Tutoriales y Manuales
Entradas Mensuales
-
▼
2026
(Total:
2635
)
-
▼
marzo
(Total:
833
)
-
El jefe del FBI, Kash Patel, sufrió el hackeo de s...
-
Día Mundial del Backup 2026: un recordatorio de la...
-
Consigue "aterrizar" en la luna usando un ZX Spect...
-
Alguien pidió un disipador AMD y abrió la caja par...
-
Apple lo tiene claro: el iPhone seguirá vivo dentr...
-
El truco del "Cupcake" para saber cuando ChatGPT, ...
-
GitHub se suma a Google, Amazon (AWS), OpenAI y An...
-
OpenAI acaba de hacer Codex mucho más útil para lo...
-
Nvidia invierte 2.000 millones en Marvell para pro...
-
Vulnerabilidad en plugin de WordPress expone datos...
-
El kit Coruna para iOS reutiliza el código del exp...
-
La IA calienta Aragón: los centros de datos de IA ...
-
Los chatbots de IA mienten y manipulan a usuarios ...
-
Fuga de datos de CareCloud: accedieron a la infrae...
-
Euro-Office: la suite ofimática por la soberanía d...
-
¿Qué es Codex Security, la nueva IA de OpenAI que ...
-
Instagram Plus, la primera suscripción de pago de ...
-
Cable HDMI de fibra óptica de 500$ ofrece rendimie...
-
FSR 4 INT8 no era lo que parecía: ¿por qué no ha l...
-
Apple advierte a usuarios sobre ataques ClickFix e...
-
Fin de las estafas por SMS en España: la CNMC acti...
-
PS6 tendrá un SSD de 1 TB, pero no será un problem...
-
Un estudio confirma que ChatGPT, Claude y otros ch...
-
Sintetizador inspirado en NES que también funciona...
-
Por qué nunca deberías dar información sensible a ...
-
CISA advierte sobre vulnerabilidad en Citrix NetSc...
-
Microsoft impulsa las aplicaciones nativas de Wind...
-
Hackean la web oficial de la Unión Europea y roban...
-
Los borradores filtrados de Anthropic revelan el p...
-
Filtran 93 GB de datos "anónimos" de la policía
-
MSI introduce GPU Safeguard+: así evita que tu GPU...
-
Movistar y O2 permiten bloquear las llamadas de sp...
-
Microsoft gastará 146.000 millones de dólares en I...
-
China construye la escalera mecánica al aire libre...
-
AMD arregla el overclock de las RX 9000 tras 1 año...
-
700 agentes de IA fundan una religión en el juego ...
-
Paquetes NPM de Axios comprometidos para inyectar ...
-
AMD EPYC Venice Zen 6 se muestra con hasta 192 cor...
-
El código QR más pequeño mide como una bactería, y...
-
Clon SSD falso Samsung 990 Pro casi indetectable
-
Disponible Ubuntu 26.04 LTS Beta con Linux 7.0, GN...
-
Cambiar a Gemini importando datos de ChatGPT
-
Netflix sube de precio otra vez
-
Apple retira el Mac Pro tras 20 años
-
Vulnerabilidades críticas en Citrix NetScaler y Ga...
-
Tiene 91 años y se ha acabado Resident Evil Requie...
-
Condenan a Meta y a Google por diseñar productos a...
-
Trabajador norcoreano de TI usó identidad robada e...
-
CapCut lanza Seedance 2.0, la IA que puede generar...
-
Windows se bloquea 3,1 veces más que macOS
-
ASUS despliega AGESA 1.3.0.1 en toda su gama X870 ...
-
Administrador del foro LeakBase detenido en Rusia
-
Se infiltran el SDK Python de Telnyx en PyPI para ...
-
Vulnerabilidades críticas de NVIDIA permiten ataqu...
-
Vulnerabilidad de XSS almacenado en Jira Work Mana...
-
Samsung apuesta por RISC-V en SSD: así es su nuevo...
-
Huawei Ascend 950PR: simulan CUDA con CANN Next y ...
-
Desarrollador muestra un mundo enorme sin pantalla...
-
GeForce RTX 60: el doble de rendimiento en trazado...
-
Universidades chinas con investigación militar com...
-
Nueva vulnerabilidad en Windows Error Reporting pe...
-
La Wikipedia prohíbe por completo los artículos ge...
-
Meta financiará siete nuevas centrales eléctricas ...
-
ISC advierte sobre una falla crítica en Kea DHCP q...
-
Samsung Galaxy S27 Ultra: dos cambios y una constante
-
Meta despide a 700 empleados y confirma lo que muc...
-
El traductor de Kingdom Come: Deliverance 2 fue de...
-
China presenta con un enjambre de 96 drones autóno...
-
LG gram Pro 17, llega el portátil más ligero del m...
-
Vulnerabilidad crítica en Fortinet FortiClient EMS...
-
Melania Trump entrando a la Casa Blanca acompañada...
-
Demanda colectiva alega que Nvidia ocultó más de m...
-
Gran Bretaña lanza un satélite capaz de ver el int...
-
La crisis del portátil: con una caída del 40% por ...
-
Wine 11 revoluciona la forma de jugar en Linux: ej...
-
Vulnerabilidad en Synology DiskStation Manager per...
-
Una RTX 4090 falla tras 2 años y el fabricante pid...
-
El plan de un ChatGPT al estilo PornHub tiene un p...
-
Las ventas de monitores OLED se dispararon un 92% ...
-
Un misil de 30 centímetros y solo 500 gramos que p...
-
El método de Movistar para arreglar el WiFi cuando...
-
LOLExfil: exfiltración sigilosa de datos usando té...
-
Ryzen 9 9950X3D2 Dual Edition con doble memoria 3D...
-
Ni Movistar ni Vodafone, Orange es la preferida de...
-
Un nuevo estudio revela que lo más dañino del móvi...
-
El museo abre la colección más grande del mundo de...
-
NVIDIA quiere que la mitad del sueldo de sus ingen...
-
Impresora 3D de 12 boquillas presentada
-
CISA incluye fallos de Apple, Craft CMS y Laravel ...
-
Microsoft Entra ID elimina limitaciones de MFA par...
-
Consorcio de Tokio prueba instalar centros de dato...
-
Vulnerabilidad en Cisco Secure Firewall permite ej...
-
Micron, Samsung y SK Hynix se tambalean: Google en...
-
OpenAI lanza programa de recompensas por fallos de...
-
Entusiasta "aterriza" en la luna usando hardware d...
-
Atacan a usuarios de Android con falsas invitacion...
-
Intel Core 3 310 y Core 5 320, las CPU Wildcat Lak...
-
Cadena de exploits DarkSword que puede hackear mil...
-
Microsoft detalla nuevas protecciones de seguridad...
-
Grupos APT atacan servidores RDP para desplegar ca...
-
-
▼
marzo
(Total:
833
)
-
►
2025
(Total:
2103
)
- ► septiembre (Total: 148 )
-
►
2024
(Total:
1110
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Síguenos en:
Entradas populares
-
.png)
El escaneo de vulnerabilidades es la base de cualquier estrategia sólida de ciberseguridad, identificando y parcheando fallos antes de que s... -
Una web para programadores criticó a LaLiga por bloqueos indiscriminados, ironizando: " Si somos una web para 4 frikis, sois nuestros... -
Investigadores en NDSS 2026 demuestran un ataque de espionaje acústico encubierto que transforma los cables estándar de fibra óptica FTTH de...
Nuevo ataque tipo Shai-Hulud en npm infecta 19+ paquetes para robar secretos de dev/CI
Un nuevo gusano de cadena de suministro está atacando activamente el ecosistema npm, con un equipo de investigación identificando al menos 19 paquetes maliciosos diseñados para robar secretos de desarrolladores y CI/CD, y propagarse automáticamente a través de repositorios y flujos de trabajo. La campaña, rastreada como SANDWORMMODE, utiliza paquetes npm con typosquatting y GitHub Actions envenenadas para infectar tanto máquinas de desarrolladores.
Un nuevo gusano de cadena de suministro está atacando activamente el ecosistema npm, con un equipo de investigación identificando al menos 19 paquetes npm maliciosos diseñados para robar secretos de desarrolladores y CI/CD y propagarse automáticamente a través de repositorios y flujos de trabajo.
La campaña, rastreada como SANDWORMMODE, utiliza paquetes npm con typosquatting y acciones de GitHub envenenadas para infectar tanto máquinas de desarrolladores como pipelines CI.
Los atacantes suplantaron utilidades populares de Node.js y herramientas de codificación con IA usando dos alias de publicadores npm.
Los paquetes maliciosos parecen normales y mantienen su funcionalidad esperada. Sin embargo, una vez importados, ejecutan en secreto una carga útil de JavaScript en múltiples etapas.
.webp)
Tan pronto como un desarrollador ejecuta npm install, el malware se activa. Inmediatamente roba datos sensibles, incluyendo tokens de npm y GitHub, variables de entorno, claves criptográficas y otros secretos.
En entornos CI, el gusano omite los retrasos integrados, por lo que el ataque completo, incluyendo el robo de datos y la propagación, se ejecuta al instante. Esto convierte la instalación rutinaria de dependencias en un punto de riesgo importante.
Comparación entre Shai-Hulud y el gusano SANDWORM_MODE:
| Característica | Gusano Shai-Hulud anterior | Variante SANDWORM_MODE |
|---|---|---|
| Cómo se propaga (punto de entrada) | Usaba paquetes npm maliciosos | Usa paquetes npm falsos (typosquat) que parecen herramientas reales |
| A quién ataca | Desarrolladores y sistemas CI | Ataca específicamente a desarrolladores y CI; finge ser paquetes confiables |
| Cuándo se ejecuta | Se ejecuta durante el uso normal del paquete | Se ejecuta al importarse, pero sigue funcionando como una librería normal |
| Estructura | Multietapa (cargador + carga útil) | Multietapa con segunda etapa encriptada |
| Ofuscación | Oculta el código con trucos en tiempo de ejecución | Usa Base64, compresión, XOR y encriptación AES para ocultar la carga útil |
| Qué roba | Credenciales de desarrolladores y CI | Tokens de npm/GitHub, secretos de entorno, credenciales .npmrc, gestores de contraseñas |
| Cómo envía los datos | Funciona incluso en redes restringidas | Usa la API de GitHub, tunneling DNS y endpoints HTTPS |
| Cómo se propaga más | Usa cuentas npm/GitHub robadas | Modifica repositorios, inyecta package.json, lockfiles y flujos de trabajo |
| Ataques a CI | Usa CI para propagarse | Inyecta flujos de trabajo maliciosos y roba secretos |
| Función destructiva | Modo destructivo opcional | Borra el directorio home si se pierden los accesos a GitHub + npm |
| Control del operador | Configuraciones ajustables | Muchos controles mediante variables de entorno SANDWORM_* |
| Temática/marca | Nombres relacionados con Dune/gusano de arena | Usa interruptores temáticos SANDWORM_* |
| Persistencia | Diferentes métodos | Usa git hooks para que nuevos repos hereden la infección |
| Método de propagación alternativo | No siempre destacado | Usa SSH si falla la propagación por API |
| Objetivo en herramientas de IA | No era un enfoque principal | Ataca herramientas de IA (Claude, Cursor, VS Code), inyecta configuraciones |
| Auto-reescritura | No enfatizado | Puede reescribirse usando Ollama local (si está habilitado) |
Cómo el gusano roba datos
El ataque funciona en múltiples etapas:
| Etapa | Actividad | Detalles |
|---|---|---|
| Etapa 1 – Recolección rápida de secretos | Robo inicial de datos | Escanea archivos .npmrc, variables de entorno, archivos de configuración y carteras de criptomonedas. |
| Etapa 1 – Recolección rápida de secretos | Exfiltración | Envía los secretos descubiertos a un servidor remoto a través de un endpoint de Cloudflare Worker. |
| Etapa 2 – Recolección profunda | Recolección extendida de datos | Busca en gestores de contraseñas, bases de datos SQLite locales y archivos de carteras para obtener datos sensibles adicionales. |
| Etapa 2 – Recolección profunda | Método de exfiltración | Transfiere los datos robados por HTTPS, usando tunneling DNS como método alternativo. |
El gusano utiliza credenciales robadas de npm y GitHub para seguir propagándose. Si falla el acceso a la API de GitHub, el malware cambia a un método de respaldo SSH.
Abusa del agente SSH de la víctima para clonar repositorios, insertar la dependencia portadora y enviar los cambios bajo la identidad de la víctima.
La campaña también incluye una acción de GitHub armada llamada ci-quality/code-quality-check. Fingiendo ejecutar una verificación de calidad normal, en realidad roba secretos de CI y continúa el proceso de propagación.
.webp)
ci-quality/code-quality-check imita una acción de calidad de código Node.js (fuente: socket)Métodos de propagación del gusano en la cadena de suministro:
| Acción | Descripción |
|---|---|
| Abuso de credenciales | Usa credenciales robadas de npm y GitHub para seguir propagándose. |
| Republicación de paquetes | Republica versiones infectadas de paquetes populares. |
| Inyección de portador | Añade una dependencia "portadora" oculta en repositorios accesibles mediante la API de GitHub. |
| Modificación de archivos | Altera package.json y lockfiles para incluir cambios maliciosos. |
| Inyección de flujos de trabajo | Añade flujos de trabajo maliciosos de GitHub a repositorios comprometidos. |
| Intentos de fusión automática | Intenta fusionar automáticamente pull requests para que los cambios parezcan legítimos. |
Objetivo en herramientas de IA
El gusano también apunta a herramientas de codificación con IA. Instala un servidor MCP falso en configuraciones de herramientas como Claude Code, Cursor y extensiones de VS Code.
Usa instrucciones de inyección de prompts ocultas para engañar a asistentes de IA y hacerles leer claves SSH, credenciales en la nube y tokens, enviándolos luego al servidor del atacante.
Incluso verifica claves API de múltiples proveedores importantes de LLM, convirtiendo sistemas infectados en plataformas de recolección masiva de credenciales.
La muestra incluye una función "interruptor muerto" desactivada que podría borrar el directorio home del usuario si el ataque falla. Aunque no está activa, demuestra que el malware sigue evolucionando.
El equipo de investigación de amenazas de Sockets insta a los equipos a eliminar los paquetes maliciosos, rotar secretos, auditar flujos de trabajo y monitorear actividades sospechosas, advirtiendo que la campaña representa un riesgo grave para entornos de desarrollo y CI.
Fuentes:
https://cybersecuritynews.com/shai-hulud-like-npm-worm-attack/
Etiquetas:
Entrada más reciente
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.