Noticias de seguridad informatica

Los delincuentes están aprovechando las notificaciones del navegador como vector de ataques de phishing para distribuir enlaces maliciosos mediante una nueva plataforma de comando y control (C2) llamada Matrix Push C2. "Este marco nativo del navegador y sin archivos aprovecha las notificaciones automáticas, las alertas falsas y los redireccionamientos de enlaces para apuntar a las víctimas en todos los sistemas operativos", dijo la investigadora de Blackfog, Brenda Robb, en un informe. En estos ataques, se engaña a los posibles objetivos para que permitan notificaciones del navegador mediante ingeniería social en sitios web maliciosos o legítimos pero comprometidos. Una vez que un usuario acepta recibir notificaciones del sitio, los atacantes aprovechan el mecanismo de notificación push web integrado en el navegador web para enviar alertas que parecen haber sido enviadas por el sistema operativo o el propio navegador, aprovechando marcas confiables, logotipos familiares y un lenguaje convincente para mantener la engaño. Estos incluyen alertas sobre, por ejemplo, inicios de sesión sospechosos o actualizaciones del navegador, junto con un útil botón "Verificar" o "Actualizar" que, cuando se hace clic, lleva a la víctima a un sitio falso. Lo que hace que esta técnica sea inteligente es que todo el proceso se lleva a cabo a través del navegador sin necesidad de infectar primero el sistema de la víctima por algún otro medio. En cierto modo, el ataque es como ClickFix en el sentido de que los usuarios son atraídos a seguir ciertas instrucciones para comprometer sus propios sistemas, evitando así de manera efectiva los controles de seguridad tradicionales. Eso no es todo. Dado que el ataque se realiza a través del navegador web, también es una amenaza multiplataforma. Básicamente, esto convierte cualquier aplicación de navegador en cualquier plataforma que se suscriba a notificaciones maliciosas para que se inscriba en el grupo de clientes, brindando a los adversarios un canal de comunicación persistente. Matrix Push C2 se ofrece como un kit de malware como servicio (MaaS) a otros actores de amenazas. Se vende directamente a través de canales de crimeware, generalmente a través de Telegram y foros de cibercrimen, bajo un modelo de suscripción escalonada: alrededor de $150 por un mes, $405 por tres meses, $765 por seis meses y $1.500 por un año completo. "Los pagos se aceptan en criptomonedas y los compradores se comunican directamente con el operador para obtener acceso", dijo el Dr. Darren Williams, fundador y director ejecutivo de BlackFog. "Matrix Push se observó por primera vez a principios de octubre y ha estado activo desde entonces. No hay evidencia de versiones anteriores, marcas anteriores o infraestructura de larga data. Todo indica que se trata de un kit recién lanzado". Se puede acceder a la herramienta como un panel basado en web, lo que permite a los usuarios enviar notificaciones, rastrear a cada víctima en tiempo real, determinar con qué notificaciones interactuaron las víctimas, crear enlaces acortados utilizando un servicio de acortamiento de URL incorporado e incluso registrar extensiones de navegador instaladas, incluidas carteras de criptomonedas. "El núcleo del ataque es la ingeniería social, y Matrix Push C2 viene cargado con plantillas configurables para maximizar la credibilidad de sus mensajes falsos", explicó Robb. "Los atacantes pueden personalizar fácilmente sus notificaciones de phishing y sus páginas de destino para hacerse pasar por empresas y servicios conocidos". Algunas de las plantillas de verificación de notificaciones admitidas están asociadas con marcas conocidas como MetaMask, Netflix, Cloudflare, PayPal y TikTok. La plataforma también incluye una sección de "Análisis e informes" que permite a sus clientes medir la efectividad de sus campañas y perfeccionarlas según sea necesario. Matrix Push C2 nos muestra un cambio en la forma en que los atacantes obtienen acceso inicial e intentan explotar a los usuarios. Una vez que el punto final de un usuario (computadora o dispositivo móvil) está bajo este tipo de influencia, el atacante puede intensificar gradualmente el ataque. "Podrían enviar mensajes de phishing adicionales para robar credenciales, engañar al usuario para que instale un malware más persistente o incluso aprovechar los exploits del navegador para obtener un control más profundo del sistema. En última instancia, el objetivo final suele ser robar datos o monetizar el acceso, por ejemplo, vaciando carteras de criptomonedas o filtrando información personal". Fuente: THN

La segunda ola del ataque a la cadena de suministro de Shai-Hulud se ha extendido al ecosistema Maven tras comprometer más de 830 paquetes en el registro NPM. El equipo de investigación de Socket afirmó haber identificado un paquete de Maven Central llamado org.mvnpm:posthog-node:4.18.1 que integra los mismos dos componentes asociados con Sha1-Hulud: el cargador "setup_bun.js" y la carga útil principal "bun_environment.js". "Esto significa que el proyecto PostHog ha comprometido versiones en los ecosistemas JavaScript/npm y Java/Maven, impulsadas por la misma carga útil Shai Hulud v2", declaró la empresa de ciberseguridad. Maven Central afirmó estar trabajando para implementar protecciones adicionales que eviten que los componentes NPM ya comprometidos se vuelvan a empaquetar. A partir del 25 de noviembre de 2025 a las 22:44 UTC, se eliminaron todas las copias reflejadas. Este desarrollo se produce en un contexto en el que el incidente de la cadena de suministro, que se ha extendido a desarrolladores de todo el mundo, busca robar datos confidenciales como claves API, credenciales en la nube y tokens NPM y GitHub, y facilita una vulneración más profunda de la cadena de suministro de forma similar a un gusano. La última versión también ha evolucionado para ser más sigilosa, agresiva, escalable y destructiva. Además de aprovechar la cadena de infección general de la variante inicial de septiembre, el ataque permite a los actores de amenazas obtener acceso no autorizado a las cuentas de los mantenedores de NPM y publicar versiones troyanizadas de sus paquetes. Cuando los desarrolladores desprevenidos descargan y ejecutan estas bibliotecas, el código malicioso incrustado crea una puerta trasera en sus propios equipos, escanea en busca de secretos y los exfiltra a los repositorios de GitHub utilizando los tokens robados. El ataque logra esto inyectando dos flujos de trabajo fraudulentos: uno registra la máquina víctima como un ejecutor autoalojado y permite la ejecución de comandos arbitrarios al abrir una discusión en GitHub. Un segundo flujo de trabajo está diseñado para recopilar sistemáticamente todos los secretos. Más de 28 .00 repositorios se han visto afectados por el incidente. "Esta versión mejora significativamente el sigilo al utilizar el entorno de ejecución de Bun para ocultar su lógica principal y aumenta su escalabilidad potencial al aumentar el límite de infección de 20 a 100 paquetes", declararon Ronen Slavin y Roni Kuznicki de Cycode. "También utiliza una nueva técnica de evasión, que exfiltra los datos robados a repositorios públicos de GitHub con nombres aleatorios en lugar de a uno único y predefinido". Los ataques ilustran lo fácil que es para los atacantes aprovechar las vías de distribución de software confiables para distribuir versiones maliciosas a gran escala y comprometer a miles de desarrolladores. Además, la naturaleza autorreplicante del malware significa que una sola cuenta infectada es suficiente para amplificar el radio de acción del ataque y convertirlo en un brote generalizado en poco tiempo. Un análisis posterior de Aikido ha revelado que los actores de amenazas explotaron vulnerabilidades, centrándose específicamente en configuraciones incorrectas de CI en los flujos de trabajo pull_request_target y workflow_run, en flujos de trabajo de GitHub Actions existentes para ejecutar el ataque y comprometer proyectos asociados con AsyncAPI, PostHog y Postman. "Una sola configuración incorrecta puede convertir un repositorio en el blanco de un ataque de rápida propagación, lo que permite a un adversario introducir código malicioso a través de canales automatizados de los que usted depende a diario", afirmó el investigador de seguridad Ilyas Makari. . Se considera que esta actividad es la continuación de un conjunto más amplio de ataques dirigidos al ecosistema, que comenzó con la campaña S1ngularity de agosto de 2025, que afectó a varios paquetes Nx en npm. Este malware demuestra cómo una sola vulnerabilidad en una biblioteca popular puede propagarse en cascada a miles de aplicaciones posteriores al troyanizar paquetes legítimos durante la instalación. Los datos recopilados por GitGuardian, OX Security y Wiz muestran que la campaña ha filtrado cientos de tokens de acceso y credenciales de GitHub asociados con Amazon Web Services (AWS), Google Cloud y Microsoft Azure. Se subieron más de 5.000 archivos a GitHub con los secretos extraídos. El análisis de GitGuardian de 4645 repositorios de GitHub identificó 11.858 secretos únicos, de los cuales 2.298 seguían siendo válidos y estaban expuestos públicamente al 24 de noviembre de 2025. Se recomienda a los usuarios rotar todos los tokens y claves, auditar todas las dependencias, eliminar las versiones comprometidas, reinstalar paquetes limpios y reforzar los entornos de desarrollo y CI/CD con acceso con privilegios mínimos, escaneo de secretos y aplicación automatizada de políticas. Fuente: THN

Este repositorio "Recently updated Proof-of-Concepts" del investigador y experto en Bug Bounty Marc K. (aka 0xMarcio) registra todos los exploits y PoC para todos los CVE que se publican diariamente. Además del listado actualizado de CVE y PoC, el repositorio tiene scripts para autmatica la búsqueda y tratamiento de dichos CVE.

NHS England Digital, en un aviso actualizado el 20 de noviembre de 2025, afirmó no haber observado una explotación activa de la vulnerabilidad CVE-2025-11001 (CVSS: 7.0), pero señaló que tiene "conocimiento de una vulnerabilidad pública de explotación de prueba de concepto". La vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en Windows y a través del abuso de enlaces simbólicos y fue corregida en la versión 25, de julio de 2025. "La falla específica se encuentra en el manejo de enlaces simbólicos en archivos ZIP. Los datos manipulados en un archivo ZIP pueden provocar que el proceso acceda a directorios no deseados", declaró la Iniciativa de Día Cero (ZDI) de Trend Micro en una alerta publicada el mes pasado. "Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto de una cuenta de servicio". Cabe destacar que 7-Zip 25.00 también corrige otra falla, CVE-2025-11002 (CVSS: 7.0), que permite la ejecución remota de código aprovechando el manejo inadecuado de enlaces simbólicos dentro de archivos ZIP, lo que resulta en un salto de directorio. Ambas deficiencias se introdujeron en la versión 21.02. Dado que existen exploits de prueba de concepto (PoC), es esencial que los usuarios de 7-Zip actúen rápidamente para aplicar las correcciones necesarias lo antes posible, si no lo han hecho ya, para una protección óptima. "Esta vulnerabilidad solo puede explotarse desde una cuenta de usuario/servicio con privilegios elevados o desde una máquina con el modo de desarrollador habilitado", declaró el investigador de seguridad Dominik (aka pacbypass), quien publicó la prueba de concepto (PoC), en una publicación que detalla la falla. "Esta vulnerabilidad solo puede explotarse en Windows". Fuente: THN

Varios proveedores de seguridad están alertando sobre una segunda ola de ataques dirigidos al registro NPM, similares al ataque Shai-Hulud de septimebre pasado. La nueva campaña de la cadena de suministro, denominada Sha1-Hulud, ha comprometido cientos de paquetes NPM, según informes de Aikido, HelixGuard, Koi Security, Socket, Cyberkendra, y Wiz. Los paquetes troyanizados se subieron a NPM entre el 21 y el 23 de noviembre de 2025. Aikido también publicó la lista de paquetes comprometidos (+26.000 hasta ahora). El código malicioso extrae secretos de desarrollador y CI/CD, credenciales de proveedores de la nube y puede escalar privilegios en entornos Docker. "La campaña introduce una nueva variante que ejecuta código malicioso durante la fase de preinstalación, lo que aumenta significativamente la exposición potencial en entornos de compilación y ejecución", afirmaron los investigadores de Wiz Hila Ramati, Merav Bar, Gal Benmocha y Gili Tikochinski. Entre los paquetes afectados esta vez están los repositorios de las siguiente empresas: Zapier - Multiple SDK and integration packages ENS Domains - Ethereum name service libraries PostHog - Analytics and feature flag packages Postman - API development tools Browserbase - Browser automation infrastructure AsyncAPI - API specification tools Voiceflow - Conversational AI platform packages Al igual que el ataque Shai-Hulud que salió a la luz en septiembre de 2025, la actividad más reciente también publica secretos robados en GitHub, esta vez con la descripción del repositorio: "Sha1-Hulud: The Second Coming". La ola anterior se caracterizó por la vulneración de paquetes legítimos para distribuir código malicioso diseñado para buscar secretos en las máquinas de los desarrolladores mediante el escáner de credenciales de TruffleHog y transmitirlos a un servidor externo controlado por el atacante. Las variantes infectadas también tenían la capacidad de propagarse de forma autorreplicante, republicándose en otros paquetes npm propiedad del mantenedor comprometido. En el último conjunto de ataques, se descubrió que los atacantes añadieron un script de preinstalación ("setup_bun.js") al archivo package.json, configurado para instalar o localizar sigilosamente el entorno de ejecución de Bun y ejecutar un script malicioso incluido ("bun_environment.js"). La carga maliciosa ejecuta la siguiente secuencia de acciones a través de dos flujos de trabajo diferentes: Registra la máquina infectada como un ejecutor autoalojado llamado "SHA1HULUD" y agrega un flujo de trabajo llamado .github/workflows/discussion.yaml que contiene una vulnerabilidad de inyección y se ejecuta específicamente en ejecutores autoalojados, lo que permite al atacante ejecutar comandos arbitrarios en las máquinas infectadas abriendo discusiones en el repositorio de GitHub. Exfiltra secretos definidos en la sección de secretos de GitHub y los sube como un artefacto, tras lo cual se descarga y elimina el flujo de trabajo para ocultar la actividad. "Tras la ejecución, el malware descarga y ejecuta TruffleHog para escanear la máquina local, robando información confidencial como tokens NPM, credenciales de AWS/GCP/Azure y variables de entorno", señaló Helixuard. Wiz afirmó haber detectado más de 26.000 repositorios afectados en unos 350 usuarios únicos, con la adición constante de 1.000 nuevos repositorios cada 30 minutos en las últimas dos horas. "Esta campaña continúa la tendencia de comprometer la cadena de suministro de npm haciendo referencia a la nomenclatura y el manejo de la marca Shai-Hulud, aunque podría involucrar a diferentes actores", declaró Wiz. "La amenaza aprovecha las cuentas de mantenimiento comprometidas para publicar versiones troyanizadas de paquetes npm legítimos que ejecutan código de robo de credenciales y exfiltración durante la instalación". Koi Security calificó la segunda ola como mucho más agresiva, y añadió que el malware intenta destruir todo el directorio personal de la víctima si no logra autenticarse o establecer persistencia. Esto incluye todos los archivos editables que pertenecen al usuario actual en su carpeta personal. Sin embargo, esta funcionalidad similar a un borrado solo se activa cuando se cumplen las siguientes condiciones: No puede autenticarse en GitHub No puede crear un repositorio de GitHub No puede obtener un token de GitHub No puede encontrar un token npm "En otras palabras, si Sha1-Hulud no puede robar credenciales, obtener tokens ni asegurar ningún canal de exfiltración, recurre a una destrucción catastrófica de datos", afirmaron los investigadores de seguridad Yuval Ronen e Idan Dardikman. "Esto marca una escalada significativa con respecto a la primera ola, cambiando las tácticas del actor del robo de datos al sabotaje punitivo". Para mitigar el riesgo que representa la amenaza, se insta a las organizaciones a escanear todos los endpoints para detectar la presencia de paquetes afectados, eliminar las versiones comprometidas con efecto inmediato, rotar todas las credenciales y auditar los repositorios en busca de mecanismos de persistencia revisando .github/workflows/ en busca de archivos sospechosos como shai-hulud-workflow.yml o ramas inesperadas. Actualización: aquí se pueden ver los repositorios infectados (>25.000) y @jackhcable ha publicado un sitio web para comprobar si tienes paquetes afectados. Sube tu archivo package-lock.json o package.json para comprobar si tu proyecto utiliza algún paquete afectado. Fuente: THN