Cloud Híbrida
Ciberseguridad & NaaS
AI & Data
IoT y Conectividad
Business Applications
Intelligent Workplace
Consultoría y Servicios Profesionales
Pequeña y Mediana Empresa
Sanidad y Social
Industria
Retail
Turismo y Ocio
Transporte y Logística
Energía y Utilities
Boletín Semanal de Ciberseguridad, 13-19 septiembre
Shai-Hulud: campaña de malware compromete más de 180 paquetes en npm
Investigadores de seguridad han detectado un ataque de cadena de suministro que ha comprometido al menos 187 paquetes en el repositorio npm, incluido el popular @ctrl/tinycolor, con más de dos millones de descargas semanales.
La campaña, bautizada Shai-Hulud, se caracteriza por su capacidad de propagación automática: el malware modifica y republica paquetes del mismo mantenedor, extendiendo la infección a gran escala. El código malicioso incorpora un script que utiliza TruffleHog, una herramienta legítima de búsqueda de secretos, para robar credenciales de desarrolladores y entornos CI/CD, crear flujos de trabajo no autorizados en GitHub y exfiltrar la información a un servidor remoto.
Entre los afectados se encuentran paquetes bajo el namespace oficial de CrowdStrike, aunque la compañía asegura que su plataforma Falcon no se ha visto comprometida.
FBI alerta sobre robos de datos en Salesforce por UNC6040 y UNC6395
El FBI emitió una alerta FLASH advirtiendo que dos clústeres, UNC6040 y UNC6395, están comprometiendo entornos Salesforce para robar datos y extorsionar a víctimas. UNC6040 empleó campañas de ingeniería social y vishing para engañar a empleados y convencerlos de instalar aplicaciones OAuth maliciosas, permitiendo la exfiltración masiva de tablas como Accounts y Contacts.
Los datos extraídos fueron explotados por grupos de extorsión como ShinyHunters. UNC6395, por su parte, abusó de tokens OAuth y refresh tokens robados de Salesloft/Drift para acceder a instancias de clientes entre el 8 y 18 de agosto, centrando la búsqueda en casos de soporte que contenían secretos y credenciales. La campaña vinculada a Salesloft se originó tras el compromiso de repositorios en GitHub, desde donde se sustrajeron tokens Drift.
Entre las víctimas figuran grandes empresas del sector tecnológico y de consumo, incluyendo Cloudflare, Google, Cisco, Adidas, Palo Alto Networks, y muchas más. Salesloft y Salesforce revocaron tokens y exigieron reautenticación a clientes afectados.
HybridPetya: ransomware UEFI que elude Secure Boot
Investigadores de ESET han identificado una nueva muestra de ransomware llamada HybridPetya capaz de instalar un bootkit malicioso en la partición EFI y eludir la protección Secure Boot. El malware, hallado en VirusTotal, combina elementos visuales y la cadena de ataque de Petya/NotPetya con nuevas funcionalidades: reemplaza el cargador de arranque por un “reloader.efi” vulnerable y deposita varios ficheros en \EFI\Microsoft\Boot.
Al reiniciar, provoca una BSOD falsa y, durante el arranque, el bootkit cifra clústeres del MFT usando Salsa20 mientras muestra un falso mensaje de CHKDSK, impidiendo el arranque de Windows. Tras completar la encriptación se muestra una nota de rescate que exige 1.000 dólares en Bitcoin y ofrece una clave de 32 caracteres para restaurar el cargador original y descifrar los datos.
HybridPetya explota la vulnerabilidad CVE-2024-7344 (CVSSv3 8.2) para saltarse Secure Boot; Microsoft corrigió este fallo en el Patch Tuesday de enero de 2025.
Nuevo ataque FileFix utiliza esteganografía para desplegar el malware StealC
Investigadores de Acronis han detectado la primera campaña activa de FileFix, una técnica derivada de ClickFix, que va más allá de la PoC y emplea esteganografía para ocultar código malicioso en imágenes JPG.
El ataque comienza con un sitio de phishing multilingüe que simula ser de seguridad de Facebook, incitando al usuario a pegar comandos en la barra de direcciones del explorador de archivos, lo que desencadena una cadena de infección en múltiples etapas. Esta incluye scripts PowerShell ofuscados que extraen payloads cifrados desde imágenes, culminando en la ejecución del infostealer StealC, capaz de comprometer credenciales de navegadores, apps de mensajería, criptomonedas y servicios en la nube. La infraestructura global, los múltiples idiomas y las variantes observadas en dos semanas sugieren una campaña en rápida evolución con víctimas en países como EE. UU., Alemania, China y Perú.
Se recomienda reforzar la detección de scripts ofuscados, monitorear el uso de esteganografía y educar a los usuarios sobre ataques que explotan funciones comunes.
Nuevo ataque Phoenix elude las defensas Rowhammer en la memoria DDR5
Investigadores de ETH Zurich y Google han desarrollado Phoenix, una técnica avanzada de ataque Rowhammer capaz de vulnerar memorias DDR5. Phoenix logra sincronizar patrones de acceso extremadamente largos con miles de comandos refresh internos, superando las defensas TRR (Target Row Refresh) mediante una sincronización autocorrectiva.
En pruebas, Phoenix provocó alteraciones de bits en los 15 dispositivos DDR5 evaluados, permitiendo la escalada de privilegios hasta obtener acceso root en sistemas con configuraciones por defecto y vulnerar claves RSA-2048 en máquinas virtuales.
El ataque está registrado como CVE-2025-6202 y afecta a módulos fabricados entre enero de 2021 y diciembre de 2024, afectando potencialmente a sistemas con memorias DDR5.
◾ Este boletín es uno de los entregables de nuestro servicio Operational and Strategic Intelligence. Si deseas conocer el resto de los contenidos de inteligencia operativa y estratégica incluidos en el servicio contacta con nosotros →
