Tutoriales y Manuales
Entradas Mensuales
-
▼
2026
(Total:
1946
)
-
▼
marzo
(Total:
454
)
-
Nuevo ransomware 'Payload' usa cifrado al estilo B...
-
Aficionado de Airflow imprime en 3D 15 miniventila...
-
Entusiasta ingenia en reversa el disco duro más pe...
-
NVIDIA Vera: Así es la primera CPU del mundo diseñ...
-
Extensión Open VSX con puerta trasera usó descarga...
-
Creative vuelve a hacer ruido, anuncia una nueva t...
-
8BitDo lanza un mando inalámbrico inspirado en Nin...
-
Rusia crea su primera CPU «Irtysh» usando la arqui...
-
MSI entra en situación de alarma por la crisis de ...
-
Europa podría "adoptar" a Anthropic para desarroll...
-
Pokémon GO anuncia un "modelo geoespacial a gran e...
-
Nvidia anuncia el módulo espacial Vera Rubin — has...
-
Nvidia presenta DLSS 5 para mayor fidelidad visual...
-
Descargas falsas de FileZilla propagan infecciones...
-
Apple presenta, por sorpresa, los AirPods Max 2
-
IBM descubre 'Slopoly', un probable malware genera...
-
Qihoo 360 filtró su propia clave privada SSL comod...
-
ChatGPT suma un nuevo enemigo: la Enciclopedia Bri...
-
Apple lanzó actualizaciones de emergencia para iOS...
-
Cada vez más empresas pagan rescates tras ciberata...
-
SUSE Linux a la venta y corre el peligro de perder...
-
World of Tanks apuesta por Mafia en su nuevo Pase ...
-
El conflicto en Irán retrasa el proyecto del cable...
-
Irán pinta helicópteros en el suelo y hace desperd...
-
AMD mejora el HDR en Linux y parte del código se e...
-
Las autoridades desmantelan servicio proxy malicio...
-
La consola portátil ROG Xbox Ally X recibirá un im...
-
Escándalo de fraude en CPU: otro portátil chino co...
-
El Departamento de Justicia desmantela una botnet ...
-
Paquetes npm maliciosos se hacen pasar por Solara ...
-
Android 17 traerá un cambio de seguridad que podrí...
-
Un clásico de arcade de 40 años, el matamarcianos ...
-
Así sería Windows 7 en 2026: un diseñador imagina ...
-
OpenAI implementará la generación de vídeo Sora en...
-
Experto en reparación de GPU advierte sobre los pe...
-
Cuántas pilas necesitas para que un PC pueda funci...
-
Microsoft añadirá Gaming Copilot a las consolas Xb...
-
Los trucos de la OCU para "adelgazar" tu WhatsApp ...
-
Cambia la batería de su coche eléctrico por 500 va...
-
Microsoft publica un hotpatch fuera de banda en Wi...
-
GIGABYTE amplía sus mini-PCs BRIX con las últimas ...
-
Comparan MacBook Neo con portátiles baratos Window...
-
Qué significa USB4 y por qué es tan importante a l...
-
Declaración conjunta oficial de autoridades Argent...
-
MSI planea subir un 30% los precios de productos g...
-
Xbox One ha sido hackeda, pero el objetivo no es l...
-
Memoria gráfica: qué es, qué hace y cuánta necesitas
-
Así funciona Winhance, la herramienta gratuita que...
-
GIMP 3.2 llega con capas no destructivas, mejoras ...
-
NVIDIA usa una estrategia para conseguir mejores p...
-
Archivo de videojuegos de 385 TB salvado por fans
-
Google activa una función de 2021 para mejorar el ...
-
Trabajadores de ASML siguen sin claridad siete sem...
-
Aumentan los ataques "zero-day": Microsoft fue el ...
-
Perplexity estrena Computer: una IA capaz de ejecu...
-
Microsoft Teams se vuelve más inteligente: ahora d...
-
Atacantes suplantan al soporte técnico en Microsof...
-
Meta eliminará de forma permanente el cifrado de e...
-
Llevan a cabo una prueba de resistencia (ciclos de...
-
Veeam corrige 7 fallos críticos que permitían la e...
-
MacBook Neo: consiguen romper por firmware el lími...
-
Elon Musk presentará la semana que viene su plan p...
-
Meta dobla el gasto en IA, mientras se prepara par...
-
ByteDance paraliza el lanzamiento de su generador ...
-
Una abuela de Tennessee, última víctima de errores...
-
Aplicación gratuita convierte tu Android en un seg...
-
Firefox en Windows 7 se niega a morir: Mozilla ext...
-
V-Color lanza un kit de memoria DDR5 1+1 que inclu...
-
El creador de Garry’s Mod sobre los programadores,...
-
NVIDIA entra en la carrera de la memoria: alianza ...
-
Instagram va a eliminar el cifrado de extremo a ex...
-
BYD consigue el 97% de carga en solo 9 minutos
-
Intel confirma que los procesadores van a subir de...
-
Vulnerabilidad en resúmenes de correo y Teams de M...
-
Vulnerabilidad crítica en LangSmith permite el sec...
-
Windows 11 se prepara para soportar monitores de m...
-
Usar IA para limpiar Windows 11 no es una buena id...
-
Fuga de datos en Starbucks: expuestos datos person...
-
Tu impresora se ha estado "chivando" durante 40 añ...
-
Compra un portátil ASUS, la pasta térmica de metal...
-
Autoridades desmantelan 45.000 IPs maliciosas en a...
-
Deja de utilizar las DNS predeterminadas en tu rou...
-
Si eres de los que tiene el router WiFi cerca del ...
-
Microsoft confirma un grave bug en Windows 11 que ...
-
5 aplicaciones de código abierto para mejorar la o...
-
Un proveedor de internet por fibra dice poder dete...
-
Prueba de resistencia de DVD regrabable de seis me...
-
Entusiasta reconstruye PC con pilas AA y multiplic...
-
SQLi autenticada en Koha pone en riesgo la base de...
-
Noctua adelanta caja para PC marrón con ventilador...
-
Windows 11: he personalizar al máximo la barra de ...
-
Miles de router WiFi Asus están siendo secuestrado...
-
Alguien consigue CPU, RAM, placa base y refrigerac...
-
Atacantes explotan Kubernetes y Cloud SQL en un so...
-
Salesforce advierte sobre el grupo ShinyHunters ex...
-
Vulnerabilidad en OpenSSH GSSAPI permite a un atac...
-
Vulnerabilidades críticas en CrackArmor exponen 12...
-
GIGABYTE Z890 PLUS expande la línea de placas base...
-
Vulnerabilidades de día cero en Chrome son explota...
-
DR-DOS 9 resucita el sistema operativo que pudo ca...
-
-
▼
marzo
(Total:
454
)
-
►
2025
(Total:
2103
)
- ► septiembre (Total: 148 )
-
►
2024
(Total:
1110
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Síguenos en:
Entradas populares
-
Winhance es una herramienta gratuita que elimina el 'bloatware' de Windows 10 y 11 , optimizando el rendimiento del PC al limpiar... -
Los expertos recomiendan dejar de usar las DNS predeterminadas del router para mejorar la seguridad , evitar el control del ISP y optimizar... -
ClothOff es una app que utiliza inteligencia artificial generativa para desnudar a cualquier persona a partir de fotografías con ropa que...
Extensión Open VSX con puerta trasera usó descargador de GitHub para desplegar RAT y robar datos
Una popular extensión de editor de código listada en el registro Open VSX fue descubierta conteniendo malware oculto que descarga y ejecuta de forma silenciosa un troyano de acceso remoto (RAT) y un infostealer completo directamente en las máquinas de los desarrolladores sin ninguna señal de advertencia visible. La extensión, conocida como fast-draft bajo la cuenta del editor KhangNghiem, había acumulado más de 26,000 descargas antes de que se detectara la actividad maliciosa incrustada
Una popular extensión de editor de código listada en el registro Open VSX fue descubierta conteniendo malware oculto que silenciosamente descarga y ejecuta un troyano de acceso remoto (RAT) y un infostealer completo directamente en las máquinas de los desarrolladores sin ninguna señal de advertencia visible.
La extensión, conocida como fast-draft bajo la cuenta de editor KhangNghiem, había acumulado más de 26.000 descargas antes de que la actividad maliciosa incrustada en varias versiones específicas saliera a la luz.
El ataque se desarrolló siguiendo un patrón deliberado distribuido en versiones específicas. Las versiones 0.10.89, 0.10.105, 0.10.106 y 0.10.112 contenían código que se conectaba a un repositorio de GitHub controlado por un actor de amenazas llamado BlokTrooper.
La extensión descargaba scripts de shell específicos para cada plataforma directamente desde raw.githubusercontent[.]com/BlokTrooper/extension y canalizaba toda la respuesta directamente a un shell del sistema, que luego descargaba y ejecutaba una carga maliciosa de segunda etapa en la máquina de la víctima.
Otras versiones, incluyendo la 0.10.88, 0.10.111 y la última 0.10.135, no mostraban este comportamiento, lo que apunta fuertemente a una cuenta de editor comprometida o un token de lanzamiento robado, en lugar de un mantenedor que se volvió malicioso a propósito.
Analistas de Aikido identificaron la extensión comprometida durante una revisión manual cuidadosa, versión por versión, de la línea de lanzamientos de fast-draft.
El equipo reportó el problema al mantenedor de la extensión el 12 de marzo de 2026 a través de un issue público en GitHub, pero el informe no había recibido respuesta alguna al momento de la publicación.
El impacto de este compromiso es tanto amplio como grave. Cualquier desarrollador que tuviera instalada una de las versiones maliciosas entregó sin saberlo el control total de su máquina al atacante.
La carga de segunda etapa ejecutaba cuatro módulos de ataque independientes simultáneamente, dirigidos a credenciales de navegadores, datos de carteras de criptomonedas, archivos locales, código fuente y contenido del portapapeles, todo al mismo tiempo.
Con más de 26.594 descargas registradas en el registro Open VSX, la posible exposición entre desarrolladores de código abierto y equipos de software en todo el mundo es muy significativa.
El peligro más amplio aquí es cómo el malware se ocultó dentro de una herramienta en la que los desarrolladores ya confiaban a diario. Las extensiones de editores suelen ejecutarse con amplios permisos de sistema, lo que las convierte en un objetivo altamente atractivo para ataques a la cadena de suministro.
El patrón alternante de versiones limpias y maliciosas sugiere fuertemente que alguien con acceso intermitente al pipeline de lanzamiento del editor, un escenario que el escaneo automatizado por sí solo no puede detectar de manera confiable sin una revisión manual exhaustiva y cuidadosa.
Dentro del marco de ataque de segunda etapa
Una vez que el descargador de shell se ejecutaba, extraía un archivo ZIP, lo descomprimía en un directorio temporal y lanzaba cuatro procesos Node.js independientes, cada uno manejando una parte separada del ataque general.
El primer módulo se conectaba de vuelta al servidor de comando y control en 195[.]201[.]104[.]53 a través del puerto 6931 usando Socket.IO, dando al atacante control en vivo sobre el movimiento del ratón, entrada del teclado, capturas de pantalla y lectura del portapapeles.
El segundo módulo barría los perfiles de navegadores como Chrome, Edge, Brave y Opera en Windows, macOS y Linux, robando contraseñas guardadas y datos web.
También apuntaba a 25 extensiones de carteras de criptomonedas, incluyendo MetaMask, Phantom, Coinbase Wallet y Trust Wallet, y subía los datos recopilados al puerto 6936 en el mismo servidor C2.
El tercer módulo escaneaba recursivamente el directorio de inicio en busca de documentos, archivos de entorno, claves privadas, historial de shell y código fuente.
Deliberadamente omitía carpetas como .cursor, .claude y .windsurf, mostrando que el atacante estaba específicamente apuntando a entornos de desarrollo asistidos por IA de alto valor.
El cuarto módulo sondeaba el portapapeles cada pocos segundos y enviaba el contenido capturado —incluyendo frases semilla, claves API y contraseñas— directamente a /api/service/makelog en el servidor C2.
Los desarrolladores deben verificar inmediatamente si tienen instalada alguna versión de fast-draft que coincida con 0.10.89, 0.10.105, 0.10.106 o 0.10.112 y eliminarla sin demora.
Todas las credenciales almacenadas, frases semilla de carteras de criptomonedas y claves API en máquinas afectadas deben ser rotadas de inmediato.
Los equipos de red deben bloquear y monitorear todo el tráfico saliente hacia 195[.]201[.]104[.]53 en los puertos 6931, 6936 y 6939, y marcar cualquier solicitud a raw.githubusercontent[.]com/BlokTrooper en los registros de red.
Fuentes:
https://cybersecuritynews.com/backdoored-open-vsx-extension-used-github-downloader/
Etiquetas:
Entrada más reciente
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.