1. Principales Vulnerabilidades y Filtraciones de la semana

2. Secuestran paquetes NPM con 2,6 mil millones de descargas semanales en un ataque a la cadena de suministro

3. Análisis técnico de kkRAT

4. Estadísticas semanales

💥Alerta CVE-2025-53187 (CVSS 9.8): Vulnerabilidad crítica de RCE en ABB ASPEC (Noticia)

Los dispositivos ASPECT (ABB) no están diseñados para conectarse a Internet. En junio de 2023 se publicó un aviso sobre el producto en el que se informaba a los clientes de este hecho. Un atacante que lograra explotar estas vulnerabilidades podría obtener acceso no autorizado y comprometer la confidencialidad, integridad y disponibilidad del sistema y de los archivos de registro.

💥El parche del martes de septiembre de 2025 de Microsoft corrige 81 fallos y dos vulnerabilidades ZeroDay (Noticia)

Incluye actualizaciones de seguridad para 81 fallos, entre los que se encuentran dos vulnerabilidades de ZeroDay reveladas públicamente. Este Patch Tuesday también corrige nueve vulnerabilidades críticas, cinco de las cuales son vulnerabilidades de ejecución remota de código, una es de divulgación de información y dos son de elevación de privilegios.

💥El ransomware Akira ha vuelto y ataca las VPN de SonicWall a través de una falla de un año de antigüedad (CVE-2024-40766, CVSS 9.3) (Noticia)

SonicWall reveló que la actividad SSL VPN dirigida a sus cortafuegos implicaba una falla de seguridad de un año de antigüedad (CVE-2024-40766, puntuación CVSS: 9,3) en la que las contraseñas de los usuarios locales se transferían durante la migración y no se restablecían.

💥CVE-2025-42944 (CVSS 10. 0): Vulnerabilidad de deserialización insegura en SAP (Noticia)

SAP ha solucionado 21 nuevas vulnerabilidades que afectaban a sus productos, entre ellas tres problemas críticos que afectaban a la solución de software NetWeaver.

Secuestran paquetes NPM con 2,6 mil millones de descargas semanales en un ataque a la cadena de suministro

Se considera el mayor ataque a la cadena de suministro de la historia, los atacantes inyectaron malware en paquetes NPM con más de 2,6 mil millones de descargas semanales tras comprometer la cuenta de un mantenedor en un ataque de phishing.

Según informa Nodejs, en julio, Socket advirtió sobre una campaña de phishing dirigida a los editores de paquetes NPM. Lamentablemente, un prolífico autor de paquetes (como DuckDB, que explica cómo les afectó el ataque) fue víctima del engaño, lo que provocó que algunos paquetes populares se vieran comprometidos.

• Los desarrolladores notaron errores de compilación extraños, como que la búsqueda no estaba definida y, al inspeccionar el código fuente, encontraron una ofuscación importante que ocultaba funciones cifradas.

• El dominio de phishing se registró tan solo tres días antes del ataque.

• Una vez que obtuvieron acceso, actuaron con rapidez y las versiones maliciosas se lanzaron en cuestión de horas.

• 18 paquetes core de NPM fueron modificados, incluyendo Chalk, Debug, Strip-Ansi, Color-Convert, Error-ex y Ansi-Styles (ver la lista completa más abajo).

• Estos paquetes se encuentran en el interior de la mayoría de las aplicaciones web, por lo que su impacto es peligroso.

• El payload inyectado (sample) es un programa para robar criptomonedas mediante el intercambio pasivo de direcciones e intercepta las transacciones en vivo antes de firmarlas.

• El malware utiliza el algoritmo Levenshtein para reemplazar la dirección del monedero por una visualmente similar.

• Por ahora solo ha habido movimientos pequeños (menos de USD 1.000) en las billeteras.

• El malware utiliza direcciones de billeteras criptográficas en varias cadenas, incluidas ETH, BTC legacy, BTC segwit, TRON, LTC, BCH y SOL.

Según Aikido Security, que analizó el ataque a la cadena de suministro, los actores de amenazas actualizaron los paquetes tras tomar el control, inyectando código malicioso que actúa como un interceptor basado en navegador en los archivos index.js, capaz de secuestrar el tráfico de red y las API de las aplicaciones.

El código malicioso solo afecta a quienes acceden a las aplicaciones comprometidas a través de la web, monitoreando direcciones de criptomonedas y transacciones que luego se redirigen a direcciones de billetera controladas por el atacante. Esto provoca que los atacantes secuestren la transacción en lugar de enviarla a la dirección deseada.

El malware funciona inyectándose en el navegador web y monitoreando direcciones o transferencias de billeteras de Ethereum, Bitcoin, Solana, Tron, Litecoin y Bitcoin Cash. En las respuestas de la red con transacciones de criptomonedas, reemplaza los destinos con direcciones controladas por el atacante y secuestra las transacciones antes de que se firmen.

Fuente Blog Segu-Info

Análisis técnico de kkRAT

Desde principios de mayo de 2025, los investigadores de ThreatLabz han detectado una campaña de malware que tiene como objetivo principalmente a usuarios de habla china. La campaña distribuye tres diferentes RATs (“Remote Access Trojans”): ValleyRAT, FatalRAT, y uno nuevo denominado kkRAT. Este último llama la atención porque comparte rasgos de código con otros RATs conocidos —como Ghost RAT— y con Big Bad Wolf, otro malware asociado a actores vinculados a China.

El proceso de infección comienza con páginas falsas de instaladores alojadas en GitHub Pages, que imitan software legítimo. Estas páginas engañan al usuario para que descargue un archivo ZIP con un ejecutable malicioso. Antes de proceder completamente, el malware realiza comprobaciones para detectar entornos virtualizados o sandbox: mide estabilidad temporal, revisa espacio en disco, núcleos de CPU, etc. Si detecta algo sospechoso, altera partes de su entorno (como rutas de procesos) o termina su ejecución. Además hace uso de ofuscación (por ejemplo, XOR sobre cadenas de texto), cifrado para archivos de la siguiente etapa, y código shellcode cargado directamente en memoria.

kkRAT se diferencia por su protocolo de comunicación: primero comprime datos (usando zlib) y luego los cifra con un algoritmo XOR; el esquema recuerda al de Ghost RAT, pero con esta capa extra de cifrado. También tiene plugins que permiten varias funciones como supervisión remota de pantalla, ejecución remota de comandos, gestión de ventanas/procesos, o proxy/SOCKS5 para medio de comunicación de red. Un plugin notable es el que detecta o instala herramientas RMM (Remote Monitoring & Management) como Sunlogin o GotoHTTP, y también puede manipular el portapapeles para reemplazar direcciones de criptomonedas por las del atacante

Para evadir antivirus (AV) y soluciones EDR, kkRAT emplea varias tácticas: primero, verifica si tiene privilegios de administrador; luego deshabilita adaptadores de red para interrumpir comunicaciones con los servidores de seguridad; identifica procesos de AV/EDR específicos, y usa un controlador vulnerable (RTCore64.sys) para desactivar callbacks que monitorean operaciones del sistema. Para asegurar persistencia, modifica claves de registro, crea tareas programadas o scripts que se ejecutan al inicio, etc. Zscaler informa que detecta este malware en sus plataformas mediante sandboxing, firmas, y una serie de indicadores de compromiso (IoCs) como hashes de archivos maliciosos y URLs asociadas.

Análisis de Zscaler

⚠️ 228 ciberataques en 38 países ⚠️

➡️​El actor de amenazas más activo la semana pasada fue NoName057(16), responsable de 47 ciberataque

➡️​USA es el país más afectado con 54 ciberataques.

➡️​El sector gubernamental, militar y de defensa es el más afectado, con un 24% de los incidentes y 78 ciberataques.

➡️​Ciberataques críticos estimados en 21 (9% del total).

➡️​Los datos comprometidos ascienden aproximadamente a 30.6 TB.

Datos de los amigos de Hackmanac

Ver historial de Publicaciones