La Fundación Wireshark ha lanzado la versión 4.6.6, la cual soluciona una vulnerabilidad de seguridad crítica en el diseccionador del protocolo ROHC (Robust Header Compression). Este fallo permitía que un atacante provocara la caída de la aplicación mediante la inyección de un paquete malformado especialmente diseñado. Además, la actualización corrige más de una docena de errores de estabilidad y compatibilidad para usuarios de Windows.

GitHub ha implementado la publicación escalonada en npm, obligando a los mantenedores a aprobar los paquetes mediante autenticación de dos factores antes de que sean públicos. Esta medida busca combatir los ataques a la cadena de suministro de software, especialmente aquellos originados en flujos de CI/CD. Además, se han introducido nuevas banderas de instalación para controlar estrictamente el origen de los paquetes no registrados.

Un importante ataque a la cadena de suministro de software ha comprometido el popular paquete de Python elementary-data, exponiendo a miles de desarrolladores a un robo masivo de credenciales. Los actores de amenazas lograron subir una versión maliciosa, la 0.23.3, al Índice de Paquetes de Python (PyPI) y envenenaron las imágenes Docker correspondientes en el Registro de Contenedores de GitHub (GHCR). Con más de un millón de descargas mensuales, este paquete, ampliamente utilizado en dbt, representa un grave riesgo para la seguridad.

La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) ha emitido una alerta crítica sobre un grave compromiso en la cadena de suministro de software. El ataque tiene como objetivo Axios, un cliente HTTP extremadamente popular para JavaScript que los desarrolladores de todo el mundo utilizan en entornos Node.js y navegadores. Los ataques a la cadena de suministro se han convertido en una prioridad máxima para los equipos de seguridad, ya que comprometer un solo componente puede afectar a miles de aplicaciones y sistemas. 

Una campaña de ingeniería social altamente coordinada está atacando activamente a los principales desarrolladores de código abierto en el ecosistema de Node.js y npm. Tras el reciente compromiso del popular paquete Axios, que registra más de 100 millones de descargas semanales, varios mantenedores de software de alto impacto han reportado ataques similares.

El paquete oficial de Telnyx en PyPI fue comprometido esta mañana como parte de una campaña de cadena de suministro en escalada, orquestada durante semanas por el grupo de actores de amenazas TeamPCP. Las versiones maliciosas 4.87.1 y 4.87.2 del paquete *telnyx* fueron subidas a PyPI a las 03:51 UTC del 27 de marzo de 2026, con la carga útil ejecutándose silenciosamente al momento de la importación

El 'brushing' es una estafa donde recibes paquetes que no solicitaste con el fin de crear perfiles falsos para reseñas y robar tus datos; revisa siempre los envíos recibidos y no proporciones información personal.