The New York Times Best Sellers: Non-Fiction – May 31, 2026



Language: English | Format: epub |2026| Size: 187 MB

List:

01. SUICIDAL EMPATHY by Gad Saad
02. STRANGERS by Belle Burden
03. TAKE ME TO YOUR LEADER by Neil deGrasse Tyson
04. THE CASE FOR AMERICA by Bret Baier
05. FAMESICK by Lena Dunham
06. LONDON FALLING by Patrick Radden Keefe
07. TRUE CRIME by Patricia Cornwell
08. DOGS, BOYS, AND OTHER THINGS I'VE CRIED ABOUT by Isabel Klee
09. THE BODY KEEPS THE SCORE by Bessel van der Kolk
10. THE U.S. CONSTITUTION by Melissa Murray
11. I AM NOT A ROBOT by Joanna Stern
12. THE ANXIOUS GENERATION by Jonathan Haidt
13. STRIPPED DOWN by Bunnie Xo
14. THIS VAST ENTERPRISE by Craig Fehrman
15. AMERICAN RAMBLER by Isaac Fitzgerald

https://www.up-4ever.net/i0lgyl7rzagj
https://mega4upload.net/jw5totjiea89
https://www.file-upload.org/klu2nt95e2w7
https://rg.to/file/df7b453b3f345e2d7bbf9b79e9668a7e

The New York Times Best Sellers Fiction – May 31, 2026



Language: English | Format: epub |2026| Size: 50 MB

List:

01. A PARADE OF HORRIBLES by Matt Dinniman
02. THEO OF GOLDEN by Allen Levi
03. YESTERYEAR by Caro Claire Burke
04. REMARKABLY BRIGHT CREATURES by Shelby Van Pelt
05. PROJECT HAIL MARY by Andy Weir
06. THE FOURTH OPTION by Jack Carr and M.P. Woodward
07. BROKEN DOVE by Dani Francis
08. OUR PERFECT STORM by Carley Fortune
09. DUNGEON CRAWLER CARL by Matt Dinniman
10. THE DEAL by Elle Kennedy
11. THE CORRESPONDENT by Virginia Evans
12. THE CALAMITY CLUB by Kathryn Stockett
13. THE LAST MANDARIN by Louise Penny and Mellissa Fung
14. 26 BEAUTIES by James Patterson
15. FURY BOUND by Sable Sorensen

https://www.up-4ever.net/bnaw8vgx52q4
https://mega4upload.net/vtcimt5ix2v7
https://www.file-upload.org/v9ztpac9jkd6
https://rg.to/file/ed0d775dba153f59e308f1fb57c603a9

Fue eliminado

El Buró Federal de Investigaciones de Estados Unidos (FBI) emitió una alerta de seguridad sobre Kali365, una peligrosa plataforma de phishing como servicio (PhaaS) que está siendo utilizada para comprometer cuentas de Microsoft 365 mediante el abuso del flujo de autenticación por código de dispositivo OAuth.

La amenaza representa una evolución significativa en las campañas modernas de phishing, ya que permite a los ciberdelincuentes secuestrar cuentas corporativas sin necesidad de robar contraseñas ni interceptar códigos de autenticación multifactor (MFA).

Según el FBI, Kali365 apareció por primera vez en abril de 2026 y rápidamente comenzó a distribuirse a través de canales de Telegram especializados en cibercrimen, ofreciendo a atacantes de bajo nivel acceso a herramientas avanzadas capaces de comprometer entornos Microsoft Entra y Microsoft 365.

La plataforma ha generado preocupación entre expertos en ciberseguridad debido a su capacidad para explotar mecanismos legítimos de autenticación OAuth 2.0 y obtener acceso persistente a servicios cloud empresariales.

Qué es Kali365 y cómo funciona

Kali365 es una plataforma PhaaS diseñada específicamente para facilitar ataques de phishing contra usuarios de Microsoft 365 y Microsoft Entra.

Su principal objetivo es robar tokens de sesión OAuth válidos para obtener acceso completo a las cuentas de las víctimas, incluso cuando tienen habilitada la autenticación multifactor.

A diferencia del phishing tradicional, donde los atacantes intentan capturar credenciales y códigos MFA, Kali365 explota directamente el flujo legítimo de autenticación por código de dispositivo de Microsoft.

Este método permite a los atacantes:

• Obtener tokens OAuth válidos
• Eludir MFA
• Secuestrar sesiones autenticadas
• Acceder a aplicaciones SaaS corporativas
• Mantener persistencia dentro del entorno comprometido

Qué es el phishing por código de dispositivo

El phishing por código de dispositivo es una técnica que abusa del flujo de autorización OAuth 2.0 diseñado originalmente para dispositivos con capacidades limitadas de entrada.

Microsoft implementó este sistema para permitir que dispositivos como:

• Smart TVs
• Equipos de videoconferencia
• Dispositivos IoT
• Consolas multimedia
• Impresoras inteligentes

puedan autenticarse utilizando otro dispositivo mediante un código corto.

El usuario simplemente introduce un código temporal en el portal oficial:

• You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

y aprueba la autenticación desde otro dispositivo ya autenticado.

Cómo los atacantes abusan del flujo OAuth

En las campañas de Kali365, los atacantes inician ellos mismos el proceso de autorización para generar un código OAuth válido.

Posteriormente, mediante phishing e ingeniería social, engañan a la víctima para que introduzca ese código en el portal legítimo de Microsoft.

Una vez que el usuario:

• Ingresa el código
• Completa la autenticación MFA
• Aprueba la solicitud

Microsoft genera automáticamente un token OAuth válido y lo entrega al atacante.

El resultado es extremadamente peligroso porque:

• No se roba la contraseña
• No se intercepta el MFA
• La víctima interactúa con un dominio legítimo
• El acceso parece una autenticación válida

Esto dificulta enormemente la detección por soluciones tradicionales de seguridad.

Kali365 permite secuestrar cuentas empresariales completas

Una vez obtenido el token OAuth, los atacantes pueden acceder a todas las aplicaciones conectadas mediante inicio de sesión único (SSO).

Esto incluye plataformas como:

• Microsoft 365
• Outlook
• SharePoint
• Teams
• OneDrive
• Salesforce
• Aplicaciones SaaS corporativas
• Portales cloud empresariales

Con este acceso, los ciberdelincuentes pueden:

• Robar correos electrónicos
• Exfiltrar documentos
• Comprometer información financiera
• Obtener datos internos
• Expandirse lateralmente dentro de la organización

Kali365 convierte el phishing avanzado en un servicio accesible

Uno de los aspectos más preocupantes destacados por el FBI es que Kali365 funciona como una plataforma comercial clandestina.

El servicio ofrece herramientas avanzadas incluso a ciberdelincuentes con poca experiencia técnica.

Entre las funcionalidades identificadas se encuentran:

Señuelos generados con IA

La plataforma utiliza inteligencia artificial para crear mensajes de phishing más convincentes y personalizados.

Plantillas automatizadas

Los atacantes pueden lanzar campañas rápidamente utilizando kits preconfigurados.

Paneles de monitoreo en tiempo real

Kali365 permite rastrear:

• Víctimas comprometidas
• Tokens capturados
• Sesiones activas
• Estado de autenticación

Captura avanzada de tokens
La plataforma automatiza el robo y almacenamiento de tokens OAuth válidos.

Arctic Wolf detectó campañas masivas globales

Investigadores de Arctic Wolf revelaron que Kali365 estuvo involucrado en campañas a gran escala dirigidas a organizaciones de todo el mundo.

Los ataques se enfocaban principalmente en entornos Microsoft 365 utilizando correos electrónicos fraudulentos que redirigían a las víctimas al portal legítimo de autenticación por código de dispositivo.

Debido a que el sitio web utilizado era real y pertenecía a Microsoft, muchas víctimas no sospechaban que estaban autorizando acceso a los atacantes.

Los atacantes ocultaban su actividad en Outlook

Tras comprometer las cuentas, los operadores de Kali365 implementaban técnicas para mantener el acceso y evitar ser detectados.

Entre las actividades observadas destacan:

• Creación de reglas maliciosas en Outlook
• Ocultamiento automático de correos
• Redirección de mensajes
• Eliminación de alertas de seguridad

Estas reglas permitían a los atacantes monitorear silenciosamente las comunicaciones internas de las organizaciones comprometidas.

Registro de dispositivos para persistencia

En algunos incidentes, los atacantes también registraron nuevos dispositivos dentro del entorno Microsoft Entra de las víctimas.

Esto les permitía:

• Mantener acceso persistente
• Renovar tokens
• Evadir cierres de sesión
• Ampliar privilegios

La táctica incrementa significativamente el impacto de la intrusión y complica las tareas de contención.

Kali365 opera como una organización criminal estructurada

Arctic Wolf indicó que Kali365 no funciona como una simple herramienta aislada, sino como una operación criminal organizada.

La plataforma incluye:

Administradores

Responsables del desarrollo y mantenimiento del servicio.

Revendedores

Encargados de promocionar Kali365 en foros y canales de Telegram.

Afiliados

Ciberdelincuentes que utilizan la infraestructura para lanzar campañas de phishing.

Este modelo de negocio refleja la creciente profesionalización del ecosistema de cibercrimen.

Kali365 también utiliza ataques Adversary-in-the-Middle

Además del phishing por código de dispositivo, la plataforma incorpora un segundo modo de ataque denominado:

• Cookie Link

Este mecanismo funciona como un ataque adversario en el medio (AitM).

El sistema proxia la sesión de la víctima a través de infraestructura controlada por los atacantes y captura:

• Cookies autenticadas
• Tokens de sesión
• Credenciales temporales
• Información de navegador

La técnica permite resolver automáticamente MFA y secuestrar sesiones activas.

El phishing OAuth se expande rápidamente en 2026

El FBI advirtió que el phishing basado en código de dispositivo se ha convertido en una de las técnicas más utilizadas por actores de amenazas durante 2026.

Otras plataformas y grupos criminales ya utilizan métodos similares, incluyendo:

• EvilTokens
• Tycoon2FA
• ShinyHunters

La adopción masiva de esta técnica demuestra que los ataques están evolucionando más allá del robo tradicional de contraseñas.

Cómo protegerse frente a Kali365

El FBI recomienda a las organizaciones implementar medidas inmediatas para reducir el riesgo.

Deshabilitar autenticación por código de dispositivo

Cuando sea posible:

• Bloquear flujos OAuth de código de dispositivo
• Restringir acceso mediante políticas condicionales

Auditar uso de OAuth

Revisar:

• Aplicaciones autorizadas
• Dispositivos registrados
• Tokens activos
• Accesos sospechosos

Bloquear transferencia de autenticación

Impedir que sesiones autenticadas se muevan entre dispositivos no autorizados.

Capacitar empleados

Educar usuarios sobre:

• Ingeniería social
• • Solicitudes OAuth sospechosas
  • Riesgos del phishing moderno
  
  Supervisar reglas de Outlook
  
  Detectar:
  
  
  • Reglas ocultas
  • Redirecciones sospechosas
  • Eliminación automática de mensajes
  
  Kali365 demuestra la evolución del phishing moderno
  
  La aparición de Kali365 confirma que los ataques de phishing están evolucionando rápidamente hacia métodos mucho más sofisticados y difíciles de detectar.
  
  El abuso de mecanismos legítimos de OAuth, combinado con robo de tokens y técnicas AitM, permite a los atacantes eludir MFA y comprometer cuentas empresariales sin necesidad de robar contraseñas.
  
  Para las organizaciones, esto representa un desafío crítico, ya que las soluciones tradicionales de seguridad centradas únicamente en credenciales ya no son suficientes para detener amenazas modernas basadas en tokens y autenticación federada.
  
  La seguridad de identidades y accesos cloud se perfila ahora como uno de los pilares más importantes de la ciberseguridad empresarial moderna.
  
  Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

La comunidad de desarrollo PHP y Laravel enfrenta una nueva amenaza de ciberseguridad tras descubrirse un sofisticado ataque a la cadena de suministro que comprometió varios paquetes de localización de Laravel Lang utilizados ampliamente en proyectos web y aplicaciones empresariales.

Investigadores de seguridad de StepSecurity, Aikido Security y Socket revelaron que atacantes lograron manipular etiquetas de versiones en GitHub para distribuir malware mediante Composer, el gestor de dependencias más utilizado en el ecosistema PHP.

El incidente representa una evolución alarmante en los ataques supply chain, ya que los ciberdelincuentes no publicaron nuevas versiones maliciosas visibles, sino que aprovecharon una funcionalidad legítima de GitHub para redirigir etiquetas existentes hacia commits controlados por los atacantes.

Como resultado, miles de desarrolladores pudieron instalar código malicioso creyendo que descargaban versiones legítimas de paquetes Laravel Lang.

Qué paquetes Laravel Lang fueron comprometidos

Los investigadores confirmaron que los siguientes paquetes fueron afectados:

• laravel-lang/lang
• laravel-lang/http-statuses
• laravel-lang/attributes
• Posiblemente laravel-lang/actions

Es importante destacar que Laravel Lang es un proyecto de terceros y no forma parte oficial del framework Laravel. Sin embargo, estos paquetes son ampliamente utilizados para implementar traducciones y localización en aplicaciones PHP.

Según Aikido Security, el ataque comprometió al menos 233 versiones distribuidas en tres repositorios diferentes, mientras que Socket estima que aproximadamente 700 versiones históricas pudieron verse afectadas.

Cómo funcionó el ataque a la cadena de suministro

El aspecto más peligroso de este incidente es la técnica utilizada para comprometer las versiones de los paquetes.

En lugar de modificar directamente el código fuente principal o publicar nuevas versiones sospechosas, los atacantes aprovecharon una característica de GitHub que permite que las etiquetas (tags) apunten a commits almacenados en forks del mismo repositorio.

Esto permitió a los actores maliciosos:

• Reescribir etiquetas existentes
• Mantener nombres legítimos de versiones
• Evadir sospechas inmediatas
• Distribuir malware silenciosamente mediante Composer

Los investigadores explicaron que los atacantes reescribieron todas las etiquetas Git existentes para apuntar a commits maliciosos almacenados en forks bajo su control.

La operación comenzó a las 22:32 UTC contra el paquete principal laravel-lang/lang y finalizó alrededor de las 00:00 UTC afectando otros repositorios relacionados.

Todos los repositorios comprometidos compartían:

• La misma identidad falsa de autor
• Archivos modificados idénticos
• El mismo comportamiento malicioso
• Infraestructura C2 compartida

Esto indica que probablemente un único actor obtuvo acceso privilegiado a nivel organizacional mediante credenciales comprometidas.

Composer descargaba malware sin alertar al desarrollador

Cuando un desarrollador instalaba o actualizaba uno de los paquetes afectados mediante Composer, el sistema descargaba automáticamente el código malicioso creyendo que se trataba de una versión oficial y legítima.

El ataque era especialmente efectivo porque:

• Las versiones aparentaban ser legítimas
• No existían nuevos releases sospechosos
• Los hashes parecían válidos
• Composer confiaba en las etiquetas manipuladas

Este método permitió a los atacantes comprometer entornos de desarrollo, servidores y pipelines CI/CD sin generar alertas inmediatas.

El malware utilizaba un archivo malicioso llamado helpers.php

Los investigadores identificaron que las versiones comprometidas agregaban un archivo malicioso denominado:

• src/helpers.php

Este archivo era cargado automáticamente por Composer durante la instalación del paquete.

El código actuaba como un dropper encargado de descargar una segunda carga útil desde el servidor de comando y control:

• flipboxstudio[.]info

Una vez descargado, el malware iniciaba operaciones de robo de credenciales y exfiltración de datos sensibles.

Malware diseñado para robar secretos cloud y credenciales DevOps

La carga útil PHP utilizada por los atacantes funcionaba como un infostealer multiplataforma compatible con:

• Windows
• Linux
• macOS

El malware estaba diseñado para recolectar información extremadamente sensible relacionada con infraestructura cloud y entornos de desarrollo modernos.

Entre los datos robados destacan:

Credenciales cloud

• Claves AWS
• Tokens de acceso
• Secretos cloud

Secretos DevOps

• Variables .env
• Tokens CI/CD
• Credenciales Git
• Configuraciones Kubernetes
• Tokens Vault

Información de navegadores

• Cookies
• Credenciales almacenadas
• Sesiones activas

Datos criptográficos

• Wallets de criptomonedas
• Frases de recuperación
• Claves privadas SSH

Gestores y herramientas corporativas

• Tokens GitHub
• Tokens Slack
• Secretos Stripe
• JWTs
• Configuraciones VPN

El malware incluía expresiones regulares avanzadas específicamente diseñadas para localizar automáticamente credenciales sensibles dentro de archivos locales y variables de entorno.

El componente para Windows utilizaba DebugElevator

En sistemas Windows, el malware desplegaba una segunda etapa aún más peligrosa.

La carga PHP extraía un ejecutable codificado en Base64 y lo escribía en la carpeta temporal del sistema con un nombre aleatorio .exe.

El análisis reveló que el ejecutable se denominaba:

• DebugElevator

Este componente estaba específicamente diseñado para atacar navegadores basados en Chromium como:

• Google Chrome
• Brave
• Microsoft Edge

Su objetivo era extraer claves de cifrado vinculadas a la aplicación necesarias para descifrar credenciales almacenadas en el navegador.

Evidencias del uso de inteligencia artificial en el malware

Uno de los detalles más llamativos encontrados por los investigadores fue una ruta PDB integrada dentro del ejecutable malicioso:

• C:\Users\Mero\OneDrive\Desktop\stuff\claude\Chromium-DebugElevator\x64\Release\DebugChromium.pdb

La referencia al término "claude" sugiere que los atacantes podrían haber utilizado herramientas de inteligencia artificial para asistir en el desarrollo del malware.

Aunque esto no constituye una confirmación definitiva, refleja una tendencia creciente donde actores maliciosos utilizan IA para:

• Automatizar desarrollo de malware
• Mejorar evasión
• Crear loaders personalizados
• Optimizar robo de credenciales

El malware cifraba y exfiltraba los datos robados

Una vez recopilada la información sensible, el malware:

• Cifraba los datos robados
• Establecía conexión con el servidor C2
• Exfiltraba la información a la infraestructura controlada por los atacantes

Esto dificultaba la inspección del tráfico y aumentaba las posibilidades de que el robo pasara desapercibido.

Packagist eliminó rápidamente las versiones maliciosas

Tras descubrir el incidente, Aikido notificó a Packagist, repositorio principal de paquetes PHP utilizado por Composer.

Packagist respondió rápidamente:

• Eliminando versiones comprometidas
• Deshabilitando temporalmente paquetes afectados
• Bloqueando nuevas instalaciones potencialmente maliciosas

Sin embargo, cualquier sistema que hubiera instalado versiones comprometidas antes de la mitigación podría seguir afectado.

Qué deben hacer los desarrolladores afectados

Los expertos recomiendan actuar de inmediato si se utilizaron paquetes Laravel Lang recientemente.

Revisar versiones instaladas

Verificar si los sistemas descargaron versiones comprometidas.

Rotar todas las credenciales

Cambiar inmediatamente:

• Tokens cloud
• Claves SSH
• Contraseñas
• Secretos CI/CD
• Tokens GitHub y Slack

Buscar indicadores de compromiso

Inspeccionar:

• Procesos sospechosos
• Conexiones salientes
• Archivos temporales
• Modificaciones en .env

Revisar tráfico histórico

Buscar conexiones hacia:

• flipboxstudio[.]info

Analizar endpoints Windows

Especialmente aquellos con:

• Chrome
• Brave
• Edge

Los ataques supply chain siguen creciendo

El compromiso de Laravel Lang demuestra nuevamente que los ataques a la cadena de suministro continúan evolucionando y apuntando directamente a ecosistemas de desarrollo ampliamente utilizados.

La capacidad de manipular etiquetas Git legítimas sin modificar aparentemente el código fuente representa un cambio peligroso en las tácticas utilizadas por los ciberdelincuentes.

Los desarrolladores y organizaciones deberán reforzar sus procesos de validación de dependencias, monitoreo de integridad y protección de secretos para reducir el riesgo frente a futuras campañas similares.

El incidente también evidencia cómo Composer, GitHub y los ecosistemas open source continúan siendo objetivos prioritarios para actores maliciosos interesados en comprometer masivamente entornos corporativos, infraestructura cloud y proyectos de software críticos.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Investigadores en ciberseguridad han revelado nuevos detalles sobre RemotePE, un sofisticado malware multiplataforma utilizado por el grupo Lazarus, organización de amenazas vinculada a Corea del Norte y conocida por sus ataques dirigidos contra entidades financieras, plataformas DeFi y empresas de criptomonedas en todo el mundo.

El análisis realizado por Fox-IT, filial de NCC Group, expone una compleja cadena de infección compuesta por múltiples etapas y diseñada específicamente para mantener acceso persistente, evadir soluciones EDR y operar completamente en memoria sin dejar rastros visibles en el sistema comprometido.

La investigación demuestra cómo Lazarus continúa perfeccionando sus herramientas ofensivas para ejecutar operaciones de espionaje, robo financiero y compromiso prolongado de objetivos de alto valor dentro del ecosistema blockchain y financiero global.

¿Qué es RemotePE y por qué representa una amenaza crítica?

RemotePE es un RAT (Remote Access Trojan) avanzado escrito en C++ que permite a los atacantes controlar de forma remota sistemas comprometidos. Su principal característica es que funciona completamente en memoria, evitando escribir archivos en disco y reduciendo significativamente las posibilidades de detección por parte de antivirus tradicionales y herramientas forenses.

El malware forma parte de una arquitectura modular compuesta por:

• DPAPILoader
• RemotePELoader
• RemotePE

Cada componente cumple una función específica dentro del proceso de infección, persistencia y control remoto.

Según los investigadores, esta infraestructura maliciosa fue diseñada para operaciones de espionaje silencioso y acceso furtivo a largo plazo, una táctica ampliamente asociada con Lazarus en campañas dirigidas contra organizaciones financieras y empresas relacionadas con criptomonedas.

Lazarus y su historial de ataques financieros

El grupo Lazarus ha sido vinculado durante años a algunos de los mayores robos cibernéticos del mundo, incluyendo ataques contra exchanges de criptomonedas, plataformas DeFi, bancos y empresas tecnológicas.

Las operaciones del grupo suelen caracterizarse por:

• Ingeniería social avanzada
• Malware personalizado
• Técnicas de evasión sofisticadas
• Ataques supply chain
• Persistencia prolongada
• Robo masivo de activos digitales

En este caso, RemotePE fue identificado inicialmente en septiembre de 2025 durante una intrusión dirigida contra una organización del sector DeFi.

La campaña también involucró otras familias de malware como:

• PondRAT
• ThemeForestRAT
• POOLRAT (SIMPLESEA)

Cómo comienza la infección de RemotePE

La intrusión analizada por Fox-IT comenzó mediante técnicas de ingeniería social altamente dirigidas.

Los atacantes contactaron a la víctima a través de Telegram haciéndose pasar por un antiguo empleado de una empresa comercial. Posteriormente, programaron una falsa reunión utilizando dominios fraudulentos que imitaban servicios legítimos como Calendly y Picktime.

Este enfoque demuestra la precisión con la que Lazarus selecciona y estudia a sus víctimas antes de iniciar una operación.

Una vez comprometido el dispositivo, comienza la ejecución de la cadena de infección.

Etapa 1: DPAPILoader y el uso de Windows DPAPI

La primera etapa utiliza una DLL denominada:

• Iassvc.dll

Este componente, identificado como DPAPILoader, emplea la API de Protección de Datos de Windows (DPAPI) para descifrar cargas útiles almacenadas localmente.

El uso de DPAPI permite ocultar el malware utilizando mecanismos legítimos del sistema operativo, dificultando su análisis y detección.

Los investigadores indicaron que las muestras más antiguas de DPAPILoader se remontan a noviembre de 2023, lo que demuestra que el malware lleva años en desarrollo activo.

Etapa 2: RemotePELoader y evasión avanzada

Tras descifrar la carga útil, DPAPILoader ejecuta un segundo componente denominado RemotePELoader.

Este módulo se conecta a un servidor remoto de comando y control (C2) mediante HTTP para descargar la siguiente etapa del malware.

El dominio utilizado por los atacantes fue identificado como:

• aes-secure[.]net

Antes de cargar el payload final, RemotePELoader implementa múltiples técnicas de evasión para evitar la detección por soluciones de seguridad modernas.

Entre ellas destacan:

Hell's Gate

Técnica utilizada para evadir hooks de EDR y ejecutar llamadas directas al sistema operativo.

Patching de ETW

El malware modifica el sistema de Event Tracing for Windows (ETW) para impedir que herramientas de monitoreo registren su actividad.

Estas capacidades reflejan un alto nivel de sofisticación técnica y un profundo conocimiento interno de Windows.

RemotePE: el RAT que opera completamente en memoria

La etapa final de la cadena es RemotePE, un troyano de acceso remoto capaz de ejecutar comandos avanzados directamente desde memoria.

El malware consulta constantemente al servidor C2 para recibir instrucciones adicionales y soporta múltiples categorías de comandos.

Entre las funciones identificadas se encuentran:

Gestión de configuración

• Obtener configuración C2
• Modificar parámetros internos

Gestión de módulos

• Registrar DLLs
• Cargar bibliotecas dinámicas
• Descargar componentes adicionales

Operaciones de archivos

• Crear archivos
• Modificar datos
• Eliminar evidencias

Gestión de procesos

• Enumerar procesos activos
• Crear nuevos procesos
• Finalizar procesos específicos

Control operativo

• Suspender actividad temporalmente
• Finalizar ejecución
• Enviar señales de comunicación al C2

Técnicas avanzadas de eliminación de archivos

Uno de los aspectos más llamativos de RemotePE es su mecanismo de borrado seguro de archivos.

Antes de eliminar un archivo, el malware:

• Sobrescribe su contenido siete veces
• Utiliza bytes constantes para destruir datos
• Renombra el archivo
• Procede a eliminarlo definitivamente

Esta técnica también ha sido observada en otras herramientas asociadas con Lazarus, como PondRAT y POOLRAT.

El objetivo es dificultar la recuperación forense de evidencias tras una intrusión.

Malware diseñado para espionaje y robo financiero silencioso

Los investigadores de Fox-IT señalaron que el comportamiento de RemotePE sugiere operaciones de observación a largo plazo.

El malware está optimizado para:

• Permanecer oculto durante meses
• Evadir antivirus y EDR
• Mantener acceso persistente
• Minimizar artefactos forenses
• Esperar el momento adecuado para ejecutar ataques de alto impacto

Este enfoque es consistente con las operaciones históricas de Lazarus, donde los atacantes permanecen dentro de las redes comprometidas durante largos periodos antes de ejecutar robo de datos o transferencias financieras fraudulentas.

RemotePE y la amenaza creciente contra el sector cripto

Las organizaciones relacionadas con criptomonedas continúan siendo uno de los principales objetivos del grupo Lazarus debido al enorme valor económico de los activos digitales.

Los ataques dirigidos a:

• Exchanges
• Plataformas DeFi
• Empresas blockchain
• Fondos de inversión cripto
• Infraestructura Web3

han aumentado significativamente en los últimos años.

La utilización de malware como RemotePE demuestra que Lazarus sigue invirtiendo en herramientas cada vez más sofisticadas para comprometer sistemas críticos y acceder a credenciales sensibles.

Cómo protegerse frente a RemotePE y Lazarus

Los expertos recomiendan implementar múltiples capas de seguridad para reducir el riesgo de compromiso:

Capacitación contra ingeniería social

Los empleados deben ser entrenados para detectar:

• Dominios falsos
• Invitaciones sospechosas
• Mensajes fraudulentos en Telegram y LinkedIn

Protección EDR avanzada

Implementar soluciones capaces de detectar:

• Ejecución en memoria
• Técnicas Hell's Gate
• Manipulación ETW
• Actividad anómala de procesos

Segmentación de accesos

Limitar privilegios administrativos y restringir acceso a:

• Wallets corporativas
• Claves privadas
• Infraestructura cloud

Supervisión continua

Monitorizar:

• Tráfico HTTP sospechoso
• Conexiones C2
• Carga dinámica de DLLs
• Procesos inusuales

RemotePE confirma la evolución de Lazarus

La aparición de RemotePE evidencia que Lazarus continúa evolucionando sus capacidades ofensivas con malware diseñado específicamente para operaciones encubiertas y persistentes.

El uso de ejecución exclusivamente en memoria, evasión avanzada de EDR y técnicas antiforenses convierte a esta amenaza en una de las campañas más peligrosas dirigidas actualmente contra organizaciones financieras y empresas de criptomonedas.

A medida que los ataques patrocinados por estados se vuelven más sofisticados, las empresas deberán reforzar sus estrategias de ciberseguridad para detectar amenazas avanzadas antes de que puedan generar pérdidas financieras o compromisos masivos de información sensible.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Una nueva campaña de ataques a la cadena de suministro de software está encendiendo las alarmas en la comunidad de ciberseguridad tras comprometer múltiples ecosistemas de desarrollo ampliamente utilizados. Bautizada como TrapDoor, esta operación maliciosa ha sido diseñada para distribuir malware a través de paquetes infectados en npm, PyPI y You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login, afectando especialmente a desarrolladores vinculados con criptomonedas, proyectos DeFi, inteligencia artificial y el ecosistema Solana.

La campaña destaca por su sofisticación técnica, su capacidad de persistencia y por combinar técnicas tradicionales de typosquatting con nuevas estrategias dirigidas a flujos de trabajo modernos de desarrollo e inteligencia artificial. Según los investigadores de Socket, los atacantes han publicado más de 34 paquetes maliciosos distribuidos en al menos 384 versiones diferentes, utilizando múltiples cuentas y oleadas coordinadas para maximizar el alcance del ataque.

TrapDoor apunta a desarrolladores de criptomonedas, IA y entornos cloud

El principal objetivo de TrapDoor es el robo masivo de información sensible. Los paquetes maliciosos fueron diseñados para extraer:

• Credenciales de desarrolladores
• Claves SSH
• Tokens de AWS y GitHub
• Variables de entorno
• Wallets de criptomonedas
• Datos almacenados en navegadores
• Secretos DevOps
• Configuraciones cloud

Los investigadores señalaron que varios paquetes npm desplegaban una carga útil compartida denominada trap-core.js, un malware capaz de realizar reconocimiento interno, validar credenciales robadas y establecer mecanismos avanzados de persistencia dentro de los sistemas comprometidos.

Entre las acciones realizadas por el malware destacan:

• Escaneo automático de secretos y credenciales
• Validación de tokens AWS y GitHub mediante APIs legítimas
• Persistencia mediante cron jobs y servicios systemd
• Creación de hooks maliciosos en Git
• Movimiento lateral vía SSH
• Manipulación de archivos de configuración utilizados por herramientas de IA

Este tipo de ataque representa una amenaza crítica para organizaciones que dependen de pipelines automatizados, integración continua (CI/CD) y entornos de desarrollo modernos.

Paquetes maliciosos distribuidos en npm, PyPI y You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

La campaña afectó simultáneamente a tres de los ecosistemas de software más importantes del mundo:

Paquetes maliciosos en You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los paquetes dirigidos al ecosistema Rust se enfocaban especialmente en desarrolladores relacionados con Sui y Move. Entre ellos destacan:

• mover-analyzer-build
• mover-compiler-tools
• mover-project-builder
• Sui-Framework-Helpers
• Sui-move-build-helper
• sui-sdk-build-utils

Estos paquetes utilizaban scripts You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login para ejecutar automáticamente código malicioso durante el proceso de compilación.

Malware en npm dirigido a Web3 e IA

El ecosistema npm fue uno de los más afectados por TrapDoor. Los atacantes publicaron paquetes que aparentaban ser herramientas legítimas para desarrollo blockchain, IA y seguridad DevOps.

Algunos de los paquetes identificados incluyen:

• async-pipeline-builder
• build-scripts-utils
• crypto-credentials-scanner
• defi-env-auditor
• eth-wallet-sentinel
• mnemonic-security-checker
• model-switch-router
• prompt-engineering-toolkit
• solidity-deploy-guard
• wallet-backup-checker
• web3-secrets-detector

Estos módulos ejecutaban hooks postinstalación capaces de descargar y activar malware inmediatamente después de ser instalados por el desarrollador.

PyPI también fue utilizado para distribuir malware

Los paquetes maliciosos detectados en PyPI estaban diseñados para activarse automáticamente al importarse dentro de proyectos Python. Entre ellos destacan:

• crypto-wallet-security
• data-pipeline-check
• DeFi-Risk-Scanner
• env-loader-cli
• eth-security-auditor
• git-config-sync
• solidity-build-guard

El comportamiento de estos paquetes era especialmente peligroso porque descargaban código JavaScript remoto desde un dominio controlado por los atacantes y lo ejecutaban utilizando Node.js mediante el comando node -e.

Esta técnica permite modificar el comportamiento del malware en tiempo real sin necesidad de publicar nuevas versiones en PyPI, dificultando enormemente la detección y mitigación.

Cómo funciona el malware TrapDoor

TrapDoor utiliza distintas rutas de ejecución dependiendo del ecosistema objetivo:

En npm

El malware se activa mediante:

• Hooks postinstalación
• Dependencias ocultas
• Scripts automatizados

En Rust / You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Se aprovecha el archivo:

• You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Este script permite ejecutar código durante la compilación del paquete.

En Python / PyPI

El malware se activa:

• Durante la importación del módulo
• Descargando payloads remotos en JavaScript

La combinación de estas técnicas demuestra un conocimiento profundo de los flujos de desarrollo modernos y de los mecanismos internos de cada ecosistema.

TrapDoor introduce ataques dirigidos a herramientas de inteligencia artificial

Uno de los aspectos más preocupantes de esta campaña es el abuso de herramientas basadas en IA utilizadas por desarrolladores.

Los atacantes implantaron archivos ocultos como:

• .cursorrules
• You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Estos archivos contenían instrucciones diseñadas específicamente para manipular asistentes de inteligencia artificial y herramientas de codificación automatizada.

El objetivo era inducir a los sistemas de IA a realizar supuestos "escaneos de seguridad" que terminaban exfiltrando secretos, tokens y credenciales de los proyectos afectados.

Además, los atacantes intentaron insertar estas instrucciones ocultas mediante pull requests en proyectos populares de código abierto relacionados con IA, incluyendo repositorios ampliamente utilizados dentro de la comunidad tecnológica.

Esta evolución marca un nuevo nivel en los ataques a la cadena de suministro, donde ya no solo se comprometen paquetes de software, sino también los flujos de trabajo impulsados por inteligencia artificial.

El auge de los ataques a la cadena de suministro de software

Los ataques supply chain se han convertido en una de las amenazas más peligrosas para empresas y desarrolladores debido al enorme nivel de confianza depositado en repositorios oficiales como npm, PyPI y You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login.

TrapDoor demuestra cómo los ciberdelincuentes están evolucionando rápidamente para comprometer:

• Entornos DevOps
• Infraestructura cloud
• Repositorios de código
• Wallets cripto
• Sistemas automatizados de IA
• Pipelines CI/CD

El hecho de que los paquetes aparenten ser herramientas legítimas relacionadas con blockchain, auditoría de seguridad o automatización de IA aumenta considerablemente las probabilidades de infección.

Cómo protegerse de campañas como TrapDoor

Para reducir el riesgo de compromiso frente a este tipo de amenazas, los expertos recomiendan:

Verificar siempre los paquetes instalados

Antes de instalar dependencias:

• Revisar reputación del autor
• Analizar historial del paquete
• Verificar número de descargas
• Validar firmas y hashes

Auditar dependencias automáticamente

Implementar herramientas de seguridad que detecten:

• Typosquatting
• Dependencias sospechosas
• Scripts postinstalación maliciosos
• Comportamientos anómalos

Restringir ejecución automática

Deshabilitar cuando sea posible:

• Scripts postinstall
• You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login no verificados
• Importaciones dinámicas remotas

Segmentar secretos y credenciales

Nunca almacenar:

• Tokens AWS
• Claves privadas
• Credenciales GitHub
• Variables sensibles

directamente dentro del entorno de desarrollo.

Supervisar entornos de IA

Las herramientas de inteligencia artificial utilizadas en programación deben ser monitoreadas para evitar manipulación mediante instrucciones ocultas.

TrapDoor evidencia una nueva generación de amenazas

La campaña TrapDoor confirma que los actores maliciosos están adaptando sus tácticas a las nuevas tecnologías utilizadas por desarrolladores modernos. El uso simultáneo de npm, PyPI y You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login demuestra una estrategia coordinada capaz de impactar múltiples lenguajes y plataformas al mismo tiempo.

Más preocupante aún es la integración de técnicas dirigidas contra herramientas de inteligencia artificial y flujos de contribución open source, lo que podría redefinir el panorama de amenazas en los próximos años.

La seguridad de la cadena de suministro ya no depende únicamente del código que escriben los desarrolladores, sino también de las dependencias, automatizaciones e incluso asistentes de IA que participan en el proceso de desarrollo.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Cloud Computing Tricks and Tips – 22nd Edition 2026



Language: English | Format: pdf |2026| Size: 30 MB

https://www.up-4ever.net/f0pow8i9zb22
https://mega4upload.net/aj6zuswhhxpx
https://www.file-upload.org/27rt9t00ptqp
https://rg.to/file/f38e0923ccd2089dba0e906c212349cf

tengo la información de un servidor el cual tiene abiertos puertos como telnet, ssh, mysql… que puedo hacer para acceder a esos puertos, intente ataques de fuerza bruta con hydra y diccionarios y no funciona…

Essential Guide to ChatGPT – 2nd Edition 2026



Language: English | Format: pdf |2026| Size: 62 MB

https://www.up-4ever.net/y6q2tch5k88p
https://mega4upload.net/qlv6edwsnfiw
https://www.file-upload.org/9agu6anavsxf
https://rg.to/file/d7c71421ff70f2e4d0372b02adf64664