Una vulnerabilidad crítica en la plataforma de notebooks Python marimo está siendo explotada activamente por atacantes para desplegar un backdoor con tecnología blockchain en sistemas de desarrolladores.

La falla, identificada como CVE-2026-39987, permite la ejecución remota de código sin autenticación, convirtiéndola en un peligroso punto de entrada para actores maliciosos que la utilizan para instalar una nueva variante del malware NKAbuse a través de un Hugging Face Space falso.

El aviso, registrado como GHSA-2679-6mx9-h9xc, fue publicado en GitHub el 8 de abril de 2026. En solo 9 horas y 41 minutos, se registró el primer intento de explotación activa.

Del 11 al 14 de abril de 2026, atacantes desde 11 direcciones IP únicas en 10 países lanzaron 662 eventos de explotación contra instancias expuestas de marimo.

Lo que comenzó como un escaneo inicial escaló rápidamente a una campaña masiva y multi-actor dirigida a estaciones de trabajo de desarrolladores de IA.

Investigadores del equipo Sysdig TRT identificaron y documentaron estos ataques mientras ocurrían, observando cuatro patrones distintos de post-explotación: recolección de credenciales, intentos de reverse shell, exfiltración de datos basada en DNS y el despliegue de una variante no documentada previamente de NKAbuse.

La velocidad de la explotación confirmó que múltiples actores de amenazas estaban atacando de forma independiente la misma vulnerabilidad en cuestión de días tras su divulgación pública.

El hallazgo más alarmante fue el despliegue de un backdoor basado en Go llamado kagent, distribuido a través de un Hugging Face Space con errores tipográficos llamado vsccode-modetx, diseñado para imitar una herramienta legítima de VS Code.

Usando un simple comando curl contra un endpoint de marimo, el atacante descargaba y ejecutaba un shell dropper que instalaba el binario kagent en el sistema de la víctima.

El dominio de Hugging Face no tenía ninguna bandera de malicioso en 16 fuentes de reputación en ese momento, permitiendo que la carga útil eludiera los filtros de seguridad estándar sin activar alarmas.

El impacto del ataque fue más allá de un simple notebook comprometido. Los atacantes rápidamente pasaron de explotar marimo a acceder a bases de datos PostgreSQL y Redis conectadas, utilizando credenciales extraídas de variables de entorno.

Un operador extrajo claves de acceso de AWS, cadenas de conexión a bases de datos y tokens de la API de OpenAI, demostrando que una sola instancia expuesta de marimo podía abrir una brecha en una infraestructura cloud más amplia.

Variante de NKAbuse y tácticas de persistencia

El binario kagent es un archivo ELF de Go empaquetado con UPX y sin símbolos, que se descomprime de 4.3 MB a 15.5 MB y se comunica con un servidor de comando y control (C2) a través de la red blockchain NKN.

Dado que el protocolo NKN utiliza nodos de retransmisión descentralizados, no hay una única dirección IP o dominio para bloquear, y el tráfico C2 se mezcla con la actividad blockchain normal, dificultando su detección con herramientas convencionales.

El script de instalación establece persistencia mediante tres métodos secuenciales: primero crea un servicio de usuario systemd en ~/.config/systemd/user/kagent.service, luego añade una entrada crontab con @reboot, y finalmente instala un LaunchAgent de macOS en ~/Library/LaunchAgents/com.kagent.plist.

Todo el output se redirige silenciosamente a ~/.kagent/install.log, ocultando la actividad del monitoreo estándar de procesos. Los defensores deben revisar estas tres ubicaciones para eliminar completamente el implante.

En comparación con la versión original de NKAbuse de diciembre de 2023, esta variante de 2026 apunta a herramientas de desarrollo de IA utilizando una vulnerabilidad completamente nueva, emplea Hugging Face para su distribución y disfraza el binario como un agente legítimo de Kubernetes llamado kagent, mientras que la versión original explotaba una falla de Apache Struts de seis años de antigüedad contra escritorios Linux y dispositivos IoT.

El equipo Sysdig TRT compartió los siguientes pasos para los defensores:

• Actualiza marimo a la versión 0.23.0 o superior inmediatamente, ya que la vulnerabilidad no requiere autenticación y está siendo explotada activamente.
• Busca el directorio ~/.kagent/, la entrada systemd de kagent.service y cualquier proceso kagent en ejecución en sistemas que hayan usado marimo.
• Bloquea vsccode-modetx.hf.space a nivel de proxy o DNS para detener la entrega de la carga útil conocida.
• Rota todas las credenciales en instancias expuestas de marimo, enfocándote en DATABASE_URL, claves de AWS y tokens de API almacenados en variables de entorno.
• Monitorea el tráfico de red en busca de patrones de retransmisión de la blockchain NKN que indiquen comunicación C2 activa desde un host infectado.
• Audita los Hugging Face Spaces y las dependencias de IA/ML, y restringe el acceso solo a editores verificados.
• Despliega detección de comportamiento en tiempo de ejecución, ya que las herramientas basadas en firmas no pueden detectar malware sin detección alojado en plataformas confiables.