Productos FTTH
Tutoriales y Manuales
Entradas Mensuales
-
▼
2026
(Total:
4348
)
-
▼
mayo
(Total:
1045
)
-
Nueva vulnerabilidad de ChatGPT permite convertir ...
-
Interfaz remota de Codex roba tokens de OpenAI
-
IA: el coste del tokenmaxxing amenaza la rentabilidad
-
Microsoft recomienda antivirus externos en Windows 11
-
Linux DNS-AID: descubrimiento descentralizado de IA
-
Policía holandesa rescata 17 millones de dispositi...
-
RCE en VS Code Remote-SSH permite saltar de equipo...
-
Actualización de seguridad crítica de Oracle: parc...
-
La escasez de memoria llega a los routers WiFi 7 d...
-
Alerta por estafa del falso hijo en WhatsApp
-
Empresa misteriosa gastó 500 millones en Claude AI...
-
Filtración de datos en Charter Communications afec...
-
EE. UU. acusa a ingeniero de seguridad de Google p...
-
Claude Opus 4.8 ya está aquí: 2,5 veces más veloci...
-
OneXPlayer 3 estrena Intel G3
-
Teléfonos de militares filtraron datos de ubicació...
-
Filtrado iOS 27: Siri independiente y cámara con IA
-
Windows 11: nueva función acelera la CPU un 70%
-
Usan falsas actualizaciones de reproductores de ví...
-
Filtración de datos compañía cruceros más grande d...
-
Se acabó quedarse sin cobertura: la revolucionaria...
-
Google Chrome implementa protección contra el robo...
-
Filtraciones revelan preocupación de EE. UU. por e...
-
IBM y Red Hat invierten 5.000 millones en segurida...
-
Alternativas al Buscador Google
-
Empleado de Google acusado de ganar 1,2 millones c...
-
Paquetes maliciosos de NuGet de Sicoob roban crede...
-
Nueva cadena de ataques Zapocalypse permite tomar ...
-
ClearFake usa contratos inteligentes de BSC Testne...
-
Ingeniero chino de hardware de AMD habla sobre RDN...
-
Jefes ignoran el uso clandestino de IA por exceso ...
-
Webs maliciosas rastrean visitas analizando la act...
-
Utilizan Teams para suplantar al soporte técnico
-
QNAP lanza nuevos switches gestionables con puerto...
-
Italia impone impuesto del 200% a centros de datos...
-
Kimsuky despliega HTTPSpy y amplía su arsenal con ...
-
Windows 11: Efecto del Perfil de Baja Latencia en ...
-
La Comisión Europea multa a Temu con 200 millones ...
-
EE.UU. alerta sobre el auge del extremismo anti-te...
-
Microsoft critica la publicación de vulnerabilidad...
-
GreyVibe emplea ChatGPT y Gemini para potenciar su...
-
Prueba 570 sistemas operativos míticos en tu naveg...
-
ASUS ROG XREAL R1: gaming en otra dimensión
-
Utilizan instaladores falsos de ChatGPT y Claude p...
-
Hackers usan malware Grandoreiro contra bancos por...
-
Claude Opus 4.8 con capacidad de ingeniero experto
-
Campaña GHOST STADIUM engaña a fans del Mundial co...
-
DuckDuckGo crece un 28% gracias a su búsqueda sin IA
-
Windows 11 imita a los AirPods
-
Pagar por usar WhatsApp, Instagram y Facebook ya h...
-
Vulnerabilidad de FortiClient explotada para despl...
-
Vulnerabilidad crítica en OpenVPN Connect para mac...
-
Controla y protege tus datos fácilmente con la app...
-
Nueva vulnerabilidad de Linux CIFSwitch permite ac...
-
Snapdragon C, el chip destinado a crear los «MacBo...
-
Nuevo fallo de día cero en Gogs permite la ejecuci...
-
Atacantes pueden explotar BadHost para acceder a s...
-
Guía de copia de seguridad de Firefox
-
Pueden espiar tu navegación midiendo la actividad ...
-
Rumano condenado a 5 años de prisión por hackear r...
-
FBI: Delincuentes irrumpen en despachos legales y ...
-
Vulnerabilidad del kernel de Windows permite modif...
-
Vulnerabilidad crítica en Roundcube permite inyect...
-
Condenan a 33 años de prisión a extorsionador sexu...
-
Usan chatbots de IA para difundir software malicioso
-
Stream Deck integra IA y control por voz
-
Steam Deck sube hasta un 50% de precio
-
Vulnerabilidad en Veeam permite escalada de privil...
-
Paquete malicioso de npm robaba archivos del direc...
-
Vulnerabilidades críticas en Notepad++ permiten ej...
-
AMD engaña a los usuarios de Linux: o pagan por un...
-
Nuevo malware BTMOB controla remotamente dispositi...
-
Ransomware Payload usa ChaCha20 y Curve25519 para ...
-
9 empresas de hardware dan la puntilla al PC: inve...
-
Filtrado diseño del Samsung Galaxy S26 FE
-
Encuesta revela que el 99% de los CEOs prevé despi...
-
Huawei lanzará chips avanzados en 2031
-
Expertos en IA de firmas chinas requieren permiso ...
-
El tipo que secuenció un ADN completo en casa con ...
-
GIGABYTE presenta el AORUS MASTER 16 2026
-
Evita estos errores al montar tu PC
-
SpaceX admite que no halla suficientes chips para ...
-
CISA insta a agencias federales a corregir vulnera...
-
Gemini agota límite de 5 horas con un solo prompt
-
Vulnerabilidad XSS en Pretalx pone en riesgo siste...
-
CrowdStrike y Google desmantelan la botnet Glassworm
-
Tycoon 2FA evade MFA en Entra ID y Google Workspace
-
Más de 700 sitios web dedicados a la educación y l...
-
Microsoft introduce una nueva función en Windows 1...
-
La CPU NVIDIA Vera con 88 núcleos Arm supera a tod...
-
Recomendaciones de chatbots con IA redirigen usuar...
-
App de Motorola secuestra Amazon para insertar cód...
-
AlmaLinux 10.2: paquetes de 32 bits y arranque Btrfs
-
TRYX muestra su refrigeración líquida HOLO 360 AIO...
-
Riesgo de robo de datos mediante IA de voz
-
GitLab suspende al investigador Nightmare-Eclipse ...
-
Microsoft cambia la búsqueda de Windows 11
-
ASUS lanzará el primer router Wi-Fi 8
-
Vulnerabilidad en Gitea permite acceder a imágenes...
-
ROADtools usado en ataques en la nube para robar t...
-
-
▼
mayo
(Total:
1045
)
-
►
2025
(Total:
2103
)
- ► septiembre (Total: 148 )
-
►
2024
(Total:
1110
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Síguenos en:
Entradas populares
-
Mozilla ha parcheado 271 vulnerabilidades en Firefox utilizando Claude Mythos , destacando que se produjeron casi cero falsos positivos . ... -
Samsung podría lanzar el Galaxy S27 Pro , un nuevo modelo de gama alta situado entre el Galaxy S27 y el S27 Ultra . -
Filtrado el diseño final del futuro Samsung Galaxy S26 FE a través de fabricantes de fundas, aunque el dispositivo no presenta grandes sor...
Interfaz remota de Codex roba tokens de OpenAI
Un paquete npm pulido y totalmente funcional ha sido sorprendido robando secretamente tokens de autenticación de OpenAI Codex a los desarrolladores que confiaron en él.
El paquete, llamado codexui-android, se presentaba como una interfaz web remota para OpenAI Codex sin signos obvios de ser malicioso.
Construyó una base de usuarios genuina, acumuló 27,000 descargas semanales y mantuvo un repositorio activo en GitHub, todo mientras extraía silenciosamente credenciales en segundo plano.
La amenaza estuvo activa durante aproximadamente un mes antes de ser detectada. Cada versión publicada contenía código oculto que se ejecutaba en el momento en que se iniciaba la herramienta, sin requerir ninguna interacción del usuario.
La lógica maliciosa se ejecutaba antes que cualquier código de la aplicación, dándole acceso total a los archivos de autenticación almacenados desde el arranque.
Aikido señaló en un informe que el comportamiento malicioso, tras analizar el paquete npm publicado, contenía código extra que nunca fue enviado al repositorio de GitHub.
Esto lo hacía casi invisible para las auditorías de código estándar. Los desarrolladores que revisaran la fuente no encontrarían nada sospechoso, ya que la lógica de robo existía únicamente dentro del paquete distribuido.
.webp)
El código de exfiltración apuntaba al archivo auth.json almacenado en el directorio principal de Codex del usuario. Una vez encontrado, el contenido era cifrado con XOR utilizando la clave “anyclaw2026”, codificado en base64 y enviado silenciosamente a un servidor controlado por el atacante.
El endpoint fue nombrado para parecerse a una conexión legítima de reporte de errores de Sentry, lo que hacía que fuera fácil de pasar por alto durante la monitorización rutinaria de la red.
Lo que hizo que esta campaña fuera alarmante fue cuán completo fue el robo. El paquete capturó el token de acceso, el token de refresco, el token de ID y el ID de la cuenta en una sola pasada. Dado que los tokens de refresco no expiran, un atacante que posea uno podría suplantar a la víctima silenciosamente de forma indefinida.
Interfaz remota de Codex de aspecto legítimo
El archivo malicioso en el paquete, chunk-PUR7OUAG.js, se ejecutaba al cargar el módulo sin necesidad de ninguna llamada a función o condición para activarlo.
El autor dejó un comentario en el mapa de fuente indicando que los tokens serían enviados “siempre”, independientemente de cualquier otra funcionalidad. Esto no fue accidental. Fue deliberado, enterrado dentro de un producto que, por lo demás, funcionaba.
El endpoint de exfiltración, sentry.anyclaw[.]store/startlog, fue nombrado para mezclarse con el tráfico legítimo de reportes de errores de Sentry del paquete.
Un desarrollador que observara la actividad de red vería lo que parecía ser telemetría normal saliendo. Esa cobertura fue totalmente diseñada, dando al robo un disfraz que requería una investigación activa para ser descubierto.
El actor de la amenaza invirtió un esfuerzo real en construir un proyecto creíble y útil para usarlo como cobertura, y la legitimidad misma se convirtió en el vector de ataque. A medida que las herramientas de IA se extiendan y los desarrolladores busquen atajos de productividad, se deberían esperar más ataques siguiendo este patrón.
La aplicación de Android extiende el alcance del ataque
El paquete npm no fue el único canal de distribución. El mismo autor publicó una aplicación de Android en Google Play llamada “OpenClaw Codex Claude AI Agent” (ID de paquete: gptos.intelligence.assistant), y esa aplicación descargaba automáticamente la compilación maliciosa de npm cada vez que se iniciaba.
Una segunda aplicación de la Play Store titulada “Codex”, una herramienta de productividad de pago con más de 10,000 instalaciones, utilizaba la misma base de código y cadena de exfiltración bajo un ID de aplicación diferente.
La aplicación de Android parecía limpia en los escaneos previos a la publicación y pesaba solo 26 MB. En la primera ejecución, extraía un entorno Linux en el almacenamiento privado, ejecutaba Node.js dentro de él e instalaba el paquete malicioso de npm sin fijar una versión.
Esto significaba que cualquier dispositivo que ejecutara la aplicación descargaría cualquier compilación maliciosa actual del registro.
Una vez que un usuario iniciaba sesión en Codex dentro de la aplicación, el archivo auth.json se escribía en el almacenamiento, que el paquete luego leería y transmitiría al servidor del atacante.
.webp)
La investigación de Aikido vinculó al editor con el alias “BrutalStrike”, cuyo juego del mismo nombre tiene más de cinco millones de descargas en la Play Store, lo que plantea serias preocupaciones sobre la escala de la exposición.
Los desarrolladores que hayan utilizado codexui-android o cualquiera de las aplicaciones de Android asociadas deben revocar y rotar inmediatamente sus credenciales de OpenAI Codex.
Se recomienda encarecidamente monitorizar las conexiones salientes a sentry.anyclaw[.]store, ya que es el endpoint de exfiltración confirmado utilizado en toda esta campaña.
Indicadores de Compromiso (IoCs):-
| Tipo | Indicador | Descripción |
|---|---|---|
| Dominio | sentry.anyclaw[.]store | Endpoint del servidor de exfiltración controlado por el atacante |
| Ruta URL | /startlog | Endpoint POST de exfiltración en el servidor C2 |
| Nombre de archivo | chunk-PUR7OUAG.js | Fragmento de JavaScript malicioso que contiene la lógica de exfiltración |
| Nombre de archivo | dist-cli/index.js | Punto de entrada del paquete npm malicioso |
| Nombre de archivo | auth.json | Archivo de credenciales objetivo (almacena tokens OAuth de Codex) |
| Paquete npm | codexui-android | Paquete npm malicioso que entrega el robador de tokens |
| Versión de paquete npm | codexui-android@0.1.82 | Primera versión confirmada que contiene el código de exfiltración |
| ID de App Android | gptos.intelligence.assistant | ID de paquete de “OpenClaw Codex Claude AI Agent” en Google Play |
| App Android | codex.app | Segunda aplicación de la Play Store que utiliza la misma base de código maliciosa |
| Clave XOR | anyclaw2026 | Clave de cifrado utilizada para ofuscar los datos de credenciales robados |
| Espacio de nombres Kotlin | app.anyclaw.* | Espacio de nombres compartido entre ambos APK de Android maliciosos |
| Callback de Auth | anyclaw://auth/codex-callback | Deep link registrado en los manifiestos de Android maliciosos |
| Nombre de archivo | rootfs.tar.zst.bin | Userland de Linux empaquetado que se extrae al primer inicio de la app |
Nota: Las direcciones IP y los dominios están intencionadamente desactivados (por ejemplo, [.]) para evitar la resolución accidental o el hipervínculo. Reactívalos solo dentro de plataformas de inteligencia de amenazas controladas como MISP, VirusTotal o tu SIEM.
Fuentes:
https://cybersecuritynews.com/legitimate-looking-codex-remote-ui/
Etiquetas:
Entrada más reciente
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.