Llegó el Hacknews y seguimos en el Hacktubre: tu librería de npm roba credenciales, Figma ejecuta código malicioso, y WhatsApp te convierte en zombie digital.

¿Y el phishing? Cada vez se ve más real, más creíble y más efectivo.

Haz el reto de la semana y demuestra si tú (o tu equipo) pueden detectarlo.

📰 Lo último de la semana

Tu código podría estar robando tus credenciales (y ni lo notas)

Instalas una librería de npm y sin saberlo, también instalas un ladrón de credenciales. Investigadores descubrieron 175 paquetes maliciosos con más de 26 000 descargas, diseñados para robar tokens de GitHub, SSH y claves API.

Si tu empresa desarrolla en JavaScript o Node, usa repositorios verificados, analiza dependencias con herramientas de seguridad (Snyk, npm audit) y bloquea descargas desde fuentes no oficiales.

Figma MCP: falla crítica permite ejecución remota

Un atacante puede enviarte un enlace de archivo de Figma y ejecutar código en tu sistema sin que abras nada más. La vulnerabilidad en Figma MCP (Multi-Connector Plugin) afecta integraciones con VS Code y otras apps conectadas.

Si tu equipo diseña o colabora en Figma, desactiva integraciones no esenciales, aplica el parche de seguridad y evita usar plugins externos sin verificar.

Un mensaje de WhatsApp puede convertir tu celular en un atacante

Recibes un mensaje en WhatsApp, lo reenvías, y sin saberlo ayudas a propagar SORVEPOTEL, un malware que se distribuye automáticamente a tus contactos robando datos y archivos.

En entornos corporativos, prohíbe el uso de apps personales en dispositivos de trabajo y aplica políticas MDM que limiten accesos a información sensible. Y a nivel personal, no abras archivos ni enlaces aunque vengan de contactos conocidos, revisa que la app esté actualizada y activa la verificación en dos pasos.