Threat Advisories

Se ha observado un nuevo y activo ataque a la cadena de suministro npm que abusa de credenciales comprometidas de mantenedores para autopropagar código malicioso a través de paquetes en el ecosistema Node.js. El malware roba material de autenticación (tokens npm, credenciales de nube, secretos CI/CD, claves SSH y datos de cartera) y utiliza cualquier token de publicación descubierto para inyectarse en paquetes adicionales propiedad del mismo mantenedor, creando una propagación lateral similar a la de un gusano.

La Agencia de Ciberseguridad y Seguridad de Infraestructuras de EE.UU. (CISA) ha confirmado la explotación activa de una vulnerabilidad de ejecución remota de código (RCE) de alta gravedad en Apache ActiveMQ Classic, rastreada como CVE-2026-34197. El fallo se ha añadido al Catálogo de Vulnerabilidades Explotadas Conocidas (KEV) de CISA, señalando actividad maliciosa verificada en la naturaleza y elevando la prioridad de remediación para todas las organizaciones que utilizan versiones afectadas de ActiveMQ.

Microsoft Exchange Server sigue siendo unobjetivo degran valorpara los actores de amenazas debido a su profunda integración con los sistemas de identidad de la empresa, la infraestructura de correo electrónico y las cuentas de servicio privilegiadas. Las vulnerabilidades de ejecución remota de código (RCE) en Exchange se han aprovechado históricamente paracampañas de espionajeagranescala, despliegue de ransomware y operaciones de acceso persistente.

Un ataque crítico a la cadena de suministro ha afectado a la biblioteca de JavaScript Axios, ampliamente utilizada, tras el ataque a la cuenta npm de su principal responsable. Los autores de la amenaza utilizaron la cuenta secuestrada para publicar dos versiones maliciosas, axios@1.14.1 y axios@0.30.4, que introducían una dependencia maliciosa (plain-crypto-js@4.2.1). Esta dependencia no formaba parte de la base de código legítima de Axios y existía únicamente para ejecutar un script de postinstalación que desplegaba un troyano de acceso remoto (RAT) multiplataforma.

LiteLLM es una biblioteca Python de código abierto muy popular y un servidor proxy que proporciona una interfaz unificada para llamar a más de 100 APIs de Large Language Model (LLM), como OpenAI, Anthropic, Bedrock y VertexAI, utilizando el formato de entrada/salida estándar de OpenAI. Simplifica la integración multi-LLM, ofreciendo características como fallbacks automáticos, reintentos y seguimiento de costes. Debido a que funciona como una pasarela API, actúa como un agregador de credenciales por diseño, manteniendo de forma segura las claves API para varios proveedores LLM.

CVE202620963 se publicó originalmente en enero de 2026, pero recientemente ha vuelto a ser objeto de atención debido a su explotación activa confirmada.

A principios de esta semana escribimos una entrada en el blog sobre los asuntos cibernéticos en medio de la guerra de Estados Unidos e Israel contra Irán, llamada Operación Furia Épica. En ella observábamos que se produciría una respuesta elevada por parte de los actores de amenazas patrocinados por el Estado, contra las organizaciones occidentales con presencia en Oriente Medio como represalia por estos ataques.

Cisco ha publicado parches de emergencia para dosvulnerabilidadesde máximagravedad(CVSS 10.0) que afectan a Cisco Secure Firewall Management Center (FMC). Estos fallos, identificados comoCVE-2026-20079yCVE-2026-20131, permiten a atacantes remotos no autenticados obtenercontrolanivelde raízsobre los dispositivos FMC, lo que supone un grave riesgo para la infraestructura de cortafuegos de las empresas. Todavía no se ha observado ninguna explotación en la naturaleza, pero la naturaleza crítica y la facilidad de explotación elevan estas vulnerabilidades a la prioridad de reparación inmediata.

Investigadores de ciberseguridad han descubierto una nueva oleada de ataques a la cadena de suministro atribuidos a actores de amenazas alineados con el Estado norcoreano, que implican la publicación de 26 paquetes npm maliciosos que se hacen pasar por herramientas legítimas para desarrolladores. La campaña, rastreada como "StegaBin", utiliza esteganografía basada en Pastebin para ocultar puntos finales de mando y control (C2) y, en última instancia, desplegar ladrones de credenciales y un troyano de acceso remoto (RAT) multiplataforma. La infraestructura que sustenta estas operaciones abarca 31 despliegues de Vercel, lo que pone de relieve una amenaza sofisticada y en evolución para la cadena de suministro mundial de software.

La Agencia de Ciberseguridad y Seguridad de Infraestructuras de EE.UU. (CISA) ha añadido una vulnerabilidad recientemente revelada de VMware Aria Operations, rastreada como CVE-2026-22719a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV) después de confirmar la explotación activa en la naturaleza. Se trata de una vulnerabilidad de inyección de comandos que permite la ejecución remota de código (RCE) sin autenticación en determinadas condiciones. VMware (Broadcom) publicó parches el 24 de febrero de 2026, pero los informes indican que los atacantes están aprovechando ahora el problema contra sistemas no parcheados. Se ha ordenado a los organismos civiles federales que corrijan la vulnerabilidad antes del 24 de marzo de 2026.