tpx Security ⠠⠵

El gusano autorreplicante "Miasma" ha comprometido 57 paquetes de npm en un rápido ataque a la cadena de suministro. Este malware roba credenciales críticas (como claves de AWS, GCP, OpenAI y criptomonedas) y utiliza los accesos de las víctimas para republicarse e infectar a otros desarrolladores. En menos de dos horas, publicó más de 286 versiones maliciosas afectando proyectos de alto perfil. Para evadir detección, el atacante falsificó las fechas de los commits 13 años en el pasado y usó el alias "claude".

Una falla en el asistente de voz de Google Gemini permite ataques de inyección de prompts indirecta (IPI) a través de notificaciones de WhatsApp, SMS o Slack. Al procesar estas alertas, la IA ejecuta comandos maliciosos en segundo plano evadiendo las defensas de seguridad. Esto permite a los atacantes controlar dispositivos inteligentes, iniciar transmisiones de video encubiertas o alterar datos de Google Workspace sin el conocimiento de la víctima. Google ya implementó parches para mitigar esta amenaza.

Investigadores descubrieron "HTTP/2 Bomb", una grave vulnerabilidad DoS que afecta a servidores como NGINX, Apache, IIS, Envoy y Pingora. Al combinar una "bomba de compresión" HPACK con tácticas de bloqueo persistente tipo Slowloris, un solo atacante con una conexión doméstica puede agotar 32 GB de memoria de un servidor vulnerable en solo 20 segundos. Mientras NGINX y Apache ya lanzaron actualizaciones, para los servidores sin parche se recomienda deshabilitar temporalmente HTTP/2.

El actor de amenazas "nilojeda" afirma haber puesto a la venta en foros clandestinos una supuesta base de datos con más de 15 millones de registros de usuarios de Grindr. De confirmarse, esta filtración expondría información personal y métricas de actividad extremadamente sensibles, incluyendo ubicación exacta (GPS), orientación sexual, estatus de VIH, y correos electrónicos. Dado el carácter altamente íntimo de los datos, los afectados enfrentarían un riesgo crítico de campañas de extorsión, doxxing y phishing dirigido. La autenticidad de esta brecha aún se encuentra en fase de verificación.

Se ha detectado la explotación activa en la naturaleza de la vulnerabilidad crítica CVE-2026-41089, la cual afecta al servicio Netlogon de Windows. Esta falla de tipo "zero-click" permite a atacantes remotos no autenticados ejecutar código arbitrario (RCE) con privilegios de SYSTEM en servidores configurados como controladores de dominio. Para lograr el compromiso total del sistema, el atacante únicamente necesita acceso de red al servicio vulnerable para enviar solicitudes modificadas, sin requerir ninguna interacción por parte del usuario. Se recomienda parchear los entornos de Windows Server de manera inmediata.

Un actor de amenazas afirma poseer una base de datos con más de 32 millones de registros de usuarios de Bumble, ofrecida en formato JSON. Según la publicación, el conjunto incluiría correos electrónicos, números telefónicos, biografías, fechas de nacimiento, ocupación, educación, ubicación, intereses y cuentas de redes sociales vinculadas. De confirmarse su autenticidad, la información podría facilitar campañas de phishing, toma de cuentas, ingeniería social y fraude dirigido a gran escala, combinando identidad, comportamiento y relaciones personales en una sola filtración.

Un grupo llamado EsqueleSquad, afirma haber obtenido material confidencial directamente del CNE (Consejo Nacional Electoral), el Consejo Nacional Electoral de Colombia, y fuentes relacionadas. El actor sincronizó la publicación para coincidir con las elecciones de Colombia. El actor afirma poseer documentos internos confidenciales y registros de financiamiento de campañas.

Se han revelado vulnerabilidades críticas (CVE-2026-48778 y CVE-2026-48800) en el popular editor Notepad++ que permiten la ejecución arbitraria de código (RCE). El fallo radica en la falta de validación de comandos dentro de los archivos de configuración (config.xml y shortcuts.xml). Los atacantes pueden explotar esto manipulando la sincronización en la nube, usando accesos directos maliciosos o mediante ingeniería social para ejecutar malware silenciosamente en el equipo de la víctima. Se recomienda actualizar urgentemente a la versión v8.9.6.1.

El paquete malicioso de npm mouse5212-super-formatter ("Malware-Slop") fue diseñado para exfiltrar archivos del directorio de trabajo de la IA Claude y subirlos al GitHub del atacante. Curiosamente, el ciberdelincuente filtró su propio token en el código, evidenciando una pobre seguridad operacional (OPSEC). Este grave error sugiere que el malware fue generado con IA, demostrando cómo estas herramientas facilitan ataques a novatos en la cadena de suministro.

El actor "ShinyHunters" ha puesto a la venta en foros clandestinos una supuesta base de datos de 1.6TB de Discord, presuntamente extraída a través de su plataforma de soporte Zendesk. Esta posible filtración expondría correos, teléfonos, historiales de chat, direcciones IP y, de manera crítica, fotografías de identificaciones y pasaportes de aproximadamente 70,000 usuarios utilizados para verificación de edad. De confirmarse, esta venta representaría un grave riesgo de robo de identidad para los afectados a nivel global.

Ciberdelincuentes están explotando la vulnerabilidad crítica CVE-2026-26980 (CVSS 9.4) en Ghost CMS para robar claves API de administrador. Esta campaña ha comprometido más de 700 sitios web legítimos, inyectando código JavaScript malicioso que muestra falsos CAPTCHAs (ataques ClickFix). El engaño induce visualmente a los usuarios a copiar y ejecutar comandos directamente en sus sistemas Windows, lo que resulta en la instalación silenciosa de troyanos para el control remoto del equipo.

Foros de la Dark Web reportan una supuesta filtración masiva de OnlyFans con 340 millones de registros de creadores y suscriptores. De confirmarse, la exposición de correos, teléfonos, metadatos financieros y redes sociales vinculadas representaría un riesgo crítico de desanonimización. Expertos señalan que el peligro principal no es el robo financiero, sino el potencial para campañas de extorsión y doxxing. La autenticidad de los datos sigue sin verificarse.

La campaña automatizada "Megalodon" inyectó flujos CI/CD maliciosos en más de 5,500 repositorios de GitHub en solo seis horas. Atribuido a "TeamPCP", el ataque abusa de GitHub ActiActions para exfiltrarivamentedenciales en la nube (AWS, GCP), claves SSH y secretos de desarrollo, comprometiendo gravemente la cadena de suministro global.

El grupo de ransomware Titan anunció un posible ataque contra la constructora Grupo Mezta. En su portal de la Dark Web, los atacantes exhiben una supuesta filtración de documentos internos, actas legales y hojas de cálculo con registros financieros y costos de obras. De confirmarse, esta presunta brecha comprometería de forma crítica la información corporativa y contable de la empresa.

GitHub ha confirmado una severa brecha de seguridad en su infraestructura interna. El actor de amenazas "TeamPCP" logró infiltrarse y ha puesto a la venta el código fuente de aproximadamente 4,000 repositorios privados de la organización. Exigiendo un mínimo de $50,000 USD, los atacantes amenazan con hacer pública la información si no encuentran comprador. Este incidente expone datos críticos como tokens API, configuraciones CI/CD e infraestructura interna, representando un riesgo masivo de ataques a la cadena de suministro de software a nivel global.

Se publicó un PoC para "DirtyDecrypt" (CVE-2026-31635), una falla en el kernel de Linux que permite a atacantes locales escalar privilegios a root modificando archivos de solo lectura mediante la evasión de protecciones COW. Esta amenaza crítica, que facilita escapes de contenedores en sistemas vulnerables, ha impulsado a los desarrolladores a debatir la implementación de un "Killswitch" de emergencia en el kernel.

El subdominio caadiccsh[.]uaa[.]mx de la Universidad Autónoma de Aguascalientes (UAA) sufrió un ataque de defacement. Su página principal fue alterada y reemplazada por un mensaje del atacante "./topimiring", vinculado al grupo "Black Illusion Security".

Se publicaron dos nuevos zero-days en Windows: "YellowKey", que permite evadir el cifrado BitLocker con acceso físico usando una USB modificada en el entorno WinRE; y "GreenPlasma", que escala privilegios a nivel SYSTEM explotando el proceso CTFMON. Simultáneamente, expertos advierten sobre ataques de downgrade que vulneran BitLocker abusando de certificados de arranque antiguos.

La vulnerabilidad crítica CVE-2026-41096 (CVSS 9.8) en el servicio Windows DNS permite a atacantes no autenticados ejecutar código de forma remota (RCE) a través de la red sin interacción del usuario. Dada la gravedad de este desbordamiento de búfer, que podría resultar en el compromiso total del sistema, se recomienda aplicar los parches de seguridad de Microsoft de manera urgente.

El grupo de ransomware Lamashtu ha publicado en su portal de filtraciones a la empresa mexicana Sertec, especialista en automatización industrial y telecomunicaciones. Se presume la exfiltración de 65 GB de datos sensibles (aproximadamente 30,000 archivos), que incluirían planos de ingeniería técnica, registros financieros y documentación confidencial de diversos proyectos vinculados tanto al sector público como al privado. Los atacantes han iniciado una cuenta regresiva para la publicación total de los archivos bajo un esquema de extorsión.