Tutoriales y Manuales
Entradas Mensuales
-
▼
2026
(Total:
2068
)
-
▼
marzo
(Total:
576
)
-
No hay CPU para todos: Intel dosifica los Core Ult...
-
Fuga de datos de AstraZeneca: el grupo LAPSUS$ afi...
-
Amazon vende un 47% menos CPU que hace un año y co...
-
Cyberpunk 2077 funciona en MacBook Neo a más de 30...
-
PS5 Pro y PS6 tendrán generación de fotogramas por IA
-
Adiós a los reinicios forzados en Windows 11: Micr...
-
5 cosas que Claude puede hacer y quizás no sabías
-
¿Para qué sirve la lámina de plástico negro que cu...
-
EDR killers: controladores vulnerables utilizado p...
-
SILENTCONNECT usa VBScript, PowerShell y enmascara...
-
Vulnerabilidades críticas en Jenkins exponen servi...
-
Cofundador Supermicro detenido por importar ilegal...
-
Tarjetas gráficas sin GPU ni VRAM, cajas llenas de...
-
Golpe a las IPTV piratas: ya hay usuarios que han ...
-
El MacBook Neo de 599 dólares sorprendió al mercad...
-
Primer colegio sancionado en España por el uso ind...
-
Explotación activa de CVE-2025-32975 permite tomar...
-
Empresa de software con grandes beneficios decide ...
-
Creó cientos de miles de canciones con IA y las re...
-
Visibilidad y controles de seguridad para Claude Code
-
Actualización de seguridad de Chrome corrige 26 vu...
-
Oracle emite actualización de seguridad urgente po...
-
Blue Origin de Jeff Bezos revela planes para un ce...
-
Filtración en Navia expone datos personales de 2,7...
-
Retiran una novela de las tiendas porque ha sido c...
-
El FBI y la CISA advierten que rusos atacan a pers...
-
Vulnerabilidad en centros de datos y servidores de...
-
Intel aumentará el precio de sus CPU de consumo en...
-
Vendedor estafado cuando cliente de eBay devuelve ...
-
Meta reducirá el uso de moderadores humanos apoyán...
-
Distros de Linux curiosas
-
Los precios de la DDR5 empiezan a bajar, pero se h...
-
Apex: herramienta pentester con IA para hallar vul...
-
Un robot se vuelve loco en pleno restaurante de Ca...
-
MAI-Image-2, Microsoft mejora su creador de imágenes
-
Lo barato sale caro: piezas de un PC que nunca deb...
-
El centro de datos de Softbank de 10 gigavatios pl...
-
Una madre utiliza la IA para que los desastres de ...
-
Errores comunes que debes evitar al configurar una...
-
AMD lanza FSR 4.1 para GPUs RX 9000-series
-
Microsoft da marcha atrás a la IA: M365 Copilot no...
-
BetterLeaks: herramienta de código abierto para es...
-
Expertos en ciberseguridad del Gobierno de EEUU cr...
-
GitHub se une a Google, Amazon (AWS), OpenAI y Ant...
-
Vulnerabilidades críticas en Ubiquiti UniFi permit...
-
Telegram logra un récord histórico de moderación p...
-
Campañas avanzadas de phishing y vishing con devic...
-
NVIDIA creará LPU para China con la arquitectura d...
-
El troyano bancario Horabot reaparece en México co...
-
AMD se alía con Samsung: busca garantizar su acces...
-
Alerta por la estafa del hilo invisible en cajeros
-
Microsoft considera demandar a OpenAI por el recie...
-
OpenAI lanza GPT-5.4 Mini y Nano para responder el...
-
Kioxia anuncia nuevo SSD de súper alto IOPS que ac...
-
Meta abandona su plataforma en el metaverso Horizo...
-
YouTube quiere que los usuarios detecten vídeos cr...
-
PowerToys 0.98 para Windows ya está disponible con...
-
Bolsas Faraday, qué son esas extrañas fundas para ...
-
Samsung alerta contra la infracción de patentes de...
-
Malas noticias para los clientes de Starlink, Elon...
-
Nuevo exploit de iOS con herramientas avanzadas de...
-
Vulnerabilidad de día cero en firewall de Cisco ex...
-
Guardar datos en una memoria USB de 32 GB durante ...
-
El primer SSD M.2 de 16 TB del mercado aterriza a ...
-
iPhones pueden ser hackeados con solo visitar una web
-
Google mejora la experiencia gratuita de Gemini
-
Casi 20 años después Sony lanza un update para la ...
-
CISA advierte sobre vulnerabilidad en Microsoft Sh...
-
Cómo cambiar una partición de Windows de MBR a GPT...
-
Red de bots vinculada a Irán al descubierto tras f...
-
Vendedor de eBay recibe de vuelta una ZOTAC RTX 50...
-
Un modder convierte una Xbox en un PC para juegos:...
-
"Tu DNI en venta por menos de 4 dólares"
-
Un YouTuber convierte una Xbox Series X en un PC g...
-
Caja PC con todo Noctua con la Antec Flux Pro (Caj...
-
Fan Control, pwmConfig y lm_sensors para configura...
-
Spotify activa la función "Modo exclusivo" para au...
-
SSD de 16TB cuesta casi 16.000$
-
CHUWI no está sola, Ninkear también usa procesador...
-
La IA china DeepSeek V4 se habría dejado ver antes...
-
CVE-2026-3888 en Ubuntu: escalada a root aprovecha...
-
FiltraciónNet amplía operaciones de ransomware con...
-
Vulnerabilidad crítica en Telnetd permite a atacan...
-
El mejor emulador de PS4 se actualiza: ShadPS4 rec...
-
Exposición de servidor de FancyBear revela credenc...
-
Vulnerabilidad en ScreenConnect permite extraer cl...
-
Nuevas campañas de malware convierten dispositivos...
-
Vulnerabilidad en WebKit de Apple permite eludir c...
-
El Ryzen 5 5500 se convierte en el procesador más ...
-
Orange compensará en la próxima factura tras el co...
-
DLSS 5 no es un simple filtro para las caras: mejo...
-
Adobe forja una alianza con NVIDIA en un intento d...
-
Comprar por Internet es ahora más peligroso debio ...
-
Intel Xeon 6 elegido como CPU anfitrión para los s...
-
Nvidia presenta la bandeja Rubin Ultra, la primera...
-
Microsoft encuentra al culpable (y la solución) de...
-
El POD Vera Rubin de Nvidia con 60 exaflops: cómo ...
-
NVIDIA DLSS 5 explicado en 12 preguntas y respuest...
-
Intel apunta a hacerse de oro con la IA: packaging...
-
El cable Titanload Pro alcanza una temperatura has...
-
-
▼
marzo
(Total:
576
)
-
►
2025
(Total:
2103
)
- ► septiembre (Total: 148 )
-
►
2024
(Total:
1110
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Síguenos en:
Entradas populares
-
Winhance es una herramienta gratuita que elimina el 'bloatware' de Windows 10 y 11 , optimizando el rendimiento del PC al limpiar... -
Expertos en ciberseguridad del Gobierno de EEUU califican la nube de Microsoft (GCC) como "una porquería" por no garantizar la ... -
Las bolsas Faraday son fundas para móviles que bloquean señales usando el principio de la jaula de Faraday, empleadas en reuniones de alto...
Atacantes explotan Kubernetes y Cloud SQL en un sofisticado robo de criptomonedas
Un ciberataque atribuido a un presunto grupo de amenazas vinculado a Corea del Norte revela cómo los atacantes pueden pasar del dispositivo personal de un desarrollador a la infraestructura cloud de una empresa, explotando flujos de trabajo DevOps para robar millones en criptomonedas.
Un ataque que comenzó en un dispositivo personal
La intrusión comenzó cuando un desarrollador fue engañado mediante ingeniería social para descargar un archivo comprimido que supuestamente formaba parte de un proyecto open-source. El archivo se abrió primero en el dispositivo personal del desarrollador y posteriormente se transfirió al equipo corporativo mediante AirDrop.
Al interactuar con el archivo dentro de un entorno de desarrollo asistido por inteligencia artificial, se ejecutó código Python malicioso que instaló un binario disfrazado como la herramienta de línea de comandos de Kubernetes. Este programa actuó como backdoor, conectándose a un dominio controlado por los atacantes y otorgándoles acceso remoto al sistema.
Movimiento desde el equipo comprometido hacia la nube
Una vez dentro de la red corporativa, los atacantes utilizaron credenciales disponibles y sesiones autenticadas para explorar el entorno de Google Cloud de la organización. Durante la fase de reconocimiento localizaron un bastion host, que normalmente se utiliza para gestionar el acceso a sistemas protegidos.
Los atacantes modificaron la política de autenticación multifactor (MFA) del bastion host para obtener acceso y continuar explorando el entorno cloud, incluyendo los pods de Kubernetes desplegados en la infraestructura.
Explotación de workflows DevOps y Kubernetes
Tras obtener acceso más profundo, el grupo manipuló la infraestructura DevOps. Modificaron configuraciones de despliegue en Kubernetes para ejecutar automáticamente un comando bash cada vez que se creaba un nuevo pod, lo que descargaba malware adicional y garantizaba persistencia.
También alteraron recursos vinculados al sistema CI/CD, introduciendo comandos que mostraban en los logs tokens de cuentas de servicio. Con esos tokens pudieron acceder a una cuenta con privilegios elevados, escalar privilegios y moverse lateralmente por la infraestructura.
En una fase posterior, utilizaron credenciales robadas para acceder a un pod de infraestructura en modo privilegiado, escapar del contenedor e instalar otro backdoor que les permitió mantener acceso persistente al entorno.
Manipulación de bases de datos y robo de criptomonedas
El objetivo final del ataque fueron los sistemas que gestionaban datos de clientes y activos financieros. Los atacantes obtuvieron credenciales de base de datos que estaban almacenadas de forma insegura en variables de entorno dentro de un pod de Kubernetes.
Con esas credenciales accedieron a la base de datos de producción mediante Cloud SQL Auth Proxy y ejecutaron comandos SQL para modificar configuraciones de cuentas de usuario, incluidos reseteos de contraseñas y cambios en los valores de MFA.
Con el control de varias cuentas de alto valor, los atacantes consiguieron retirar criptomonedas por valor de varios millones de dólares.
Una cadena de ataque compleja
Investigadores de Google Cloud atribuyen la operación con confianza moderada al grupo norcoreano UNC4899, también conocido como Jade Sleet, PUKCHONG, Slow Pisces o TraderTraitor.
El incidente demuestra una cadena de ataque compleja que combina ingeniería social, abuso de herramientas cloud legítimas y manipulación de infraestructuras DevOps. Este tipo de operaciones, descritas como “living-off-the-cloud”, utiliza funciones legítimas de la plataforma para persistir en el entorno y evadir detección.
Para reducir riesgos similares, los expertos recomiendan validación estricta de identidades, MFA resistente al phishing, monitorización de actividad en contenedores y una gestión más segura de credenciales en entornos cloud.
Fuente: The420
Fuentes:
http://blog.segu-info.com.ar/2026/03/atacantes-explotan-kubernetes-y-cloud.html
Etiquetas:
Entrada más reciente
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.