Productos FTTH
Tutoriales y Manuales
Entradas Mensuales
-
▼
2026
(Total:
4349
)
-
▼
mayo
(Total:
1046
)
-
Anthropic supera a OpenAI como la startup de IA má...
-
Nueva vulnerabilidad de ChatGPT permite convertir ...
-
Interfaz remota de Codex roba tokens de OpenAI
-
IA: el coste del tokenmaxxing amenaza la rentabilidad
-
Microsoft recomienda antivirus externos en Windows 11
-
Linux DNS-AID: descubrimiento descentralizado de IA
-
Policía holandesa rescata 17 millones de dispositi...
-
RCE en VS Code Remote-SSH permite saltar de equipo...
-
Actualización de seguridad crítica de Oracle: parc...
-
La escasez de memoria llega a los routers WiFi 7 d...
-
Alerta por estafa del falso hijo en WhatsApp
-
Empresa misteriosa gastó 500 millones en Claude AI...
-
Filtración de datos en Charter Communications afec...
-
EE. UU. acusa a ingeniero de seguridad de Google p...
-
Claude Opus 4.8 ya está aquí: 2,5 veces más veloci...
-
OneXPlayer 3 estrena Intel G3
-
Teléfonos de militares filtraron datos de ubicació...
-
Filtrado iOS 27: Siri independiente y cámara con IA
-
Windows 11: nueva función acelera la CPU un 70%
-
Usan falsas actualizaciones de reproductores de ví...
-
Filtración de datos compañía cruceros más grande d...
-
Se acabó quedarse sin cobertura: la revolucionaria...
-
Google Chrome implementa protección contra el robo...
-
Filtraciones revelan preocupación de EE. UU. por e...
-
IBM y Red Hat invierten 5.000 millones en segurida...
-
Alternativas al Buscador Google
-
Empleado de Google acusado de ganar 1,2 millones c...
-
Paquetes maliciosos de NuGet de Sicoob roban crede...
-
Nueva cadena de ataques Zapocalypse permite tomar ...
-
ClearFake usa contratos inteligentes de BSC Testne...
-
Ingeniero chino de hardware de AMD habla sobre RDN...
-
Jefes ignoran el uso clandestino de IA por exceso ...
-
Webs maliciosas rastrean visitas analizando la act...
-
Utilizan Teams para suplantar al soporte técnico
-
QNAP lanza nuevos switches gestionables con puerto...
-
Italia impone impuesto del 200% a centros de datos...
-
Kimsuky despliega HTTPSpy y amplía su arsenal con ...
-
Windows 11: Efecto del Perfil de Baja Latencia en ...
-
La Comisión Europea multa a Temu con 200 millones ...
-
EE.UU. alerta sobre el auge del extremismo anti-te...
-
Microsoft critica la publicación de vulnerabilidad...
-
GreyVibe emplea ChatGPT y Gemini para potenciar su...
-
Prueba 570 sistemas operativos míticos en tu naveg...
-
ASUS ROG XREAL R1: gaming en otra dimensión
-
Utilizan instaladores falsos de ChatGPT y Claude p...
-
Hackers usan malware Grandoreiro contra bancos por...
-
Claude Opus 4.8 con capacidad de ingeniero experto
-
Campaña GHOST STADIUM engaña a fans del Mundial co...
-
DuckDuckGo crece un 28% gracias a su búsqueda sin IA
-
Windows 11 imita a los AirPods
-
Pagar por usar WhatsApp, Instagram y Facebook ya h...
-
Vulnerabilidad de FortiClient explotada para despl...
-
Vulnerabilidad crítica en OpenVPN Connect para mac...
-
Controla y protege tus datos fácilmente con la app...
-
Nueva vulnerabilidad de Linux CIFSwitch permite ac...
-
Snapdragon C, el chip destinado a crear los «MacBo...
-
Nuevo fallo de día cero en Gogs permite la ejecuci...
-
Atacantes pueden explotar BadHost para acceder a s...
-
Guía de copia de seguridad de Firefox
-
Pueden espiar tu navegación midiendo la actividad ...
-
Rumano condenado a 5 años de prisión por hackear r...
-
FBI: Delincuentes irrumpen en despachos legales y ...
-
Vulnerabilidad del kernel de Windows permite modif...
-
Vulnerabilidad crítica en Roundcube permite inyect...
-
Condenan a 33 años de prisión a extorsionador sexu...
-
Usan chatbots de IA para difundir software malicioso
-
Stream Deck integra IA y control por voz
-
Steam Deck sube hasta un 50% de precio
-
Vulnerabilidad en Veeam permite escalada de privil...
-
Paquete malicioso de npm robaba archivos del direc...
-
Vulnerabilidades críticas en Notepad++ permiten ej...
-
AMD engaña a los usuarios de Linux: o pagan por un...
-
Nuevo malware BTMOB controla remotamente dispositi...
-
Ransomware Payload usa ChaCha20 y Curve25519 para ...
-
9 empresas de hardware dan la puntilla al PC: inve...
-
Filtrado diseño del Samsung Galaxy S26 FE
-
Encuesta revela que el 99% de los CEOs prevé despi...
-
Huawei lanzará chips avanzados en 2031
-
Expertos en IA de firmas chinas requieren permiso ...
-
El tipo que secuenció un ADN completo en casa con ...
-
GIGABYTE presenta el AORUS MASTER 16 2026
-
Evita estos errores al montar tu PC
-
SpaceX admite que no halla suficientes chips para ...
-
CISA insta a agencias federales a corregir vulnera...
-
Gemini agota límite de 5 horas con un solo prompt
-
Vulnerabilidad XSS en Pretalx pone en riesgo siste...
-
CrowdStrike y Google desmantelan la botnet Glassworm
-
Tycoon 2FA evade MFA en Entra ID y Google Workspace
-
Más de 700 sitios web dedicados a la educación y l...
-
Microsoft introduce una nueva función en Windows 1...
-
La CPU NVIDIA Vera con 88 núcleos Arm supera a tod...
-
Recomendaciones de chatbots con IA redirigen usuar...
-
App de Motorola secuestra Amazon para insertar cód...
-
AlmaLinux 10.2: paquetes de 32 bits y arranque Btrfs
-
TRYX muestra su refrigeración líquida HOLO 360 AIO...
-
Riesgo de robo de datos mediante IA de voz
-
GitLab suspende al investigador Nightmare-Eclipse ...
-
Microsoft cambia la búsqueda de Windows 11
-
ASUS lanzará el primer router Wi-Fi 8
-
Vulnerabilidad en Gitea permite acceder a imágenes...
-
-
▼
mayo
(Total:
1046
)
-
►
2025
(Total:
2103
)
- ► septiembre (Total: 148 )
-
►
2024
(Total:
1110
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Síguenos en:
Entradas populares
-
Mozilla ha parcheado 271 vulnerabilidades en Firefox utilizando Claude Mythos , destacando que se produjeron casi cero falsos positivos . ... -
Samsung podría lanzar el Galaxy S27 Pro , un nuevo modelo de gama alta situado entre el Galaxy S27 y el S27 Ultra . -
Filtrado el diseño final del futuro Samsung Galaxy S26 FE a través de fabricantes de fundas, aunque el dispositivo no presenta grandes sor...
Comprometen paquetes de @antv en ataque de npm Mini Shai-Hulud
Un ataque masivo a la cadena de suministro ha afectado el ecosistema npm, comprometiendo cientos de paquetes de JavaScript vinculados a la librería de visualización de datos @antv. El incidente, ocurrido el 19 de mayo de 2026, consistió en la inyección de código malicioso en paquetes utilizados por millones de desarrolladores, incluyendo el popular echarts-for-react.
Un ataque masivo a la cadena de suministro ha golpeado el ecosistema npm, comprometiendo cientos de paquetes de JavaScript ampliamente utilizados y vinculados a la biblioteca de visualización de datos @antv.
El ataque, que se desarrolló en las primeras horas del 19 de mayo de 2026, inyectó código malicioso en paquetes utilizados por millones de desarrolladores en todo el mundo.
Entre los paquetes afectados se encuentra echarts-for-react, un popular wrapper de React con aproximadamente 1,1 millones de descargas semanales.
Los atacantes obtuvieron acceso a la cuenta de mantenedor de npm conocida como "atool" y la utilizaron para lanzar versiones envenenadas de docenas de paquetes conocidos.
Más allá de los paquetes principales de @antv, el ataque también alcanzó paquetes no relacionados como timeago.js, size-sensor y canvas-nest.js.
La enorme cantidad de paquetes afectados convirtió a este incidente en uno de los mayores ataques a la cadena de suministro de npm en la memoria reciente.
Investigadores de Socket.dev identificaron el ataque casi en tiempo real, alertando sobre la ola de publicaciones maliciosas y clasificando las versiones afectadas como malware conocido.
Socket.dev afirmó en un informe compartido que su revisión interna identificó 639 versiones de paquetes comprometidas en 323 paquetes únicos, en lo que el equipo denominó la "ola Mini Shai-Hulud del 19/5". La mayoría de las detecciones ocurrieron entre 6 y 12 minutos después de la publicación.
A lo largo de la campaña más amplia de Mini Shai-Hulud, Socket ha rastreado 1.055 versiones en 502 paquetes únicos que abarcan los registros de npm, PyPI y Composer.
El ecosistema npm soporta la parte abrumadora, con 1.048 versiones comprometidas en 498 paquetes npm únicos. La escala de la campaña apunta a un actor de amenazas coordinado y con abundantes recursos que opera en múltiples ecosistemas de código abierto.
El radio de impacto aquí es significativo. La cuenta de publicación está vinculada a paquetes utilizados en visualización de datos, gráficos, mapas y desarrollo de componentes de React.
Incluso si solo una fracción de esos paquetes recibió una actualización maliciosa, las organizaciones que descargan automáticamente nuevas versiones de dependencias enfrentan una exposición real en cascada.
Comprometen los paquetes de @antv
El código inyectado sigue un patrón vinculado a la familia de malware Mini Shai-Hulud. Cada paquete comprometido contiene un archivo index.js en la raíz que modifica el package.json para ejecutar la carga útil al momento de la instalación a través de un gancho "preinstall" ejecutándose en Bun.
La carga útil está fuertemente ofuscada mediante una tabla de búsqueda de matrices de cadenas extensa y un descifrador personalizado para ocultar cadenas sensibles de una inspección básica.
.webp)
Una vez activado, el malware recolecta y transmite datos robados a través de un canal cifrado. Serializa la información recolectada, la comprime con gzip, la cifra con AES-256-GCM y envuelve la clave con RSA-OAEP antes de enviar todo al servidor de comando y control.
Este cifrado por capas hace que sea muy difícil para los defensores recuperar el contenido robado a partir de los registros de tráfico de red.
La carga útil busca secretos de alto valor en entornos de desarrolladores y CI/CD. Apunta a tokens de GitHub, credenciales de AWS, material de cuentas de servicio de Kubernetes, claves privadas SSH, tokens de Vault, archivos de autenticación de Docker y cadenas de conexión de bases de datos.
También contiene lógica específica para plataformas como GitHub Actions, GitLab CI, Jenkins, CircleCI, AWS CodeBuild y varias otras.
GitHub como canal de exfiltración de respaldo
Si el malware obtiene un token de GitHub utilizable, cambia a un método secundario. Crea un nuevo repositorio bajo la cuenta de la víctima y realiza commits de los datos robados en archivos siguiendo una ruta de nomenclatura estructurada.
Esta técnica abusa de GitHub como infraestructura confiable, haciendo que la exfiltración sea mucho más difícil de detectar y bloquear. Las búsquedas públicas en GitHub para un marcador de campaña invertido revelan actualmente aproximadamente 1.900 repositorios creados por el actor de amenazas.
Estos utilizan nombres inspirados en Dune, como "sayyadina-stillsuit-852" y "fremen-fedaykin-225", y sus descripciones llevan el mismo marcador invertido, confirmando que pertenecen a la red de exfiltración de la campaña.
Más allá de robar secretos, la carga útil también puede propagarse a sí misma. Valida credenciales de npm robadas, enumera los paquetes que la cuenta comprometida puede publicar, inyecta código malicioso y vuelve a publicar los paquetes modificados.
Este comportamiento similar a un gusano permite que el ataque salte entre cuentas de mantenedores sin mayor esfuerzo por parte del atacante.
Tú y tu equipo de seguridad deberían auditar cualquier actualización reciente de los espacios de nombres de @antv y npm asociados de inmediato.
Las organizaciones deben rotar cualquier secreto o credencial que haya podido pasar por entornos donde se instalaron recientemente estos paquetes. También se recomienda encarecidamente revisar los registros de la canalización CI/CD en busca de actividad inesperada de creación de repositorios de GitHub.
Indicadores de Compromiso (IoCs):-
| Tipo | Indicador | Descripción |
|---|---|---|
| Dominio | t[.]m-kosche[.]com | Dominio de exfiltración C2 primario utilizado por la carga útil maliciosa |
| URL | https://t[.]m-kosche[.]com:443/api/public/otel/v1/traces | Endpoint de exfiltración HTTPS primario para secretos recolectados |
| URL | https://fulcio[.]sigstore[.]dev/api/v2/signingCert | Endpoint de Sigstore Fulcio referenciado en la carga útil |
| URL | https://rekor[.]sigstore[.]dev/api/v1/log/entries | Endpoint de registro de transparencia de Sigstore Rekor referenciado en la carga útil |
| Marcador GitHub | niagA oG eW ereH :duluH-iahS | Cadena de marcador de campaña invertida encontrada en repositorios de GitHub del actor de amenazas |
| Marcador GitHub | niaga og ew ereh :duluh-iahs | Variante en minúsculas del marcador de campaña invertido |
| Marcador GitHub | Shai-Hulud: Here We Go Again | Texto plano decodificado del marcador de la campaña |
| Patrón de ruta de archivo | results/results-*.json | Patrón de ruta utilizado por el mecanismo de exfiltración de respaldo de GitHub para almacenar datos robados |
| Patrón de repositorio | <palabra-dune>-<palabra-dune>-<dígitos> | Convención de nomenclatura utilizada para los repositorios de almacenamiento del actor de amenazas |
| Repositorio GitHub | sayyadina-stillsuit-852 | Repositorio observado del actor de amenazas utilizado para la etapa de exfiltración |
| Repositorio GitHub | atreides-ornithopter-112 | Repositorio observado del actor de amenazas utilizado para la etapa de exfiltración |
| Repositorio GitHub | harkonnen-phibian-552 | Repositorio observado del actor de amenazas utilizado para la etapa de exfiltración |
| Repositorio GitHub | fremen-fedaykin-225 | Repositorio observado del actor de amenazas utilizado para la etapa de exfiltración |
| Repositorio GitHub | kanly-lasgun-874 | Repositorio observado del actor de amenazas utilizado para la etapa de exfiltración |
| Objetivo de Secreto | GITHUB_TOKEN | Variable de entorno recolectada activamente por la carga útil |
| Objetivo de Secreto | AWS_ACCESS_KEY_ID | Credencial de AWS objetivo para robo por la carga útil |
| Objetivo de Secreto | AWS_SECRET_ACCESS_KEY | Credencial de AWS objetivo para robo por la carga útil |
| Objetivo de Secreto | AWS_SESSION_TOKEN | Token de sesión de AWS objetivo para robo |
| Objetivo de Secreto | KUBECONFIG | Archivo de configuración de Kubernetes objetivo para robo |
| Objetivo de Secreto | VAULT_TOKEN | Token de HashiCorp Vault objetivo para robo |
| Archivo | index.js | Archivo de carga útil maliciosa a nivel de raíz inyectado en paquetes comprometidos |
Nota: Las direcciones IP y los dominios están deliberadamente desactivados (por ejemplo, [.]) para evitar la resolución accidental o la creación de hipervínculos. Actívalos únicamente dentro de plataformas de inteligencia de amenazas controladas como MISP, VirusTotal o tu SIEM.
Fuentes:
https://cybersecuritynews.com/hackers-compromise-antv-packages/
Etiquetas:
Entrada más reciente
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.