Esta semana el malware no entra haciendo ruido: entra como si fuera parte del equipo.

Desde pipelines contaminados hasta dashboards tomados y espionaje silencioso, este Hacknews es para los que ya pasaron el tutorial.

📰 Lo último de la semana

El spyware que no solo te espía: se esconde, persiste y opera como parte de tu empresa

Hackearon el WhatsApp de tu abuela? No es tan grave, ahora los atacantes también tienen spyware sofisticado para los más entrenados, como tú. La CISA alertó sobre campañas activas que están entrando a redes corporativas, robando documentos, capturando comunicaciones y moviéndose sin dejar señales visibles. No es malware ruidoso, es acceso silencioso y persistente.

Los atacantes aprovechan correos dirigidos, vulnerabilidades sin parchear y credenciales filtradas. Y lo peor, muchas organizaciones descubren la intrusión cuando el atacante ya lleva semanas dentro. Así que aplica MFA en todo, monitorea comportamiento inusual en endpoints y red, revisa logs históricos y asegúrate de tener un plan real de respuesta a incidentes.

Crees que instalas una actualización normal, pero en realidad integras un atacante a tu pipeline

Así funciona Shai-Hulud 2.0, una campaña de ataque a la cadena de suministro descubierta por Wiz. Los atacantes comprometen librerías o dependencias legítimas usadas por miles de empresas, logrando que el malware llegue a producción como si fuera código confiable.

El ataque se activa durante el build o en la ejecución, robando claves, accesos y credenciales almacenadas en pipelines CI/CD. No necesitas abrir nada, el riesgo entra “firmado” por un proveedor que creías seguro. Como empresa, usa repositorios internos o verificados, revisa integridad de dependencias, analiza código antes de desplegar y monitorea pipelines en busca de actividad inesperada.

Crítica en tu tablero de administración: Grafana parchea un fallo CVSS 10.0 que permite control completo

Abres tu dashboard de monitoreo y sin saberlo, un atacante también tiene acceso total, esto le sucedió a miles de equipos que usan Grafana para visualizar métricas, logs y sistemas críticos. Pero una vulnerabilidad CVSS 10.0 permitió a atacantes tomar control total mediante su endpoint SCIM, incluso sin credenciales válidas.

En un escenario real, esto significa que alguien podría manipular dashboards, ocultar alertas, crear usuarios, borrar historial o moverse hacia otros sistemas conectados. Basta con que tu instancia estuviera expuesta o desactualizada. Así que actualiza Grafana ya, revisa reglas de acceso, cierra endpoints SCIM si no los usas y monitorea cambios administrativos durante las próximas semanas.