Microsoft ha lanzado parches de seguridad para 84 vulnerabilidades en sus productos, como parte de su actualización mensual de marzo. Dos de estas vulnerabilidades ya eran conocidas públicamente y se consideran 'día cero', lo que significa que los atacantes podrían estar aprovechándolas. Ocho de las vulnerabilidades son consideradas 'críticas' y 76 'importantes'. ¿Qué tipo de fallos se han corregido? La mayoría de las vulnerabilidades corregidas (46) permiten la 'escalada de privilegios'. Esto significa que un atacante que ya tiene acceso limitado a un sistema podría obtener control total sobre él. También se han...

Un grupo de ciberdelincuentes, conocido como UNC6426, aprovechó vulnerabilidades en la cadena de suministro del paquete 'nx npm' para comprometer por completo el entorno en la nube de una empresa en tan solo 72 horas. ¿Cómo lo hicieron? Robaron las claves de un desarrollador y las usaron para obtener acceso no autorizado a la nube y robar datos. Este incidente subraya la importancia de proteger las cadenas de suministro de software y los accesos a la nube. Cómo funciona el ataque El ataque se desencadenó por una vulnerabilidad en el flujo de trabajo 'pull_request_target' (un tipo de ataque llamado 'Pwn Request') dentro del...

Investigadores de ciberseguridad han descubierto dos campañas maliciosas dirigidas a robar información sensible de desarrolladores de software. En un incidente, se identificaron cinco paquetes (o "crates") del lenguaje de programación Rust que sustraían archivos .env con credenciales. En otro, un bot con inteligencia artificial (IA) explotó fallos en sistemas de integración continua (CI/CD) para acceder a información confidencial. Paquetes de Rust disfrazados de utilidades de tiempo Los cinco paquetes de Rust maliciosos se hacían pasar por herramientas relacionadas con el manejo del tiempo. Su objetivo era robar el...