problema, en esencia, es la necesidad de otorgar a estos agentes de IA acceso privilegiado al entorno de navegación para realizar operaciones de varios pasos, convirtiéndose así en un arma de doble filo cuando un atacante inserta indicaciones ocultas en una página web maliciosa y se engaña a un usuario víctima para que acceda a ella mediante ingeniería social o algún otro medio.

El mensaje podría indicar al asistente de IA que realice acciones que de otro modo serían bloqueadas por el navegador, lo que provocaría la filtración de datos o la ejecución de código. Peor aún, la página web podría manipular al agente para almacenar las instrucciones en la memorialo que hace que persista entre sesiones.

Además de la superficie de ataque ampliada, Unit 42 dijo que la integración de un panel lateral de IA en navegadores agentes trae de vuelta los riesgos de seguridad clásicos de los navegadores.

«Al colocar este nuevo componente dentro del contexto de alto privilegio del navegador, los desarrolladores podrían crear inadvertidamente nuevos fallos lógicos y debilidades de implementación», dijo Weizman. «Esto podría incluir vulnerabilidades relacionadas con secuencias de comandos entre sitios (XSS), escalada de privilegios y ataques de canal lateral que pueden ser explotados por sitios web o extensiones de navegador con menos privilegios».

Si bien las extensiones del navegador funcionan según un conjunto definido de permisos, la explotación exitosa de CVE-2026-0628 socava el modelo de seguridad del navegador y permite a un atacante ejecutar código arbitrario en «gemini.google».[.]com/app» a través del panel del navegador y obtenga acceso a datos confidenciales.

«Una extensión con acceso a un permiso básico establecido a través del API declarativaNetRequest «Permisos permitidos que podrían haber permitido a un atacante inyectar código JavaScript en el nuevo panel de Gemini», agregó Weizman. «Cuando la aplicación Gemini se carga dentro de este nuevo componente del panel, Chrome la conecta con acceso a potentes capacidades».

Vale la pena señalar que la API declarativeNetRequest permite que las extensiones intercepten y cambien las propiedades de las solicitudes y respuestas web HTTPS. Lo utilizan las extensiones de bloqueo de anuncios para dejar de emitir solicitudes para cargar anuncios en páginas web.

En otras palabras, todo lo que necesita un atacante es engañar a un usuario desprevenido para que instale una extensión especialmente diseñada, que luego podría inyectar código JavaScript arbitrario en el panel lateral de Gemini para interactuar con el sistema de archivos, tomar capturas de pantalla, acceder a la cámara, encender el micrófono: todas las funciones necesarias para que el asistente de IA realice sus tareas.

«Esta diferencia en el tipo de componente que carga la aplicación Gemini es la línea entre el comportamiento por diseño y una falla de seguridad», dijo la Unidad 42. Se espera una extensión que influya en un sitio web. Sin embargo, una extensión que influye en un componente integrado en el navegador supone un grave riesgo de seguridad».

OpenClaw ha solucionado un problema de seguridad de alta gravedad que, si se hubiera explotado con éxito, podría haber permitido que un sitio web malicioso se conectara a un agente de inteligencia artificial (IA) que se ejecuta localmente y tomara el control.

«Nuestra vulnerabilidad reside en el sistema central mismo: sin complementos, sin mercado, sin extensiones instaladas por el usuario, solo la puerta de enlace OpenClaw, que se ejecuta exactamente como está documentado», Oasis Security dicho en un informe publicado esta semana.

La falla ha sido nombrada en código. GarraJacked por la empresa de ciberseguridad.

El ataque asume el siguiente modelo de amenaza: un desarrollador tiene OpenClaw configurado y ejecutándose en su computadora portátil, con su puertaun servidor WebSocket local, vinculado a localhost y protegido por una contraseña. El ataque se activa cuando el desarrollador llega a un sitio web controlado por un atacante mediante ingeniería social o algún otro medio.

La secuencia de infección sigue los pasos siguientes:

• JavaScript malicioso en la página web abre una conexión WebSocket al host local en el puerto de puerta de enlace de OpenClaw.
• El script aplica fuerza bruta a la contraseña de la puerta de enlace aprovechando un mecanismo de limitación de velocidad que falta.
• Después de una autenticación exitosa con permisos de nivel de administrador, el script se registra sigilosamente como un dispositivo confiable, que la puerta de enlace aprueba automáticamente sin ningún aviso del usuario.
• El atacante obtiene control total sobre el agente de IA, lo que le permite interactuar con él, volcar datos de configuración, enumerar los nodos conectados y leer registros de aplicaciones.

«Cualquier sitio web que visite puede abrir uno en su host local. A diferencia de las solicitudes HTTP normales, el navegador no bloquea estas conexiones entre orígenes», dijo Oasis Security. «Entonces, mientras navega por cualquier sitio web, JavaScript que se ejecuta en esa página puede abrir silenciosamente una conexión a su puerta de enlace OpenClaw local. El usuario no ve nada».

«Esa confianza fuera de lugar tiene consecuencias reales. La puerta de enlace relaja varios mecanismos de seguridad para las conexiones locales, incluida la aprobación silenciosa de nuevos registros de dispositivos sin avisar al usuario. Normalmente, cuando se conecta un nuevo dispositivo, el usuario debe confirmar el emparejamiento. Desde localhost, es automático».

Tras una divulgación responsable, OpenClaw impulsó una solución en menos de 24 horas con versión 2026.2.25 publicado el 26 de febrero de 2026. Se recomienda a los usuarios que apliquen las últimas actualizaciones lo antes posible, auditen periódicamente el acceso otorgado a los agentes de IA y apliquen controles de gobernanza adecuados para identidades no humanas (también conocidas como agentes).

El desarrollo se produce en medio de un escrutinio de seguridad más amplio del ecosistema OpenClaw, principalmente debido al hecho de que los agentes de IA tienen acceso arraigado a sistemas dispares y la autoridad para ejecutar tareas a través de herramientas empresariales, lo que lleva a un radio de explosión significativamente mayor en caso de verse comprometidos.

Informes de Bitsight y Confianza neuronal han detallado cómo las instancias de OpenClaw que se dejan conectadas a Internet representan una superficie de ataque ampliada, con cada servicio integrado ampliando aún más el radio de explosión y pueden transformarse en un arma de ataque incorporando inyecciones rápidas en el contenido (por ejemplo, un correo electrónico o un mensaje de Slack) procesado por el agente para ejecutar acciones maliciosas.

La divulgación se produce cuando OpenClaw también parchó una vulnerabilidad de envenenamiento de registros que permitía a los atacantes escribir contenido malicioso para registrar archivos a través de solicitudes WebSocket en una instancia de acceso público en el puerto TCP 18789.

Dado que el agente lee sus propios registros para solucionar ciertas tareas, un actor de amenazas podría abusar de la laguna de seguridad para incorporar inyecciones indirectas, lo que tendría consecuencias no deseadas. El asunto fue abordado en versión 2026.2.13que se envió el 14 de febrero de 2026.

«Si el texto inyectado se interpreta como información operativa significativa en lugar de una entrada no confiable, podría influir en las decisiones, sugerencias o acciones automatizadas», Eye Security dicho. «Por lo tanto, el impacto no sería una ‘adquisición instantánea’, sino más bien: manipulación del razonamiento del agente, influencia en los pasos de solución de problemas, posible divulgación de datos si el agente es guiado para revelar el contexto y mal uso indirecto de las integraciones conectadas».

En las últimas semanas, también se ha descubierto que OpenClaw es susceptible a múltiples vulnerabilidades (CVE-2026-25593, CVE-2026-24763, CVE-2026-25157, CVE-2026-25475, CVE-2026-26319, CVE-2026-26322, CVE-2026-26329), que varían de gravedad moderada a alta, y que podrían dar lugar a la ejecución remota de código, inyección de comandos, falsificación de solicitudes del lado del servidor (SSRF), omisión de autenticación y cruce de rutas. Las vulnerabilidades han sido abordadas en las versiones de OpenClaw. 2026.1.20, 2026.1.29, 2026.2.1, 2026.2.2y 2026.2.14.

«A medida que los marcos de agentes de IA se vuelven más frecuentes en los entornos empresariales, el análisis de seguridad debe evolucionar para abordar tanto las vulnerabilidades tradicionales como las superficies de ataque específicas de la IA», afirmó Endor Labs.

En otros lugares, una nueva investigación ha demostrado que las habilidades maliciosas cargadas en ClawHub, un mercado abierto para descargar habilidades de OpenClaw, se están utilizando como conductos para entregar una nueva variante de Atomic Stealer, un ladrón de información de macOS desarrollado y alquilado por un actor de delitos cibernéticos conocido como Araña de galleta.

«La cadena de infección comienza con un SKILL.md normal que instala un requisito previo», Trend Micro dicho. «La habilidad parece inofensiva en la superficie e incluso fue etiquetada como benigna en VirusTotal. Luego, OpenClaw va al sitio web, busca las instrucciones de instalación y continúa con la instalación si el LLM decide seguir las instrucciones».

Las instrucciones alojadas en el sitio web «openclawcli.vercel[.]app» incluye un comando malicioso para descargar una carga útil de ladrón desde un servidor externo («91.92.242[.]30») y ejecútelo.

Los cazadores de amenazas también han señalado una nueva campaña de entrega de malware en el que se identificó a un actor de amenazas con el nombre @liuhui1010, que dejó comentarios en páginas legítimas de listas de habilidades, instando a los usuarios a ejecutar explícitamente un comando que proporcionaron en la aplicación Terminal si la habilidad «no funciona en macOS».

El comando está diseñado para recuperar Atomic Stealer de «91.92.242[.]30», una dirección IP previamente documentada por Koi Security y OpenSourceMalware para distribuir el mismo malware a través de habilidades maliciosas cargadas en ClawHub.

Es más, un análisis reciente de 3.505 habilidades de ClawHub realizado por la empresa de seguridad de IA Straiker ha descubierto no menos de 71 programas maliciosos, algunos de los cuales se hacían pasar por herramientas de criptomonedas legítimas pero contenían funciones ocultas para redirigir fondos a billeteras controladas por actores de amenazas.

Otras dos habilidades, bob-p2p-beta y runware, se han atribuido a una estafa de criptomonedas de múltiples capas que emplea una cadena de ataque de agente a agente dirigida al ecosistema de agentes de IA. Las habilidades se han atribuido a un actor de amenazas que opera bajo los alias «26medias» en ClawHub y «BobVonNeumann» en Moltbook y X.

«BobVonNeumann se presenta como un agente de IA en Moltbook, una red social diseñada para que los agentes interactúen entre sí», dijeron los investigadores Yash Somalkar y Dan Regalado. «Desde esa posición, promueve sus propias habilidades maliciosas directamente a otros agentes, explotando la confianza que los agentes están diseñados para extenderse entre sí de forma predeterminada. Es un ataque a la cadena de suministro con una capa de ingeniería social construida encima».

Sin embargo, lo que hace bob-p2p-beta es instruir a otros agentes de inteligencia artificial para que almacenen las claves privadas de la billetera Solana en texto sin formato, compren tokens $BOB sin valor en pump.fun y enruten todos los pagos a través de una infraestructura controlada por el atacante. La segunda habilidad pretende ofrecer una herramienta de generación de imágenes benigna para generar credibilidad del desarrollador.

Dado que ClawHub se está convirtiendo en un nuevo terreno fértil para los atacantes, se recomienda a los usuarios auditar las habilidades antes de instalarlas, evitar proporcionar credenciales y claves a menos que sea esencial y monitorear el comportamiento de las habilidades.

Los riesgos de seguridad asociados con los tiempos de ejecución de agentes autohospedados como OpenClaw también han llevado a Microsoft a emitir un aviso, advirtiendo que la implementación sin vigilancia podría allanar el camino para la exposición/exfiltración de credenciales, modificación de la memoria y compromiso del host si se puede engañar al agente para que recupere y ejecute código malicioso, ya sea a través de habilidades envenenadas o inyecciones rápidas.

«Debido a estas características, OpenClaw debe tratarse como una ejecución de código no confiable con credenciales persistentes», dijo el equipo de investigación de seguridad de Microsoft Defender. dicho. «No es apropiado ejecutarlo en una estación de trabajo personal o empresarial estándar».

«Si una organización determina que OpenClaw debe ser evaluado, debe implementarse solo en un entorno completamente aislado, como una máquina virtual dedicada o un sistema físico separado. El tiempo de ejecución debe usar credenciales dedicadas y sin privilegios y acceder solo a datos no confidenciales. El monitoreo continuo y un plan de reconstrucción deben ser parte del modelo operativo».