Tutoriales y Manuales
Entradas Mensuales
-
▼
2026
(Total:
5323
)
-
▼
junio
(Total:
898
)
-
EE. UU. ofrece hasta 10M$ por información que ayud...
-
Nuevo ataque de Claude Code permite control total ...
-
Base de datos de vulnerabilidades de GitHub alcanz...
-
Explotan vulnerabilidad crítica de Oracle E-Busine...
-
Vulnerabilidades de Synology MailPlus Server permi...
-
Microsoft advierte que las descripciones manipulad...
-
Gemini supera a ChatGPT con imágenes gratis para t...
-
Claude Science acelera el descubrimiento científico
-
IA de Google crea imágenes en 4 segundos
-
Kodi 22 Piers llega a beta
-
Meta pierde juicio por impacto de redes en menores
-
Vulnerabilidad crítica en Gemini CLI permite ejecu...
-
Vulnerabilidades de WolfSSL exponen miles de millo...
-
Vulnerabilidad RCE de Microsoft 365 explotada con ...
-
Publicado PoC de fallo en NTLM que permite acceso ...
-
Vulnerabilidades críticas de Dell Wyse permiten ej...
-
Roban sesiones de WhatsApp Web para estafas a dire...
-
Publicado PoC de vulnerabilidad RCE en Splunk Secu...
-
Vulnerabilidad crítica en Kemp LoadMaster permite ...
-
Extensión maliciosa de Perplexity para Chrome inte...
-
Kali Linux 2026.2: GNOME 50 y Plasma 6.6
-
Bing Search de ‘ManageEngine OpManager’ distribuye...
-
Vulnerabilidad de Oracle E-Business Suite CVE-2026...
-
ISPs exigen cuentas a Tebas por bloqueos IPTV
-
Microsoft crea un filtro de seguridad para evitar ...
-
Desarrolladores de Mozilla logran instalar malware...
-
Elon time: el retraso de Musk hacia Marte
-
Mod hace que el Steam Controller vuelva solo a su ...
-
Akrites: nuevo frente contra ataques de IA al códi...
-
Gemini permite buscar una app que haga algo especí...
-
Organic Maps: La alternativa a Google Maps que res...
-
Microsoft elimina 119 extensiones de Edge que ocul...
-
Chrome se integra mejor con Wallet para autocomple...
-
Cae masivamente la piratería de fútbol online
-
EE. UU. incauta cientos de dominios de streaming i...
-
OpenAI lanza GPT 5.6 y promete mayor seguridad
-
Turla, vinculado a Rusia, usa infraestructura comp...
-
Los drivers AMD Adrenalin en Windows 10 siguen pre...
-
La UE encarece compras en AliExpress, Shein y Temu
-
ClawHub Skills expone agentes de IA a puertas tras...
-
Dron sigue a F1 a 300 km/h
-
The New York Times demanda a Microsoft y OpenAI po...
-
Mageia 10: distro Linux sucesora de Mandriva
-
Demandan a Samsung, SK Hynix y Micron por los prec...
-
WhatsApp implementará nombres de usuario para prot...
-
Netflix endurece el control de cuentas compartidas
-
Senador acusa a Tim Cook de priorizar beneficios s...
-
IA china Zhipu igualaría a Claude Mythos en detecc...
-
CachyOS lanza Hyprland Noctalia y Shelly para AUR
-
Nissan advierte que un hackeo a Oracle PeopleSoft ...
-
Hacienda de España usará IA israelí para potenciar...
-
Agentes míticos generados por LLM permiten herrami...
-
Usan RemotePC y PowerShell para desplegar el ranso...
-
EEUU condiciona el lanzamiento de GPT-5.6 Sol
-
PowerPoint busca presentaciones perfectas
-
CNMC podría encarecer el despliegue de fibra de op...
-
OpenAI lanzó GPT-5.6 Sol con acceso limitado y pro...
-
Crea un Windows portátil con Windows To Go
-
Paquetes de Go y npm comprometidos utilizan tareas...
-
RedAmon: IA que encadena reconocimiento, explotaci...
-
Consiguen hacer funcionar Windows 11 en un PC de l...
-
Casi cien drones caen en un show aéreo en Australia
-
El nuevo malware SharkLoader despliega Cobalt Stri...
-
Windows 11: nueva recuperación de pago
-
El FBI advierte que rusos buscan las claves de rec...
-
Nuevo ataque de secuestro de buckets redirige dato...
-
Ucrania denuncia que el servicio de inteligencia r...
-
Xbox Series S iguala precio de PS5
-
IP Crawl, la colección de webcams abiertas que no ...
-
Chrome cifrará tus pestañas abiertas
-
Una guía para elegir el mejor DNS público; práctic...
-
Trump bloquea el acceso a GPT-5.6
-
Amazon: IA de Mythos afecta a Fable 5 en AWS
-
OpenAI presenta GPT-5.6 Sol con acceso restringido...
-
Se prevé otro gran aumento de precio de la memoria...
-
Eustella: el chatbot europeo frente a ChatGPT
-
Las placas Z990 tendrán 3 conectores de 8 pines pa...
-
75 juegos PC: pocos requisitos y buenos gráficos
-
Nobel de Medicina arremete contra Elon Musk y su p...
-
La IA aumenta la desigualdad laboral
-
Medios demandan a Microsoft y OpenAI por IA
-
Ford falla con IA y recontrata ingenieros
-
Fallo en Amazon Q permitía ejecutar código y robar...
-
Stremio 5 ya disponible para Linux
-
STIM Machine, así es el PC que imita la forma de l...
-
Nuevo exploit de Linux permite acceso root al sistema
-
Vulnerabilidad crítica en python.org permitía fals...
-
Hackeo en Leroy Merlin: miles de clientes expuestos
-
Activa la VPN de Firefox
-
LastPass sufre nueva filtración de datos
-
FortiBleed: el ataque a firewalls FortiGate que ro...
-
Mythos detecta Squidbleed, una fuga de memoria que...
-
Anthropic lanza Claude Tag: el compañero de IA lle...
-
Habilidad fraudulenta de agentes de IA supera esca...
-
GitHub actualiza actions/checkout para bloquear pa...
-
Casi la mitad de las apps de LG y Samsung venden t...
-
CISA advierte de vulnerabilidad explotada en Ubiqu...
-
Usan Velociraptor, Cloudflare, Zoho y VS Code para...
-
Nueva navaja suiza para hackers en GitHub
-
Operadora japonesa expone 14,2 millones de credenc...
-
SteamOS llegará a todos los PC
-
Las RTX 50 de análisis se empiezan a quemar: Club3...
-
El Departamento de Justicia incauta cuenta de Huio...
-
Claude Fable 5 escribió código del kernel de Windo...
-
Wikipedia expulsa permanentemente a su cofundador ...
-
Kit de phishing AWS AiTM roba credenciales y MFA e...
-
Shai-Hulud roba credenciales de desarrolladores
-
Caducó certificado de Secure Boot de Windows: mile...
-
Algoritmo suizo que quitará el carné por no respet...
-
Backdoor Mistic se autodestruye y se vincula a un ...
-
Polonia desmantela banda de SIM-swapping responsab...
-
CISA advierte sobre vulnerabilidad de Cisco Unifie...
-
Los navegadores más raros probados
-
Iberia estrena su acceso gratuito a Internet vía S...
-
El CEO de Epic Games dice que las herramientas de ...
-
Google detalla STOCKSTAY, la nueva puerta trasera ...
-
10 webs de eBooks gratis y legales
-
Fallo de seguridad en Apache Tomcat Tribes
-
Firma china de ciberseguridad asegura haber creado...
-
Nuevo exploit de COW en Linux permite acceso root ...
-
Qualcomm Dragonfly C1000: así es la CPU con más de...
-
OpenAI retrasaría ChatGPT 5.6 por pedido de Trump
-
Windows 10 tendrá soporte hasta 2027
-
Extensión maliciosa de Edge ejecuta código en sist...
-
Marketplace OpenClaw expone agentes de IA a malwar...
-
Vulnerabilidades en IA de Red-Team permiten robo d...
-
Usan Cisco y Google para propagar malware SharkLoader
-
Campaña de LokiBot roba credenciales con JScript, ...
-
-
▼
junio
(Total:
898
)
-
►
2025
(Total:
2103
)
- ► septiembre (Total: 148 )
-
►
2024
(Total:
1110
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
Entradas populares
-
Diez sitios web permiten conseguir eBooks gratuitos de forma legal como complemento ideal para los lectores de libros electrónicos.
-
Selección de 75 juegos para PC con pocos requisitos y buenos gráficos, ideales para disfrutar en equipos antiguos sin necesidad de actuali...
-
Leroy Merlin España ha sufrido un hackeo en su web que ha dejado expuestos los datos personales de más de 50.000 clientes , incluyendo DNI...
Hackers pro-Corea del Norte infectan desarrolladores vía GitHub
Alineados con Corea del Norte están atacando nuevamente a la comunidad de desarrolladores mediante la campaña UNK_DeadDrop. El método consiste en ocultar código malicioso dentro de repositorios de GitHub que parecen legítimos, utilizando ofertas de trabajo falsas y solicitudes de revisión de código para engañar a los programadores y lograr que ejecuten malware en sus propios equipos.
Alineados con Corea del Norte están atacando una vez más a la comunidad de desarrolladores, esta vez ocultando código malicioso dentro de repositorios de GitHub aparentemente legítimos.
La campaña, rastreada bajo el nombre UNK_DeadDrop, utiliza ofertas de trabajo falsas y solicitudes de revisión de código para atraer a los desarrolladores a clonar repositorios infectados y ejecutar malware en sus propias máquinas sin saberlo.
El actor de amenazas envió más de 250 correos electrónicos de phishing a personas de casi 100 organizaciones entre abril y mayo de 2026.
Las empresas de finanzas, criptomonedas, educación y tecnología estuvieron entre los objetivos principales, y la mayoría de las organizaciones afectadas se encuentran en los Estados Unidos.
Los atacantes utilizaron nombres de empresas falsas convincentes y dominios de remitentes profesionales para que sus acercamientos parecieran legítimos.
Analistas de Proofpoint dijeron en un informe compartido con Cyber Security News (CSN) que la actividad es probablemente llevada a cabo por un actor de amenazas alineado con Corea del Norte y está siendo rastreada como un grupo distinto.
Los investigadores notaron fuertes coincidencias con un grupo conocido anteriormente llamado Contagious Interview, aunque no se encontró un solapamiento directo de infraestructura en la telemetría de Proofpoint.
.webp)
El malware desplegado a través de esta campaña es multiplataforma, capaz de ejecutarse en macOS, Linux y Windows. Aprovecha un framework de Go de código abierto llamado Overlord para mantener conexiones persistentes con un servidor de comando y control.
La cadena de infección permite el acceso remoto, el robo de credenciales, el vaciado de billeteras de criptomonedas y la exfiltración de datos del navegador.
Lo que hace que esta campaña sea especialmente peligrosa es cómo se mezcla naturalmente con el flujo de trabajo diario de un desarrollador.
Un desarrollador que reciba lo que parece ser un correo electrónico de asignación técnica legítimo probablemente clonaría un repositorio y lo abriría en su editor de código sin pensarlo dos veces, que es precisamente donde comienza el ataque.
Cómo se están utilizando los repositorios de GitHub como armas
El ataque comienza con un correo electrónico de phishing que apunta a un repositorio de GitHub o GitLab que imita un proyecto de programación real.
Los correos electrónicos parecen mensajes de reclutamiento laboral o solicitudes de revisión de código de empresas como Pulsynk, Trixauvex u Ondo Finance, todas las cuales son identidades suplantadas o entidades completamente fabricadas.
Cuando un desarrollador clona el repositorio y lo abre en Visual Studio Code o Cursor, un archivo oculto llamado tasks.json dentro de una carpeta oculta .vscode ejecuta automáticamente scripts maliciosos.
.webp)
En macOS y Linux, el script instala una extensión maliciosa de VS Code (VSIX) disfrazada de un servicio de Google, y luego lanza la puerta trasera Overlord. En Windows, la carga útil se ejecuta enteramente dentro del propio proceso del editor, sin dejar ningún binario en el disco, lo que hace que sea más difícil de detectar.
El uso de la automatización de tareas de VS Code es una táctica inteligente ya que el comportamiento parece completamente normal dentro de un entorno de desarrollo. Cursor, en particular, ejecuta la tarea oculta sin solicitar confirmación al usuario, haciendo que el ataque sea totalmente silencioso en esa plataforma.
Robo de credenciales en todas las plataformas
Una vez que el malware establece un punto de apoyo, se desplaza hacia el robo de todo lo que tenga valor. En macOS, un binario secundario embebido llamado darwin-password-prompt presenta un diálogo de sistema falso pidiendo al usuario la contraseña de su dispositivo.
Después de que la contraseña es recolectada y validada, el malware modifica el acceso al llavero del navegador y extrae credenciales de Chrome, Brave, Edge, Opera y varios otros navegadores.
.webp)
En Linux, el malware utiliza una herramienta de diálogo de sistema nativa llamada Zenity para crear un aviso falso similar y apunta a las credenciales de GNOME Keyring utilizando scripts de Python.
En Windows, sigue un camino más técnico que incluye evadir el Cifrado Vinculado a la Aplicación (App-Bound Encryption) en navegadores Chromium y extraer credenciales usando DPAPI. La variante de Windows apunta a 35 extensiones de billeteras de criptomonedas, 18 aplicaciones de billeteras independientes y cookies del navegador.
Todos los datos recolectados, incluyendo el contenido de las billeteras, claves de Almacenamiento Seguro, credenciales de inicio de sesión y cookies del navegador, se empaquetan en un archivo ZIP y se suben al servidor controlado por el atacante en 23.137.105[.]75:5173.
.webp)
Los desarrolladores que manejen cuentas de criptomonedas de alto valor o que trabajen en el espacio de DeFi y blockchain enfrentan el mayor riesgo.
Se recomienda a los equipos de seguridad revisar cualquier repositorio orientado a desarrolladores en busca de carpetas .vscode ocultas y archivos tasks.json inesperados antes de abrirlos en cualquier IDE.
Las organizaciones también deberían restringir la configuración de ejecución automática de tareas de VS Code y monitorear las conexiones salientes en busca de tráfico inusual hacia endpoints de WebSocket desconocidos.
Indicadores de Compromiso (IoCs):-
| Tipo | Indicador | Descripción |
|---|---|---|
| Dirección IP | 23.137.105[.]75 | IP servidor C&C (puerto 5173) |
| Dirección IP | 170.205.29[.]83 | IP remitente (Abril 2026) |
| Dirección IP | 170.205.30[.]227 | IP remitente (Abril 2026) |
| Dominio | ondofinance[.]tech | Dominio remitente (Abril 2026) |
| Dominio | empowerpharmacy[.]space | Dominio remitente (Abril 2026) |
| Dominio | nxlog[.]tech | Dominio remitente (Abril 2026) |
| Dominio | pulsynk[.]org | Dominio remitente (Mayo 2026) |
| Dominio | trixauvex[.]org | Dominio remitente (Mayo 2026) |
| Dominio | trixauvexnet[.]ink | Dominio remitente (Mayo 2026) |
| Dominio | contacttrixauvex[.]ink | Dominio remitente (Mayo 2026) |
| Dominio | mailtrixauvex[.]ink | Dominio remitente (Mayo 2026) |
| Dominio | mailpulsynk[.]xyz | Dominio remitente (Mayo 2026) |
| Dominio | onoplanoai[.]ink | Dominio remitente (Mayo 2026) |
| Dominio | predicttocareer[.]space | Dominio remitente (Mayo 2026) |
| Dominio | recruitvex[.]us | Dominio remitente (Mayo 2026) |
| Dominio | mailpredicttogether[.]ink | Dominio remitente (Mayo 2026) |
| Dominio | nowurisch[.]fit | Dominio remitente (Mayo 2026) |
| Dominio | hyperdevpipline[.]org | Dominio remitente (Mayo 2026) |
| Dominio | valorecuiting[.]online | Dominio remitente (Abril 2026) |
| Dominio | migadyn[.]info | Dominio remitente (Abril 2026) |
| Dominio | nemesistrade[.]work | Infraestructura relacionada (Mayo 2026) |
| Dominio | ceronet[.]work | Infraestructura relacionada (Mayo 2026) |
| Dominio | deep-ai-guard[.]store | Infraestructura relacionada (Mayo 2026) |
| Dominio | ceronetwork[.]org | Infraestructura relacionada (Mayo 2026) |
| Dominio | culyrax[.]us | Infraestructura relacionada (Mayo 2026) |
| Dominio | nemesis[.]work | Infraestructura relacionada (Mayo 2026) |
| URL | hxxps://github[.]com/Pulsynk/pulsynk | Repositorio GitHub controlado por atacante |
| URL | hxxps://github[.]com/Trixauvex-org/trixauvex | Repositorio GitHub controlado por atacante |
| URL | hxxps://github[.]com/PedrinPY/rekt-db | Repositorio GitHub controlado por atacante |
| URL | hxxps://github[.]com/wayout4u/rekt-db | Repositorio GitHub controlado por atacante |
| URL | hxxps://github[.]com/Stomp47/rekt-db | Repositorio GitHub controlado por atacante |
| URL | hxxps://github[.]com/sr-werney/forge-4626-invariants | Repositorio GitHub controlado por atacante |
| URL | hxxps://github[.]com/ziobiri/forge-4626-invariants | Repositorio GitHub controlado por atacante |
| URL | hxxps://github[.]com/mireles343/forge-4626-invariants | Repositorio GitHub controlado por atacante |
| URL | hxxps://github[.]com/skyjum/x402-kit | Repositorio GitHub controlado por atacante |
| URL | hxxps://github[.]com/rkama411/x402-kit | Repositorio GitHub controlado por atacante |
| URL | hxxps://gitlab[.]com/pulsynk-org/rekt-db.git | Repositorio GitLab controlado por atacante |
| URL | hxxps://gitlab[.]com/trixauvex-org/x402-kit.git | Repositorio GitLab controlado por atacante |
| URL | hxxps://gitlab[.]com/predict-together/forge-4626-invariants.git | Repositorio GitLab controlado por atacante |
| SHA256 | 35813f4401d3ad77b618275473a556eb47bfa6f4b7439dd8943b19f81aa7252e | settings.json |
| SHA256 | c935808147f0236c81483d7bbeda4b9d602f3595d5d4057f8115d39e222d1c4b | tasks.json |
| SHA256 | 4c0d9b802c075be79e9edb52d88f8dd72e6904f5c58267213745818470945c78 | run-update-hidden-launch.vbs |
| SHA256 | 62761f38ed194c59abe15c49f09f0ebc431ac852c965180c9327ed84d3a454fb | run-update.cmd |
| SHA256 | d3ebce2f05fe91a8260e87fd11a6ea17c156703d081b3f91d9bbe5fd6aeedc10 | gus-node-bootstrap.js |
| SHA256 | 91b9381d19b2e6a2db5cc0307167979b502731cb3fb50da684479e9ed35261aa | windows-agent-node.js.enc |
| SHA256 | 6cf9f7b2aa456a0b438600588df869b38d8007e28f01fa96022f9d8059f120b0 | windows-js-pipeline.js.enc |
| SHA256 | 2812e0847d472cb8870c94f463331dbe53b84135132b9bf5f6d84c2382be628f | detect_malware.py.enc |
| SHA256 | 52886aab179f26421678ff23af1b0fabf0a17ffbb534369cdbbac8008cbed8e7 | google-update-support.vsix |
| SHA256 | d5e9288693aa745dc89368deac677e7ea1ec81e663283af30838cdae189b7a7e | extension.js |
| SHA256 | 734699773e53d995f20d485eb61261033d9d00b4332b39ca26071bcd60cd352f | run-update.sh |
| SHA256 | e1bf1b29e6fa3525d7f32f429290a88d6ea2890e61c06574b8ff6372aa5d0667 | google-update-support-agent.zip |
| SHA256 | a2b9a769df84d9d3a4694bb0252a2c6a5e5f5d1a85a04565362737092bbb3a86 | google-update-support-linux-amd64 |
| SHA256 | bb10adac5b0124efedfe71102c1d5638135ec9e1cde8c8cb3353c5ed91bb9f81 | google-update-support-darwin-amd64 |
| SHA256 | 339907b44f161f57ff30819f422c552382ff437b3ae437463b4222cfe86bd943 | google-update-support-darwin-arm64 |
| SHA256 | 808e7154b7af2bc7a4b28d577297c55f77221c355191cbe00f9f1810b6d4a619 | darwin-password-prompt |
| gusb@ondofinance[.]tech | Email controlado por atacante (Abril 2026) | |
| dalbir@empowerpharmacy[.]space | Email controlado por atacante (Abril 2026) | |
| alex@contacttrixauvex[.]ink | Email controlado por atacante (Mayo 2026) | |
| alex@pulsynk[.]org | Email controlado por atacante (Mayo 2026) | |
| alex@trixauvexnet[.]ink | Email controlado por atacante (Mayo 2026) | |
| alexsnow@hr.onoplanoai[.]ink | Email controlado por atacante (Mayo 2026) | |
| alexstone@hr.trixauvex[.]org | Email controlado por atacante (Mayo 2026) | |
| carissae@hr.mailpulsynk[.]xyz | Email controlado por atacante (Mayo 2026) | |
| emmaparker@hr.recruitvex[.]us | Email controlado por atacante (Mayo 2026) | |
| faithtedesco@hr.mailtrixauvex[.]ink | Email controlado por atacante (Mayo 2026) | |
| frankbloch@hr.trixauvex[.]org | Email controlado por atacante (Mayo 2026) | |
| sophiareed@hr.contacttrixauvex[.]ink | Email controlado por atacante (Mayo 2026) |
Nota: Las direcciones IP y los dominios han sido neutralizados intencionadamente (por ejemplo, [.]) para evitar la resolución accidental o la creación de hipervínculos. Reactívalos solo dentro de plataformas de inteligencia de amenazas controladas como MISP, VirusTotal o tu SIEM.
Fuentes:
https://cybersecuritynews.com/north-korea-aligned-hackers-abuse-github-repositories/


Entrada más reciente
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.