Boletín Semanal de Ciberseguridad, 6-12 septiembre

12 de septiembre de 2025

Parcheados nuevos fallos en Chrome 140

Google ha lanzado Chrome 140 (versiones 140.0.7339.80/81 para Windows y Mac, y 140.0.7339.80 para Linux), corrigiendo seis vulnerabilidades de seguridad, incluyendo la falla CVE-2025-9864 (CVSSv3 de 8.8 según CISA). Este fallo de tipo use-after-free en el motor JavaScript V8 permite ejecución remota de código, con riesgo de robo de datos o compromiso del sistema.

También se solucionaron otras vulnerabilidades de severidad variada: CVE-2025-9865 (CVSSv3 de 5.4 según CISA, implementación inapropiada en la barra de herramientas), CVE-2025-9866 (CVSSv3 de 8.8 según CISA, problemas en el sistema de extensiones) y CVE-2025-9867 (CVSSv3 de 5.4 según CISA, fallo en el componente de descargas). Cabe señalar que no se han publicado PoCs ni exploits conocidos.

Google recomienda actualizar Chrome inmediatamente para mitigar riesgos de ejecución remota y otras amenazas.

Más info

Ataque a NPM: comprometen paquetes con 2600 millones de descargas semanales para robar criptomonedas

Un ataque a la cadena de suministro comprometió paquetes de NPM con más de 2600 millones de descargas semanales tras el robo de credenciales de un mantenedor mediante phishing. El desarrollador afectado, Josh Junon (qix), confirmó que cayó en un correo falso que simulaba ser de npmjs.com, lo que permitió a los atacantes tomar control de su cuenta y publicar versiones maliciosas.

Estas versiones contenían código inyectado en los archivos index.js capaz de interceptar tráfico web y manipular APIs, redirigiendo transacciones de criptomonedas hacia monederos controlados por los atacantes. El malware se diseñó para actuar en navegadores, afectando Ethereum, Bitcoin, Solana, Tron, Litecoin y Bitcoin Cash.

Entre los paquetes afectados se encuentran debug, chalk, strip-ansi y ansi-styles, todos con descargas masivas semanales. Este incidente se suma a una serie de ataques recientes contra librerías JavaScript populares.

Más info

Campaña GhostAction en GitHub: robo masivo de 3.325 credenciales en 817 repositorios

GitGuardian ha descubierto GhostAction, una amplia campaña de ataque a la cadena de suministro que comprometió 817 repositorios en GitHub pertenecientes a 327 usuarios. Los atacantes inyectaron workflows maliciosos capaces de exfiltrar secretos a través de peticiones HTTP hacia un servidor controlado por ellos, logrando robar 3325 credenciales, entre ellas tokens de PyPI, npm, DockerHub, GitHub y claves de servicios en la nube.

El ataque comenzó con el proyecto FastUUID, donde se introdujo un flujo fraudulento que sustrajo el token de PyPI, aunque no se detectaron publicaciones maliciosas en ese paquete. La investigación reveló un patrón repetido en múltiples repositorios públicos y privados, donde los atacantes identificaban secretos en workflows legítimos y los reenviaban al dominio bold-dhawan.45-139-104-115.plesk.page, activo hasta el mismo día de la detección. GitGuardian notificó a los afectados y a las plataformas implicadas (GitHub, PyPI y npm).

Más info

SAP corrige tres fallos críticos en NetWeaver y otras soluciones empresariales

SAP ha publicado su boletín de seguridad de septiembre corrigiendo 21 vulnerabilidades en sus productos, tres de ellas de severidad crítica. La más grave, CVE-2025-42944 (CVSSv3 10.0 según proveedor), es un fallo de deserialización insegura en SAP NetWeaver ServerCore 7.50 que permite ejecución remota de comandos sin autenticación mediante el envío de objetos Java maliciosos.

El segundo fallo crítico, CVE-2025-42922 (CVSSv3 9.9 según SAP), afecta a NetWeaver AS Java y permite a un atacante autenticado subir archivos arbitrarios, comprometiendo el sistema. El tercero, CVE-2025-42958 (CVSSV3 9.1 según fabricante), es una ausencia de validación de autenticación que habilita a usuarios privilegiados no autorizados a acceder, modificar o borrar datos sensibles.

SAP recomienda actualizar a las versiones corregidas y aplicar mitigaciones de forma inmediata, ya que sus soluciones son ampliamente utilizadas en entornos críticos y representan un objetivo prioritario para los atacantes.

Más info

ChillyHell: backdoor modular para macOS logra evadir controles de Apple desde 2021

Jamf Threat Labs publicó un análisis en profundidad de ChillyHell, un backdoor modular para macOS activo desde 2021 y descubierto en VirusTotal. Este malware destaca por haber estado firmado por desarrollador y aprobado en el proceso de notarización de Apple, lo que le permitió pasar desapercibido durante años.

Asociado inicialmente al grupo UNC4487 en un reporte privado de Mandiant, ChillyHell emplea varias técnicas avanzadas, como perfilado del sistema, persistencia mediante LaunchAgents, LaunchDaemons o inyección en perfiles de shell, timestomping y un ciclo principal de comunicación con C2 mediante HTTP o DNS.

Entre sus módulos, incluye funciones de reverse shell, actualización automática, carga de binarios y fuerza bruta de credenciales, este último vinculado a ataques Kerberos. Además, abre un navegador con Google como señuelo para reducir sospechas. Tras estas revelaciones, Apple revocó los certificados de desarrollador empleados por los atacantes.

Más info