Ingeniería Social Ataca Cuenta Axios
Resumen:
Este artículo detalla cómo los desarrolladores de Axios, un popular cliente HTTP, fueron objetivo de una campaña de ingeniería social, probablemente orquestada por actores de amenazas norcoreanos. Los atacantes utilizaron una falsa solución para un error de Microsoft Teams como señuelo, logrando engañar a un desarrollador y comprometiendo su cuenta de npm. Este incidente es un excelente caso de estudio sobre ataques a la cadena de suministro y la efectividad de la ingeniería social, vital para la formación de empleados sobre cómo reconocer y prevenir tácticas similares.
Aumento Masivo Phishing Código Dispositivo
Resumen:
El artículo detalla un alarmante aumento (37 veces) en los ataques de phishing de código de dispositivo. Estos ataques explotan el flujo de Autorización de Dispositivos OAuth 2.0 para secuestrar cuentas, aprovechando la proliferación de nuevos kits en línea que facilitan su ejecución. Comprender esta técnica es vital para identificar y mitigar esta sofisticada forma de phishing y formar a los empleados sobre cómo protegerse de ella.
Malicious npm Packages Exploit Databases
Resumen:
Investigadores de ciberseguridad han detectado 36 paquetes maliciosos en el registro npm. Disfrazados como plugins de Strapi CMS, estos paquetes están diseñados para explotar bases de datos Redis y PostgreSQL, desplegando shells inversas, robando credenciales e instalando implantes persistentes. La noticia destaca la importancia de revisar las dependencias, especialmente aquellas sin descripción o repositorio, para evitar ataques a la cadena de suministro de software.
Fortinet Critical Vulnerability Actively Exploited
Resumen:
Fortinet ha lanzado parches de emergencia para una vulnerabilidad crítica (CVE-2026-35616, CVSS 9.1) en FortiClient EMS. Esta falla, descrita como un bypass de acceso API pre-autenticación que lleva a la escalada de privilegios, ha sido activamente explotada en la naturaleza. Es fundamental aplicar estas actualizaciones para proteger los sistemas de la empresa contra ataques dirigidos que aprovechan esta debilidad.