Productos FTTH
Tutoriales y Manuales
Entradas Mensuales
-
▼
2026
(Total:
5260
)
-
▼
junio
(Total:
876
)
-
Vulnerabilidad de Oracle E-Business Suite CVE-2026...
-
ISPs exigen cuentas a Tebas por bloqueos IPTV
-
Microsoft crea un filtro de seguridad para evitar ...
-
Desarrolladores de Mozilla logran instalar malware...
-
Elon time: el retraso de Musk hacia Marte
-
Mod hace que el Steam Controller vuelva solo a su ...
-
Akrites: nuevo frente contra ataques de IA al códi...
-
Gemini permite buscar una app que haga algo especí...
-
Organic Maps: La alternativa a Google Maps que res...
-
Microsoft elimina 119 extensiones de Edge que ocul...
-
Chrome se integra mejor con Wallet para autocomple...
-
Cae masivamente la piratería de fútbol online
-
EE. UU. incauta cientos de dominios de streaming i...
-
OpenAI lanza GPT 5.6 y promete mayor seguridad
-
Turla, vinculado a Rusia, usa infraestructura comp...
-
Los drivers AMD Adrenalin en Windows 10 siguen pre...
-
La UE encarece compras en AliExpress, Shein y Temu
-
ClawHub Skills expone agentes de IA a puertas tras...
-
Dron sigue a F1 a 300 km/h
-
The New York Times demanda a Microsoft y OpenAI po...
-
Mageia 10: distro Linux sucesora de Mandriva
-
Demandan a Samsung, SK Hynix y Micron por los prec...
-
WhatsApp implementará nombres de usuario para prot...
-
Netflix endurece el control de cuentas compartidas
-
Senador acusa a Tim Cook de priorizar beneficios s...
-
IA china Zhipu igualaría a Claude Mythos en detecc...
-
CachyOS lanza Hyprland Noctalia y Shelly para AUR
-
Nissan advierte que un hackeo a Oracle PeopleSoft ...
-
Hacienda de España usará IA israelí para potenciar...
-
Agentes míticos generados por LLM permiten herrami...
-
Usan RemotePC y PowerShell para desplegar el ranso...
-
EEUU condiciona el lanzamiento de GPT-5.6 Sol
-
PowerPoint busca presentaciones perfectas
-
CNMC podría encarecer el despliegue de fibra de op...
-
OpenAI lanzó GPT-5.6 Sol con acceso limitado y pro...
-
Crea un Windows portátil con Windows To Go
-
Paquetes de Go y npm comprometidos utilizan tareas...
-
RedAmon: IA que encadena reconocimiento, explotaci...
-
Consiguen hacer funcionar Windows 11 en un PC de l...
-
Casi cien drones caen en un show aéreo en Australia
-
El nuevo malware SharkLoader despliega Cobalt Stri...
-
Windows 11: nueva recuperación de pago
-
El FBI advierte que rusos buscan las claves de rec...
-
Nuevo ataque de secuestro de buckets redirige dato...
-
Ucrania denuncia que el servicio de inteligencia r...
-
Xbox Series S iguala precio de PS5
-
IP Crawl, la colección de webcams abiertas que no ...
-
Chrome cifrará tus pestañas abiertas
-
Una guía para elegir el mejor DNS público; práctic...
-
Trump bloquea el acceso a GPT-5.6
-
Amazon: IA de Mythos afecta a Fable 5 en AWS
-
OpenAI presenta GPT-5.6 Sol con acceso restringido...
-
Se prevé otro gran aumento de precio de la memoria...
-
Eustella: el chatbot europeo frente a ChatGPT
-
Las placas Z990 tendrán 3 conectores de 8 pines pa...
-
75 juegos PC: pocos requisitos y buenos gráficos
-
Nobel de Medicina arremete contra Elon Musk y su p...
-
La IA aumenta la desigualdad laboral
-
Medios demandan a Microsoft y OpenAI por IA
-
Ford falla con IA y recontrata ingenieros
-
Fallo en Amazon Q permitía ejecutar código y robar...
-
Stremio 5 ya disponible para Linux
-
STIM Machine, así es el PC que imita la forma de l...
-
Nuevo exploit de Linux permite acceso root al sistema
-
Vulnerabilidad crítica en python.org permitía fals...
-
Hackeo en Leroy Merlin: miles de clientes expuestos
-
Activa la VPN de Firefox
-
LastPass sufre nueva filtración de datos
-
FortiBleed: el ataque a firewalls FortiGate que ro...
-
Mythos detecta Squidbleed, una fuga de memoria que...
-
Anthropic lanza Claude Tag: el compañero de IA lle...
-
Habilidad fraudulenta de agentes de IA supera esca...
-
GitHub actualiza actions/checkout para bloquear pa...
-
Casi la mitad de las apps de LG y Samsung venden t...
-
CISA advierte de vulnerabilidad explotada en Ubiqu...
-
Usan Velociraptor, Cloudflare, Zoho y VS Code para...
-
Nueva navaja suiza para hackers en GitHub
-
Operadora japonesa expone 14,2 millones de credenc...
-
SteamOS llegará a todos los PC
-
Las RTX 50 de análisis se empiezan a quemar: Club3...
-
El Departamento de Justicia incauta cuenta de Huio...
-
Claude Fable 5 escribió código del kernel de Windo...
-
Wikipedia expulsa permanentemente a su cofundador ...
-
Kit de phishing AWS AiTM roba credenciales y MFA e...
-
Shai-Hulud roba credenciales de desarrolladores
-
Caducó certificado de Secure Boot de Windows: mile...
-
Algoritmo suizo que quitará el carné por no respet...
-
Backdoor Mistic se autodestruye y se vincula a un ...
-
Polonia desmantela banda de SIM-swapping responsab...
-
CISA advierte sobre vulnerabilidad de Cisco Unifie...
-
Los navegadores más raros probados
-
Iberia estrena su acceso gratuito a Internet vía S...
-
El CEO de Epic Games dice que las herramientas de ...
-
Google detalla STOCKSTAY, la nueva puerta trasera ...
-
10 webs de eBooks gratis y legales
-
Fallo de seguridad en Apache Tomcat Tribes
-
Firma china de ciberseguridad asegura haber creado...
-
Nuevo exploit de COW en Linux permite acceso root ...
-
Qualcomm Dragonfly C1000: así es la CPU con más de...
-
OpenAI retrasaría ChatGPT 5.6 por pedido de Trump
-
Windows 10 tendrá soporte hasta 2027
-
Extensión maliciosa de Edge ejecuta código en sist...
-
Marketplace OpenClaw expone agentes de IA a malwar...
-
Vulnerabilidades en IA de Red-Team permiten robo d...
-
Usan Cisco y Google para propagar malware SharkLoader
-
Campaña de LokiBot roba credenciales con JScript, ...
-
Euro digital: avance final
-
Fallo de integración en ManageEngine AD360 expone ...
-
IBM anuncia un chip de tecnología sub-nanómetro: l...
-
El rechazo a la IA
-
La policía de Londres implementa reconocimiento fa...
-
Publican exploit PoC para vulnerabilidad de ejecuc...
-
Condenan a 18 meses de prisión a DraftKings conoci...
-
Samsung busca talentos en España
-
China supera a EE. UU. en supercomputación y Linux...
-
Lanzado Gemini 3.5 Flash con funciones de uso de o...
-
Aplicaciones de Laravel Livewire comprometidas par...
-
Rusia usó herramienta de Cellebrite para hackear i...
-
TSMC sube precios: por qué te afecta
-
WhatsApp avisará al iniciar chats con números nuevos
-
Micron marca récord y avisa: 16 acuerdos hasta 203...
-
Puerta trasera de Rust en macOS usa shell y Telegr...
-
Anthropic acusa a Alibaba de usar 25.000 cuentas f...
-
Vulnerabilidad de 25 años en cURL finalmente parch...
-
Detectan capacidad de inyección de scripts en bloq...
-
Bluekit: el kit de phishing que usa técnica Browse...
-
Home Assistant OS 18.0: arranca más rápido y ocupa...
-
LineShine, el nuevo superordenador chino Top #1 mu...
-
-
▼
junio
(Total:
876
)
-
►
2025
(Total:
2103
)
- ► septiembre (Total: 148 )
-
►
2024
(Total:
1110
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Síguenos en:
Entradas populares
-
Selección de 75 juegos para PC con pocos requisitos y buenos gráficos, ideales para disfrutar en equipos antiguos sin necesidad de actuali... -
Han logrado ejecutar Windows 11 en un PC antiguo con memoria DDR1, Core 2 Quad y gráfica AGP , superando las restricciones de hardware del ... -
Leroy Merlin España ha sufrido un hackeo en su web que ha dejado expuestos los datos personales de más de 50.000 clientes , incluyendo DNI...
JINX-0164 usa ingeniería social en LinkedIn para desplegar malware en macOS
Un nuevo actor de amenazas, identificado como JINX-0164, está llevando a cabo ataques dirigidos contra organizaciones de criptomonedas. El grupo utiliza perfiles de LinkedIn para engañar a los desarrolladores y lograr que descarguen malware personalizado para macOS. Activos desde mediados de 2025, combinan ingeniería social, robo de credenciales y sabotaje de la cadena de suministro para comprometer todo el proceso de desarrollo de software.
Un nuevo actor de amenazas, rastreado como JINX-0164, ha estado llevando a cabo ataques calculados contra organizaciones de criptomonedas, utilizando perfiles de LinkedIn para atraer a desarrolladores y lograr que descarguen malware personalizado para macOS.
Activo al menos desde mediados de 2025, el grupo ha combinado ingeniería social, robo de credenciales y sabotaje de la cadena de suministro en una operación fluida que pone en riesgo todo el flujo de desarrollo de software.
Los ataques comienzan con un perfil de LinkedIn convincentemente diseñado que contacta a los objetivos bajo la apariencia de una oportunidad de negocio o una oferta de trabajo.
Una vez establecida la confianza, las víctimas reciben una invitación a una reunión vinculada a una página de plataforma de conferencias falsa, diseñada para parecerse a Microsoft Teams o servicios similares.
Al hacer clic en el enlace, se activa la descarga de una herramienta de acceso remoto específica para macOS que comienza a robar datos confidenciales silenciosamente desde el momento en que se ejecuta.
Investigadores de Wiz.io identificaron y nombraron al grupo de amenazas JINX-0164 tras investigar múltiples intrusiones dirigidas a empresas de criptomonedas.
Wiz CIRT y Wiz Research indicaron en un informe compartido con Cyber Security News que este actor tiene motivaciones financieras y ha estado desplegando dos familias de malware distintas, AUDIOFIX y MINIRAT, con un enfoque claro en los dispositivos macOS.
AUDIOFIX es un infostealer basado en Python compilado y una puerta trasera que recolecta credenciales del navegador, extensiones de billeteras de criptomonedas, claves SSH, tokens de API de la nube e incluso datos del portapapeles en tiempo real.
.webp)
Se comunica con su servidor de comando y control a través de HTTPS cifrado, utilizando el cifrado AES-256-CBC, y puede cambiar silenciosamente a intervalos de sondeo aleatorios para evitar la detección.
El malware también apunta a sesiones activas en plataformas de comunicación como Discord, Slack y Telegram, otorgando a los atacantes una visión amplia de la vida digital de la víctima.
El actor de amenazas enmascaró su actividad de red enrutando las conexiones a través de servicios de VPN comerciales, lo que dificulta la atribución.
Para cubrir aún más sus huellas, manipularon los metadatos de los commits de Git para suplantar a desarrolladores legítimos y enviaron código malicioso directamente a repositorios internos, convirtiendo la propia infraestructura de desarrollo de la organización en un mecanismo de entrega para nuevas infecciones.
El actor de amenazas JINX-0164 utiliza ingeniería social en LinkedIn
La cadena de ataque se desarrolló durante un período de dos semanas en un caso documentado, pasando de un mensaje de LinkedIn al compromiso total de la infraestructura.
Una vez que un desarrollador hacía clic en el enlace de la reunión falsa, se descargaba AUDIOFIX a través de un script "bash dropper" alojado en un dominio falso de actualización de controladores.
La carga útil se disfrazaba como un componente de audio del sistema llamado coreaudiod y se guardaba como ChromeUpdater, lanzándose a través de launchctl para establecer persistencia.
Tras ganar acceso, el malware recolectó credenciales del Llavero de macOS, navegadores y archivos de configuración de la nube, incluyendo claves de AWS, GCP y Azure, así como tokens de API de Cloudflare.
Luego, se utilizaron tokens de GitHub para exfiltrar secretos de los flujos de CI/CD utilizando una herramienta de código abierto llamada nord-stream. El atacante insertó código infectado en repositorios compartidos, lo que propagó AUDIOFIX a cada desarrollador que descargara y compilara desde esas ramas.
Ataque a la cadena de suministro a través de un paquete npm troyanizado
El 7 de abril de 2026, JINX-0164 escaló el ataque apuntando a la cadena de suministro de software en general. El grupo modificó silenciosamente la versión 4.9.1 del paquete npm @velora-dex/sdk, un SDK de criptomonedas ampliamente utilizado, añadiendo código que descargaría y ejecutaría un script de shell cada vez que el paquete fuera importado por cualquier proyecto.
Ese script de shell entregaba MINIRAT, una puerta trasera ligera basada en Go que registra las máquinas infectadas en la misma infraestructura de comando y control utilizada por AUDIOFIX.
Aunque MINIRAT no realiza el mismo robo automatizado masivo de datos, proporciona a los operadores acceso remoto persistente y la capacidad de ejecutar comandos y mover archivos.
En este incidente solo se vieron comprometidas las credenciales de npm, ya que el código fuente en GitHub permaneció sin modificaciones.
Se recomienda a las organizaciones implementar una solución de Detección y Respuesta de Endpoints (EDR) y habilitar el registro de auditoría en todas las plataformas en la nube y sistemas de control de versiones por defecto.
Tus equipos de seguridad deben vigilar los commits no verificados en GitHub, el uso inesperado de VPN de proveedores como ExpressVPN, Astrill VPN y Mullvad VPN, y cualquier actividad anómala de flujo de trabajo en los pipelines de CI/CD.
Activar el Modo Vigilante de GitHub puede ayudar a detectar intentos de suplantación de desarrolladores mediante commits no firmados o discordantes. Los equipos también deben monitorizar el uso de nord-stream y marcar cualquier publicación de nuevos paquetes de código que provengan de direcciones IP desconocidas.
Indicadores de Compromiso (IoCs):-
| Tipo | Indicador | Descripción |
|---|---|---|
| SHA-256 | 0a8ab3d16b12d3a453ee5a3208fe04744ad54514ef8ea27bb8fe32679efad270 | MINIRAT ARM64 |
| SHA-256 | 0b028b781950641818800fee2b4bf68e4ef2bcee53fe71a21755275ba10875f5 | MINIRAT x86_64 |
| SHA-256 | a35d2b67fa478a7174e308b43ce30bf69b3bc6f44fa76197fdf95fc2fbc1cf7d | MINIRAT ARM64 (variante) |
| SHA-256 | 65cba741fe30fa4799fb9002ea8de6d96042a59159dd7c3419c766af24c7a8b4 | AUDIOFIX HTTPS/ARM64 |
| SHA-256 | 0b1a36a31b952341a534fe24890f1ed2921ee259773cff46e4f6273b8c4d5e3a | AUDIOFIX HTTPS/x86_64 |
| SHA-256 | e8ee6f5145c9d503c5130bfc6585567f6e19d409158c3c0ca0b259f1875b1a2f | AUDIOFIX Dropbox/ARM64 |
| SHA-256 | 3e3901519c2305fbe9d5483b7234c25c6d2b562512916481d96f26b849c7d4e1 | AUDIOFIX Dropbox/x86_64 |
| SHA-256 | 9c2ce925133a3bf5a924063bbef8df49918d5b7258695c1894cd18c75970157a | Dropper – Falso arreglo de audio (apple.driver-store.com) |
| SHA-256 | 402625ec79e3573a80b6de9b33fc1e503e3c7803603cd958ddd515fb0e4a3c91 | Dropper – Falso arreglo de audio (apple.driver-update.io) |
| SHA-256 | b6cab0b3aa8e56e2427f486c74588d598ae58bb0cbc0eda6939fe171cb4f2d89 | Dropper – Falso arreglo de audio (driver-updater.net) |
| SHA-256 | d4e863f9818bfb2f1dd932df6441dff204e6142c3bdb55b298cb08dc7b6a9f12 | Dropper – Falsa actualización de Chrome (apple.driver-store.com) |
| SHA-256 | c6ef82d2864dfd26f117a1ef5602679153423f2742970a7949cec72722f0a0b3 | Dropper – Cadena de suministro (89.36.224.5) |
| SHA-256 | 2a10ffe0367bb1b26ba2c3bc600892c21074725c0b8c9dc9161e6ceb339f4d5c | Dropper – Cadena de suministro (89.36.224.5, variante) |
| Dominio | datahub[.]ink | Dominio C2 primario (resuelve a 208.115.220.17 / 185.175.59.85) |
| Dominio | cloud-sync[.]online | Dominio C2 de respaldo |
| Dominio | byte-io[.]us | Dominio C2 de respaldo |
| Dominio | apple[.]driver-store[.]com | Dominio de entrega de carga útil |
| Dominio | apple[.]driver-update[.]io | Dominio de entrega de carga útil |
| Dominio | driver-updater[.]net | Dominio de entrega de carga útil |
| Dominio | driver-hub[.]net | Dominio de entrega de carga útil |
| Dominio | drvstore[.]com | Dominio de entrega de carga útil |
| Dominio | bitget-meeting[.]com | Dominio de suplantación de reuniones |
| Dominio | teamicrosoft[.]com | Dominio de suplantación de reuniones (suplantación de Teams) |
| Dominio | teams[.]cam | Dominio de suplantación de reuniones |
| Dominio | live[.]us[.]org | Dominio de suplantación de reuniones |
| Dominio | us03-slack[.]online | Dominio de suplantación de reuniones (suplantación de Slack) |
| Dominio | live[.]ong | Dominio de suplantación de reuniones |
| Dirección IP | 89[.]36[.]224[.]5 | Servidor de entrega de carga útil |
| Dirección IP | 185[.]100[.]85[.]250 | Infraestructura de suplantación de reuniones |
| Dirección IP | 84[.]32[.]83[.]250 | Infraestructura de suplantación de reuniones / entrega de carga útil |
| Dirección IP | 153[.]92[.]126[.]84 | Infraestructura de suplantación de reuniones |
| Dirección IP | 45[.]45[.]217[.]242 | Infraestructura de suplantación de reuniones |
| Dirección IP | 163[.]172[.]53[.]20 | Infraestructura de suplantación de reuniones / entrega de carga útil |
| Dirección IP | 208[.]115[.]220[.]17 | Servidor C2 (datahub.ink) |
| Dirección IP | 185[.]175[.]59[.]85 | Servidor C2 (datahub.ink) |
| Ruta de archivo | ~/Library/LaunchAgents/com.microsoft.teams.coreaudiod.plist | Mecanismo de persistencia (Python RAT) |
| Ruta de archivo | ~/Library/LaunchAgents/io.aircall.workspace.helper.plist | Mecanismo de persistencia (Python RAT) |
| Ruta de archivo | ~/Library/LaunchAgents/com.apple.Terminal.profiler.plist | Mecanismo de persistencia (MINIRAT) |
| Ruta de archivo | ~/.zsh_cache | Contraseña de macOS robada codificada en XOR |
| Ruta de archivo | /helper.log | Log de actividad del malware |
| Ruta de archivo | /tokens.txt | Tokens de Discord exfiltrados |
| Ruta de archivo | /clip | Log de captura del portapapeles |
| Nombre de archivo | ChromeUpdater | Carga útil de AUDIOFIX guardada bajo este nombre |
| Nombre de archivo | coreaudiod | Carga útil disfrazada de controlador de audio del sistema |
| Paquete npm | @velora-dex/sdk v4.9.1 | Paquete npm troyanizado usado en el ataque de cadena de suministro |
| Clave AES | v59l2uwlow9s1ebuscgfg9k9r4voxkbs | Clave AES compartida encontrada en muestras de AUDIOFIX y MINIRAT |
| Committer Git | nord-stream / nord-stream@localhost.com | Indicadores de suplantación de desarrollador en commits maliciosos |
| Nombre de rama | dev_remote_ea5Eu/test/v1 | Rama utilizada por nord-stream durante la exfiltración de secretos |
Nota: Las direcciones IP y los dominios han sido desactivados intencionadamente (ej. [.]) para evitar la resolución accidental o la creación de hipervínculos. Solo actívalos dentro de plataformas de inteligencia de amenazas controladas como MISP, VirusTotal o tu SIEM.
Fuentes:
https://cybersecuritynews.com/jinx-0164-threat-actor-using-linkedin-social-engineering/
Etiquetas:
Entrada más reciente
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.