Threat Advisories

Trellix ha anunciado que se ha accedido sin autorización al código fuente interno de partes de su cartera de productos. El material afectado se refiere únicamente a código de desarrollo de productos y no incluye entornos de clientes ni datos de clientes. No hay indicios de modificación maliciosa de los artefactos de software liberados.

CVE 2026 31431, comúnmente conocido como "Copy Fail", es una vulnerabilidad de escalada de privilegios local de alta gravedad que afecta al kernel de Linux. El problema afecta a los kernels distribuidos por todas las principales distribuciones de Linux desde 2017 y permite a un usuario local sin privilegios obtener ejecución a nivel de raíz en el sistema host.

A finales de marzo de 2026, un actor de amenazas que operaba bajo el alias "The_Auditors" afirmó haber vulnerado BlackLine Systems, un proveedor de software de contabilidad y automatización financiera con sede en Estados Unidos. El atacante alega la exfiltración de aproximadamente 354 GB de documentos financieros y operativos confidenciales, que supuestamente suman más de 1,5 millones de registros pertenecientes no solo a BlackLine, sino también a sus clientes empresariales. En el momento de escribir estas líneas, BlackLine no ha confirmado públicamente la filtración, y las afirmaciones siguen sin verificarse. Sin embargo, varias empresas de inteligencia de ciberseguridad han evaluado las acusaciones como creíbles basándose en múltiples indicadores.

Se ha observado un nuevo y activo ataque a la cadena de suministro npm que abusa de credenciales comprometidas de mantenedores para autopropagar código malicioso a través de paquetes en el ecosistema Node.js. El malware roba material de autenticación (tokens npm, credenciales de nube, secretos CI/CD, claves SSH y datos de cartera) y utiliza cualquier token de publicación descubierto para inyectarse en paquetes adicionales propiedad del mismo mantenedor, creando una propagación lateral similar a la de un gusano.

La Agencia de Ciberseguridad y Seguridad de Infraestructuras de EE.UU. (CISA) ha confirmado la explotación activa de una vulnerabilidad de ejecución remota de código (RCE) de alta gravedad en Apache ActiveMQ Classic, rastreada como CVE-2026-34197. El fallo se ha añadido al Catálogo de Vulnerabilidades Explotadas Conocidas (KEV) de CISA, señalando actividad maliciosa verificada en la naturaleza y elevando la prioridad de remediación para todas las organizaciones que utilizan versiones afectadas de ActiveMQ.

Microsoft Exchange Server sigue siendo unobjetivo degran valorpara los actores de amenazas debido a su profunda integración con los sistemas de identidad de la empresa, la infraestructura de correo electrónico y las cuentas de servicio privilegiadas. Las vulnerabilidades de ejecución remota de código (RCE) en Exchange se han aprovechado históricamente paracampañas de espionajeagranescala, despliegue de ransomware y operaciones de acceso persistente.

Google ha publicado actualizaciones de seguridad de emergencia que abordan CVE20265281, un día cero de alta gravedad (puntuación CVSS: N/A), explotado activamente que afecta a su navegador Chrome.

Un ataque crítico a la cadena de suministro ha afectado a la biblioteca de JavaScript Axios, ampliamente utilizada, tras el ataque a la cuenta npm de su principal responsable. Los autores de la amenaza utilizaron la cuenta secuestrada para publicar dos versiones maliciosas, axios@1.14.1 y axios@0.30.4, que introducían una dependencia maliciosa (plain-crypto-js@4.2.1). Esta dependencia no formaba parte de la base de código legítima de Axios y existía únicamente para ejecutar un script de postinstalación que desplegaba un troyano de acceso remoto (RAT) multiplataforma.

LiteLLM es una biblioteca Python de código abierto muy popular y un servidor proxy que proporciona una interfaz unificada para llamar a más de 100 APIs de Large Language Model (LLM), como OpenAI, Anthropic, Bedrock y VertexAI, utilizando el formato de entrada/salida estándar de OpenAI. Simplifica la integración multi-LLM, ofreciendo características como fallbacks automáticos, reintentos y seguimiento de costes. Debido a que funciona como una pasarela API, actúa como un agregador de credenciales por diseño, manteniendo de forma segura las claves API para varios proveedores LLM.

CVE202620963 se publicó originalmente en enero de 2026, pero recientemente ha vuelto a ser objeto de atención debido a su explotación activa confirmada.