Productos FTTH
Tutoriales y Manuales
Entradas Mensuales
-
▼
2026
(Total:
4218
)
-
▼
May
(Total:
915
)
-
Empleados de Big Tech disparan costes de IA con to...
-
OmniDrive: convierte tu Blu-ray en grabadora de ju...
-
Vulnerabilidades en Angular Language Service permi...
-
Escanean firewalls de SonicWall: 597.000 sesiones ...
-
LEGO Skylines: el riesgo de Paradox
-
Falta talento en ciberseguridad en España
-
Mythos: la IA de Anthropic para seguridad y código...
-
Nintendo rechaza la IA y sus acciones suben
-
Grupo chino ataca routers en el sudeste asiático c...
-
El Gobierno de España aprueba la Ley de IA que pro...
-
Italia desmantela la app CINEMAGOAL de streaming i...
-
Logran engañar a la IA de Google y la usan para ro...
-
Explotan vulnerabilidad Zero-Day de KnowledgeDeliv...
-
La fuente MSI MPG Ai1600TS PCIE5 es capaz de prote...
-
Microsoft reorganiza Copilot
-
Caída global de GitHub afecta flujos de CI/CD
-
Linux elimina soporte ARCnet antiguo
-
China crea DNI para robots humanoides
-
Zen 7 rozará el límite del silicio
-
Actualizaciones de BIOS de HP dañan portátiles pre...
-
Jefe de Uber advierte que no hay vínculo entre el ...
-
Publicado PuTTY 0.84 con correcciones de SSH y Telnet
-
UE impone multa récord a Google por abusos en búsq...
-
IA planean crear un sindicato por explotación
-
Jira ya permite programar oficialmente
-
Nuevas vulnerabilidades de 7-Zip permiten ejecutar...
-
HP investiga el desastre de una BIOS enviada por W...
-
Summer Game Fest 2026 regresa en junio
-
León XIV pide desarmar la IA abusiva
-
Amor por IA: el romance que amenaza su vida
-
Cloud Atlas APT modifica termsrv.dll para permitir...
-
IA de Google falla en búsquedas sencillas
-
Ferrari Luce: el eléctrico de Jony Ive
-
UE6 solucionará el fallo de UE5
-
Vulkan y fecha de Steam Machine 2
-
Python supera a la IA en salidas profesionales
-
TDK Corporation y NHK Spring reciben una demanda p...
-
PS6 superará a PS5 emulando PS3
-
Exoesqueleto impulsado por IA para potenciar el mo...
-
Ciberdelincuente ruso usó Gemini modificado para r...
-
Explotan vulnerabilidad CVE-2026-26980 de Ghost CM...
-
Exingeniero de Atlassian relata su despido por IA
-
Bolso de Tiranosaurio: lujo costoso y cuestionable
-
Cómo eliminar la IA de Google para siempre
-
Prototipo de Samsung: memoria NAND 3D de 900 capas...
-
Historiales de WhatsApp almacenados sin cifrar en ...
-
IA provoca 150.000 despidos tecnológicos en 5 meses
-
MX Linux 25.2: mejoras en instalador, modo live y ...
-
Linus Torvalds critica el uso excesivo de la IA en...
-
Star Citizen: mil millones y sigue sin terminar
-
Malware de Android suscribe víctimas a servicios p...
-
Vulnerabilidad Nginx-poolslip permite DoS y ejecuc...
-
Pentest Agent Suite: framework de bug bounty para ...
-
Claude Mythos halla 10.000 fallos pero genera nuev...
-
Ocultan carga Linux en archivo similar a SSH al in...
-
Copilot pierde funciones en Office
-
Londres lidera el reconocimiento facial en Europa
-
APT iraní usa SEO poisoning para distribuir malwar...
-
Un YouTuber crea una chaqueta futurista de Cyberpu...
-
Ya disponible Wireshark 4.6.6: corrige error de ci...
-
Ataque de cadena de suministro TrapDoor distribuye...
-
AMD prepara el salto global de la RX 9070 GRE: 12 ...
-
Juzgado frena multas de LaLiga a las VPN
-
Lazarus lanza el RAT RemotePE basado en memoria co...
-
Linus Torvalds endurece filtros contra la IA
-
Anthropic lanzará sus modelos de clase Mythos al p...
-
GitHub añade publicación escalonada a npm para blo...
-
Dron récord: Madrid a Barcelona en 40 minutos
-
Tesla cobra 99 euros al mes por su FSD
-
NotebookLM: añade fuentes más rápido
-
Rust podría eliminar el 80% de los CVE de Linux
-
El costoso error de sustituir programadores por IA
-
Google y la IA amenazan el periodismo
-
Microsoft degrada a GitHub
-
Premier League combate la piratería y LaLiga observa
-
Microsoft parchea vulnerabilidad de BitLocker en W...
-
La IA empieza a superar a los ingenieros de chips ...
-
Canadiense arrestado por botnet KimWolf por usar 2...
-
Facebook quiere ser el nuevo Reddit de Zuckerberg ...
-
Ubiquiti corrige tres vulnerabilidades críticas en...
-
Claude Mythos halla 10.000 vulnerabilidades crític...
-
PS5 en Linux: ¿qué implica para Xbox Project Helix?
-
Ataque Megalodon en GitHub afecta a 5.561 reposito...
-
Europa actúa ante la amenaza bancanria de Claude M...
-
Lenovo logra facturación récord gracias a la IA
-
CISA advierte sobre vulnerabilidad de Trend Micro ...
-
Vuelve el Samsung Galaxy Z Roll
-
Filtraciones de datos en la web móvil de Trump jus...
-
Alternativas gratis a Microsoft 365
-
768GB de memoria Intel Optane barata para ejecutar...
-
El cerebro aprende mejor con libros de papel
-
Ola de malware Shai-Hulud afecta a 600 paquetes de...
-
Splunk corrige vulnerabilidades que permiten ataqu...
-
El nuevo engaño del phishing: cómo el consentimien...
-
FBI advierte sobre Kali365: roban credenciales de ...
-
PS5 con trazado de trayectorias en Linux: 35 FPS a...
-
Malware usa MSHTA de Internet Explorer en Windows 11
-
Ucrania identifica al operador de un infostealer v...
-
Costes de memoria de Nvidia suben 485%, sistemas d...
-
AMD Hammer Lake: vuelve el Hyper Threading con la ...
-
-
▼
May
(Total:
915
)
Síguenos en:
Entradas populares
-
Las gafas inteligentes Ray-Ban de Meta se abrirán a aplicaciones de terceros mediante Android XR para ampliar su compatibilidad. -
Google ha lanzado una actualización de seguridad urgente para Chrome que soluciona 16 vulnerabilidades , incluyendo dos calificadas como crí... -
Cinco aplicaciones gratuitas y de código abierto se presentan como alternativas a Microsoft 365 , la suite ofimática líder del mercado.
Ataque Megalodon en GitHub afecta a 5.561 repositorios mediante flujos de CI/CD maliciosos
Investigadores detectaron la campaña Megalodon, que infectó más de 5,500 repositorios de GitHub mediante commits maliciosos para robar credenciales de nube, claves SSH y secretos de CI/CD. El ataque, vinculado al grupo TeamPCP, utiliza cuentas desechables y flujos de trabajo automatizados para exfiltrar datos a gran escala. Además, se reportaron paquetes maliciosos en npm que suplantan herramientas de Polymarket para robar claves privadas de criptomonedas.
Investigadores de ciberseguridad han revelado detalles de una nueva campaña automatizada llamada Megalodon que ha enviado 5,718 commits maliciosos a 5,561 repositorios de GitHub en un intervalo de seis horas.
"Utilizando cuentas desechables e identidades de autor falsificadas (build-bot, auto-ci, ci-bot, pipeline-bot), el atacante inyectó flujos de trabajo de GitHub Actions que contenían cargas útiles de bash codificadas en base64 que exfiltran secretos de CI, credenciales de nube, claves SSH, tokens OIDC y secretos de código fuente a un servidor C2 en 216.126.225[.]129:8443", afirmó SafeDep en un informe. La lista completa de datos recolectados por el malware se encuentra a continuación:
Investigadores de ciberseguridad han revelado detalles de una nueva campaña automatizada llamada Megalodon que ha enviado 5,718 commits maliciosos a 5,561 repositorios de GitHub en un intervalo de seis horas."Utilizando cuentas desechables e identidades de autor falsificadas (build-bot, auto-ci, ci-bot, pipeline-bot), el atacante inyectó flujos de trabajo de GitHub Actions que contenían cargas útiles de bash codificadas en base64 que exfiltran secretos de CI, credenciales de nube, claves SSH, tokens OIDC y secretos de código fuente a un servidor C2 en 216.126.225[.]129:8443", afirmó SafeDep en un informe. La lista completa de datos recolectados por el malware se encuentra a continuación:
- * Variables de entorno de CI, /proc/*/environ y entorno de PID 1
- * Credenciales de Amazon Web Services (AWS)
- * Tokens de acceso de Google Cloud
- * Credenciales de rol de instancia obtenidas mediante consultas a AWS IMDSv2, metadatos de Google Cloud y endpoints del Servicio de Metadatos de Instancia (IMDS) de Microsoft Azure
- * Claves privadas SSH
- * Configuraciones de Docker y Kubernetes
- * Tokens de Vault
- * Credenciales de Terraform
- * Historial de la shell
- * Claves API, cadenas de conexión de bases de datos, JWT, claves privadas PEM y tokens de nube que coinciden con más de 30 patrones de expresiones regulares de secretos
- * URL de solicitud de token y token OIDC de GitHub Actions
- * GITHUB_TOKEN, tokens de GitLab CI/CD y tokens de Bitbucket
- * Archivos .env, credentials.json, service-account.json y otros archivos de configuración
Uno de los paquetes afectados es @tiledesk/tiledesk-server, que incluye una carga útil de bash codificada en Base64 dentro de un archivo de flujo de trabajo de GitHub Actions. En total, se enviaron 5,718 commits contra 5,561 repositorios distintos el 18 de mayo de 2026, entre las 11:36 a.m. y las 5:48 p.m. UTC.
"El atacante rotó entre cuatro nombres de autor (build-bot, auto-ci, ci-bot, pipeline-bot) y siete mensajes de commit, todos imitando el mantenimiento rutinario de CI", dijo SafeDep. "El atacante utilizó cuentas de GitHub desechables con nombres de usuario aleatorios de 8 caracteres (por ejemplo, rkb8el9r, bhlru9nr, lo6wt4t6), configuró git para falsificar la identidad del autor y realizó los envíos a través de PATs comprometidos o claves de despliegue".
Se han observado dos variantes de carga útil como parte de esta campaña a gran escala: SysDiag, una variante masiva que añade un nuevo flujo de trabajo que se activa en cada push y pull request, y Optimize-Build, una variante dirigida que se activa solo en workflow_dispatch, un activador de GitHub Actions que permite a los usuarios ejecutar manualmente un flujo de trabajo bajo demanda. En el caso de Tiledesk, se utiliza el enfoque dirigido para atacar los ejecutores de CI/CD, y no cuando se instala el paquete npm. "El intercambio es el alcance: 'on: push' garantizaría la ejecución en cada commit a master, golpeando más objetivos sin intervención", añadió SafeDep. "Workflow_dispatch sacrifica eso en favor de la seguridad operativa. Con más de 5,700 repos comprometidos, incluso una pequeña fracción que proporcione un GITHUB_TOKEN utilizable le da al atacante suficientes objetivos para la activación bajo demanda".
El resultado es que una vez que el propietario de un repositorio fusiona el commit, el malware se ejecuta dentro de sus tuberías de CI/CD y se propaga más, permitiendo el robo de credenciales y secretos a escala.
"Hemos entrado en una nueva era de ataques a la cadena de suministro, y que TeamPCP comprometiera GitHub fue solo el comienzo", dijo Moshe Siman Tov Bustan de OX Security en su blog. "Lo que viene a continuación es una ola interminable, un tsunami de ciberataques a desarrolladores de todo el mundo".
Este desarrollo ocurre mientras TeamPCP ha convertido la cadena de suministro de software interconectada en un arma para corromper cientos de herramientas de código abierto, infiltrándose en varios ecosistemas y extorsionando a las víctimas para obtener beneficios en algunos casos. GitHub, propiedad de Microsoft, se ha convertido en la última adición a la larga lista de víctimas del grupo, que también incluye a TanStack, Grafana Labs, OpenAI y Mistral AI. Los ataques de TeamPCP han impulsado una explotación cíclica de proyectos populares de código abierto, donde un compromiso alimenta al siguiente, permitiendo que el malware se propague como un incendio forestal en forma de gusano. El grupo también parece tener una motivación financiera y ha establecido asociaciones con BreachForums y otras bandas de extorsión como LAPSUS$ y VECT. Además, el grupo parece estar motivado geopolíticamente, como lo demuestra el despliegue de malware wiper al detectar máquinas ubicadas en Irán e Israel. Las consecuencias de la racha de ataques de TeamPCP y el gusano Mini Shai-Hulud en este enlace han llevado a npm a invalidar los tokens de acceso granulares con acceso de escritura que eluden la autenticación de dos factores (2FA). NPM también insta a los usuarios a cambiar a Trusted Publishing para reducir la dependencia de dichos tokens. "Al eliminar cada token que elude el 2FA en la plataforma, npm corta las credenciales que el gusano ya ha recolectado", dijo la firma de seguridad de aplicaciones Socket en su blog. "Los mantenedores emiten nuevos. El gusano, que sigue activo, vuelve a recolectarlos. El reinicio compra tiempo, pero no cierra el agujero subyacente".
Grupos de actividad como Megalodon y TeamPCP implican comprometer paquetes legítimos para distribuir malware. En contraste, se ha encontrado que una cuenta desechable llamada "polymarketdev" ha publicado nueve paquetes maliciosos de npm que suplantan las herramientas CLI de trading de Polymarket en un intervalo de 30 segundos para robar las claves privadas de Ethereum/Polygon de las víctimas a través de un hook postinstall. Al momento de escribir esto, todavía están disponibles para su descarga desde npm. Los nombres de los paquetes son los siguientes:
Se han observado dos variantes de carga útil como parte de esta campaña a gran escala: SysDiag, una variante masiva que añade un nuevo flujo de trabajo que se activa en cada push y pull request, y Optimize-Build, una variante dirigida que se activa solo en workflow_dispatch, un activador de GitHub Actions que permite a los usuarios ejecutar manualmente un flujo de trabajo bajo demanda. En el caso de Tiledesk, se utiliza el enfoque dirigido para atacar los ejecutores de CI/CD, y no cuando se instala el paquete npm. "El intercambio es el alcance: 'on: push' garantizaría la ejecución en cada commit a master, golpeando más objetivos sin intervención", añadió SafeDep. "Workflow_dispatch sacrifica eso en favor de la seguridad operativa. Con más de 5,700 repos comprometidos, incluso una pequeña fracción que proporcione un GITHUB_TOKEN utilizable le da al atacante suficientes objetivos para la activación bajo demanda".
El resultado es que una vez que el propietario de un repositorio fusiona el commit, el malware se ejecuta dentro de sus tuberías de CI/CD y se propaga más, permitiendo el robo de credenciales y secretos a escala.
"Hemos entrado en una nueva era de ataques a la cadena de suministro, y que TeamPCP comprometiera GitHub fue solo el comienzo", dijo Moshe Siman Tov Bustan de OX Security en su blog. "Lo que viene a continuación es una ola interminable, un tsunami de ciberataques a desarrolladores de todo el mundo".Este desarrollo ocurre mientras TeamPCP ha convertido la cadena de suministro de software interconectada en un arma para corromper cientos de herramientas de código abierto, infiltrándose en varios ecosistemas y extorsionando a las víctimas para obtener beneficios en algunos casos. GitHub, propiedad de Microsoft, se ha convertido en la última adición a la larga lista de víctimas del grupo, que también incluye a TanStack, Grafana Labs, OpenAI y Mistral AI. Los ataques de TeamPCP han impulsado una explotación cíclica de proyectos populares de código abierto, donde un compromiso alimenta al siguiente, permitiendo que el malware se propague como un incendio forestal en forma de gusano. El grupo también parece tener una motivación financiera y ha establecido asociaciones con BreachForums y otras bandas de extorsión como LAPSUS$ y VECT. Además, el grupo parece estar motivado geopolíticamente, como lo demuestra el despliegue de malware wiper al detectar máquinas ubicadas en Irán e Israel. Las consecuencias de la racha de ataques de TeamPCP y el gusano Mini Shai-Hulud en este enlace han llevado a npm a invalidar los tokens de acceso granulares con acceso de escritura que eluden la autenticación de dos factores (2FA). NPM también insta a los usuarios a cambiar a Trusted Publishing para reducir la dependencia de dichos tokens. "Al eliminar cada token que elude el 2FA en la plataforma, npm corta las credenciales que el gusano ya ha recolectado", dijo la firma de seguridad de aplicaciones Socket en su blog. "Los mantenedores emiten nuevos. El gusano, que sigue activo, vuelve a recolectarlos. El reinicio compra tiempo, pero no cierra el agujero subyacente".
Grupos de actividad como Megalodon y TeamPCP implican comprometer paquetes legítimos para distribuir malware. En contraste, se ha encontrado que una cuenta desechable llamada "polymarketdev" ha publicado nueve paquetes maliciosos de npm que suplantan las herramientas CLI de trading de Polymarket en un intervalo de 30 segundos para robar las claves privadas de Ethereum/Polygon de las víctimas a través de un hook postinstall. Al momento de escribir esto, todavía están disponibles para su descarga desde npm. Los nombres de los paquetes son los siguientes:
- * polymarket-trading-cli
- * polymarket-terminal
- * polymarket-trade
- * polymarket-auto-trade
- * polymarket-copy-trading
- * polymarket-bot
- * polymarket-claude-code
- * polymarket-ai-agent
- * polymarket-trader "
Al instalarlo, un script postinstall muestra un aviso falso de configuración de billetera que pide al usuario que pegue su clave privada, afirmando que 'permanece cifrada'", dijo SafeDep en su análisis. "El script envía la clave raw en texto plano a un Cloudflare Worker en hxxps://polymarketbot.polymarketdev.workers[.]dev/v1/wallets/keys".
"El atacante construyó una CLI de trading funcional alrededor de una operación de robo de credenciales. La ingeniería social impulsa el ataque: el aviso postinstall parece una configuración de billetera estándar, la máscara imita una entrada segura y el repositorio de GitHub proporciona una falsa credibilidad".
Fuente:
THN
"El atacante construyó una CLI de trading funcional alrededor de una operación de robo de credenciales. La ingeniería social impulsa el ataque: el aviso postinstall parece una configuración de billetera estándar, la máscara imita una entrada segura y el repositorio de GitHub proporciona una falsa credibilidad".
Fuente:
THN
Labels:
Newer Post
0 comments :
Post a Comment
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.