Dos equipos de seguridad han demostrado, en una investigación separada publicada esta semana, que garra abiertael popular agente de IA autohospedado, puede ejecutarse para ejecutar código controlado por un atacante o entregar datos confidenciales a través de entradas de apariencia normal. Imperva instrucciones enterradas dentro de contactos compartidos, vCards ySeguir leyendo
Investigadores de ciberseguridad han descubierto un paquete NuGet malicioso que se hace pasar por un kit de desarrollo de software C# para Sicoob, uno de los sistemas financieros cooperativos más grandes de Brasil, para desviar ID de clientes y certificados PFX. De acuerdo a Enchufeversiones 2.0.0 a 2.0.4 de «Sicoob.Sdk»Seguir leyendo
Los investigadores de ciberseguridad están haciendo sonar la alarma sobre lo que se ha descrito como «actividad maliciosa» en las versiones recientemente publicadas de node-ipc. De acuerdo a Enchufe y PasoSeguridadse han creado tres versiones diferentes del paquete npm confirmado tan malicioso – nodo-ipc@9.1.6 nodo-ipc@9.2.3 nodo-ipc@12.0.1 «Los primeros análisis indicanSeguir leyendo
La expansión de los secretos no se está desacelerando: en 2025, se aceleró más rápido de lo que la mayoría de los equipos de seguridad anticiparon. Informe sobre la expansión del estado de los secretos 2026 de GitGuardian analizó miles de millones de confirmaciones en GitHub público y descubrió 29Seguir leyendo
Ravie Lakshmanan27 de marzo de 2026Vulnerabilidad / Inteligencia Artificial Los investigadores de ciberseguridad han revelado tres vulnerabilidades de seguridad que afectan a LangChain y LangGraph y que, si se explotan con éxito, podrían exponer datos del sistema de archivos, secretos del entorno y el historial de conversaciones. Tanto LangChain comoSeguir leyendo
Trivy, un popular escáner de vulnerabilidades de código abierto mantenido por Aqua Security, se vio comprometido por segunda vez en el lapso de un mes para entregar malware que robaba secretos confidenciales de CI/CD. El último incidente afectó a GitHub Actions «aquasecurity/trivy-acción» y «aquasecurity/configuración-trivy«, que se utilizan para escanear imágenesSeguir leyendo
Los investigadores de ciberseguridad han descubierto cinco cajas Rust maliciosas que se hacen pasar por utilidades relacionadas con el tiempo para transmitir datos de archivos .env a los actores de la amenaza. Los paquetes de Rust, publicados en crates.io, se enumeran a continuación: crono_ancla dnp3veces calibrador_tiempo calibradores_de_tiempo sincronización de tiempoSeguir leyendo
Ravie Lakshmanan20 de febrero de 2026Amenaza interna / Espionaje corporativo Dos ex ingenieros de Google y uno de sus maridos han sido acusado en Estados Unidos por supuestamente cometer robo de secretos comerciales del gigante de las búsquedas y otras empresas tecnológicas y transferir la información a lugares no autorizados,Seguir leyendo
Investigadores de ciberseguridad han revelado lo que dicen es una campaña activa de gusanos de cadena de suministro «similar a Shai-Hulud» que ha aprovechado un grupo de al menos 19 paquetes npm maliciosos para permitir la recolección de credenciales y el robo de claves de criptomonedas. La campaña tiene elSeguir leyendo
