El «gusano» persistente en el ecosistema de JavaScript, el seguimiento de clientes de Gucci y otros eventos de ciberseguridad.

# Un «gusano» persistente en el ecosistema de JavaScript, vigilancia de clientes de Gucci y otros eventos de ciberseguridad

Hemos recopilado las noticias más importantes del mundo de la ciberseguridad de la semana.

• Los desarrolladores de blockchain se están convirtiendo cada vez más en el objetivo de los hackers.
• La policía canadiense confiscó más de $40 millones en criptomonedas.
• Un «gusano» autorreplicante ataca el ecosistema de JavaScript.
• Un ataque a la industria automotriz puede reflejarse en la economía del Reino Unido.

Los desarrolladores de blockchain se están convirtiendo cada vez más en el objetivo de los hackers

Los desarrolladores de software están atrayendo cada vez más a los criptocacos. Según investigadores de ciberseguridad de Koi Security, el grupo de hackers WhiteCobra atacó a usuarios de entornos de desarrollo de código como VSCode, Cursor y Windsurf. Colocaron 24 extensiones maliciosas en la plataforma Visual Studio Marketplace y en el registro Open VSX.

Una de las víctimas de los «devastadores» fue el desarrollador clave de Ethereum, Zak Cole.

He estado en crypto durante más de 10 años y nunca he sido hackeado. Récord de OpSec perfecto.

Ayer, mi billetera fue drenada por una maliciosa extensión de @cursor_ai por primera vez.

Si puede sucederme a mí, también puede sucederte a ti. Aquí tienes un desglose completo. 🧵👇

— zak.eth (@0xzak) 12 de agosto de 2025

Según sus palabras, los ciberdelincuentes robaron criptomonedas utilizando un complemento para el editor de código de IA Cursor. Cole explicó que la extensión tenía todas las características de un producto inofensivo: un logotipo profesionalmente diseñado, una descripción detallada y 54,000 descargas en OpenVSX, el registro oficial de Cursor.

En Koi Security están seguros de que WhiteCobra pertenece al mismo grupo que en julio robó activos digitales por $500,000 a un programador de blockchain ruso.

«La interoperabilidad y la falta de verificación adecuada al publicar en estas plataformas las convierte en ideales para los delincuentes que buscan llevar a cabo campañas de amplio alcance», dice el informe de Koi Security.

La vaciado de la billetera comienza con la ejecución del archivo principal extension.js, que es casi idéntico al estándar plantilla Hello World, que se proporciona con cada plantilla de extensión de VSCode. A continuación, el malware descomprime el software stealer dependiendo del tipo de sistema operativo.

En el punto de mira de los delincuentes de WhiteCobra están los titulares de activos digitales por un valor de entre $10,000 y $500,000. Los analistas creen que el grupo es capaz de lanzar una nueva campaña en menos de tres horas.

Ejemplo de una extensión legítima y falsa para desarrolladores. Fuente: Koi Security. Por ahora, es difícil detener a los delincuentes: aunque los plugins maliciosos son eliminados de OpenVSX, nuevos aparecen de inmediato en su lugar.

Los investigadores recomiendan intentar utilizar solo proyectos conocidos con buena reputación y tratar con precaución los nuevos lanzamientos que han acumulado una gran cantidad de descargas y comentarios positivos en un corto período de tiempo.

La policía canadiense confiscó más de $40 millones en criptomonedas

La Policía Federal de Canadá llevó a cabo la mayor confiscación de criptomonedas en la historia del país. Esto fue señalado por el detective on-chain ZachXBT.

Las autoridades incautaron activos digitales por un valor de más de 56 millones de dólares canadienses (~$40,5 millones) en la plataforma TradeOgre. El cierre de la plataforma de intercambio de criptomonedas se convirtió en el primer caso de este tipo en la historia del país.

La investigación comenzó en junio de 2024 a instancias de Europol. Reveló que la plataforma violaba las leyes canadienses y no se registró en el Centro de Análisis de Operaciones Financieras y Reportes como una empresa que presta servicios de intercambio de dinero.

Los investigadores tienen motivos para creer que la mayor parte de los fondos utilizados en las operaciones de TradeOgre provino de fuentes delictivas. La plataforma atrajo a delincuentes debido a la falta de identificación obligatoria del usuario.

Según el comunicado de la policía, los datos de las transacciones obtenidos de TradeOgre serán analizados para presentar cargos. La investigación continúa.

El ecosistema de JavaScript es atacado por un «gusano» autorreplicante

Después del ataque a la plataforma NPM para insertar malware en los paquetes de JavaScript, los delincuentes pasaron a una estrategia de distribución de un "gusano" completo. El incidente está ganando impulso: al momento de escribir, se conocen más de 500 paquetes de NPM comprometidos.

La campaña coordinada de Shai-Hulud comenzó el 15 de septiembre con la compromisión del paquete NPM @ctrl/tinycolor, que se descarga más de 2 millones de veces a la semana.

Según los analistas de Truesec, durante estos días la campaña se ha expandido significativamente y ahora incluye paquetes publicados en el espacio de nombres de CrowdStrike.

Según los expertos, las versiones comprometidas contienen una función que extrae el archivo tar del paquete, modifica el archivo package.json, inyecta un script local, vuelve a empaquetar el archivo y lo publica de nuevo. Al instalarlo, se ejecuta automáticamente un script que descarga y ejecuta TruffleHog, una herramienta legítima para escanear secretos y buscar tokens.

En Truesec creen que el ataque se escala significativamente y se vuelve más sofisticado. Aunque los delincuentes utilizan muchos métodos antiguos, han mejorado considerablemente su enfoque, transformándolo en un "gusano" completamente autónomo. El malware lleva a cabo las siguientes acciones:

• recoge secretos y los revela públicamente en GitHub;
• ejecuta TruffleHog y consulta los puntos finales de metadatos en la nube para extraer credenciales confidenciales;
• intenta implementar un flujo de trabajo de GitHub Actions destinado a la exfiltración de datos a través de webhook.site;
• enumera todos los repositorios de GitHub disponibles para el usuario comprometido y los hace públicos por fuerza.

Una característica destacada de este ataque es su estilo. En lugar de depender de un solo objeto infectado, se propaga automáticamente a todos los paquetes de NPM.

Un ataque a la industria automotriz podría afectar la economía del Reino Unido

Jaguar Land Rover (JLR) no puede restablecer la producción por tercera semana consecutiva debido a un ciberataque. El fabricante de automóviles de lujo informó que sus líneas de producción están detenidas al menos hasta el 24 de septiembre.

La empresa confirmó que los delincuentes robaron información de su red, sin embargo, aún no responsabiliza a un grupo de hackers específico por el ataque.

Según BleepingComputer, el grupo de cibercriminales Scattered Lapsus$ Hunters afirmó su participación en el ciberataque, publicando en su canal de Telegram capturas de pantalla del sistema interno de JLR. En la publicación se afirma que los hackers también desplegaron un programa de ransomware en la infraestructura comprometida de la empresa.

Según los cálculos de la BBC, cada semana de inactividad le cuesta a la empresa un mínimo de 50 millones de libras esterlinas (~$68 millones). A su vez, The Telegraph estima las pérdidas durante el mismo período en ~$100 millones. Los proveedores de JLR están preocupados de no poder hacer frente a la crisis inesperada y temen la quiebra.

Los datos secretos del "Gran Firewall Chino" han sido divulgados públicamente

El 12 de septiembre, investigadores del equipo Great Firewall Report informaron sobre la mayor filtración de datos en la historia del "Gran cortafuegos chino".

Se filtraron alrededor de 600 GB de documentos internos, códigos fuente y correspondencia interna de los desarrolladores, utilizados para crear y mantener el sistema nacional chino de filtrado de tráfico.

Según los investigadores, la filtración contiene sistemas de ensamblaje completos de plataformas de seguimiento de tráfico, así como módulos responsables de la detección y ralentización de ciertas herramientas de evasión de bloqueos. La mayor parte de la pila está destinada a detectar VPN prohibidos en China.

Los especialistas de Great Firewall Report afirman que parte de la documentación se refiere a la plataforma Tiangou — un producto comercial destinado a ser utilizado por proveedores y puertas de enlace. Los expertos creen que las primeras iteraciones del programa se desplegaron en servidores de HP y Dell.

Además, los documentos revelados mencionan la instalación de este software en 26 centros de datos en Myanmar. Se dice que el sistema era gestionado por la empresa estatal de telecomunicaciones y estaba integrado en los principales puntos de intercambio de tráfico de internet, lo que permitió realizar tanto bloqueos masivos como filtraciones selectivas.

Según Wired y Amnesty International, la infraestructura también se exportó a Pakistán, Etiopía, Kazajistán y otros países, donde se utiliza junto con otras plataformas de interceptación legal del tráfico.

Los consumidores de productos de lujo en la mira de los hackers

El 15 de septiembre, el propietario de numerosas marcas de lujo, el conglomerado Kering, confirmó una filtración de datos que afectó a los clientes de sus filiales Gucci, Balenciaga, Alexander McQueen, Yves Saint Laurent.

Según datos de la BBC, los hackers robaron datos personales, incluidos nombres, direcciones de correo electrónico, números de teléfono, direcciones de casa, así como la cantidad total de dinero gastada por los compradores en tiendas de todo el mundo.

La ataque supuestamente está atribuido al grupo de hackers ShinyHunters, que afirma haber robado datos personales de al menos 7 millones de personas, sin embargo, el número de afectados probablemente sea significativamente mayor.

La agrupación también está sospechada de estar involucrada en el robo de numerosas bases de datos alojadas en Salesforce. Varias empresas, incluyendo Allianz Life, Google, Qantas y Workday, han confirmado el hecho del robo de datos como resultado de estos ataques masivos.

También lea en ForkLog:

• CZ advirtió sobre la amenaza de "empleados encubiertos" de Corea del Norte.
• La demanda actualizada reveló detalles sobre el hackeo de la casa de cambio de bitcoin Coinbase.
• En la red Ethereum, se han "atascado" tokens DYDX por un valor de $26 millones.
• Israel exigió la congelación de 1,5 millones de USDT relacionados con terroristas.
• En Monero ocurrió la mayor reorganización de bloques en 12 años.
• El puente Shibarium fue hackeado por ~$2,3 millones.

¿Qué leer el fin de semana?

ForkLog examinó las propuestas de Privacy Stewards for Ethereum, un nuevo equipo dentro de la Ethereum Foundation, y explicó cómo los empleados de la organización planean implementar la privacidad en todos los niveles de la red, hasta las aplicaciones.