10 May 2026 · Original en inglés · Resumen IA

Phishing a mantenedor de paquete populares permite robo de credenciales a 4 millones de desarroll...

Fuentes: Incident Report: CVE-2024-YIKES

Se ha documentado el incidente CVE-2024-YIKES, una ataque a la cadena de suministro de software que afectó a aproximadamente 4 millones de desarrolladores. El ataque comenzó cuando el mantenedor del paquete left-justify (847 millones de descargas semanales) robó sus credenciales via phishing. El paquete fue actualizado para robarlas credenciales de desarrolladores, incluyendo las del mantenedor de vulpine-lz4, una biblioteca Rust. Esta biblioteca fue incluido en snekpack, una herramienta de build de Python usada por el 60% de los paquetes de PyPI con la palabra 'data'. El malware instaló una reverse shell que solo se activaba los martes. El incidente fue resuelto accidentalmente por un gusano de minería de criptomonedas llamado cryptobble-9000, que actualizó snekpack a una versión segura. Duración total: 73 horas. Tres meses después, se asignó formalmente el CVE.

Temas

desarrollo seguridad

Etiquetas

seguridad informatica supply chain attack npm python rust malware vulnerabilidad ciberseguridad

Entidades mencionadas

cargo software

pip software

Portugal location

Rust software

NPM software

Fish software

Firefox creative_work

PyPI organization

El Python Package Index o PyPI es el repositorio de software oficial para aplicaciones de terceros en el lenguaje de programación Python. Los desarrolladores de Python pretenden que sea un catálogo e

Ver en Wikipedia

Fortune 500 organization

La lista Fortune 500 es una lista publicada de forma anual por la revista Fortune que presenta las 500 mayores empresas estadounidenses de capital abierto a cualquier inversor según su volumen de vent

Ver en Wikipedia

Twitter organization

X, anteriormente conocido como Twitter(pronunciación en inglés: /ˈtwɪt.ə / ), es un servicio de microblogueo y red social que pertenece a la empresa X Corp.

Ver en Wikipedia

Yubikey hardware

LinkedIn organization

LinkedIn es una red social orientada al uso empresarial, a los negocios y al empleo. Partiendo del perfil de cada usuario, quien libremente revela su experiencia laboral además de sus destrezas, la we

Ver en Wikipedia

Python software

Python es un lenguaje de alto nivel de programación interpretado cuya filosofía hace hincapié en la legibilidad de su código. Se trata de un lenguaje de programación multiparadigma, ya que soporta par

Ver en Wikipedia

nmp registry organization

We're GitHub, the company behind the npm Registry and npm CLI.

left-justify software

cryptocurrency mining worm software

vulpine-lz4 software

Karen Oyelaran person

Te explicamos quién es Karen, protagonista de ese ‘meme’ que tanto ves en las redes sociales y que hace referencia a un tipo de señora en concreto.

Maui location

snekpack software

jsonify-extreme software

cryptobro-9000 software

EuroMillions financial_instrument

yubikey-official-store.net organization

Yubico.com is the source for top-rated secure element two factor authentication security keys and HSMs. Buy YubiKey 5, Security Key with FIDO2 & U2F, and YubiHSM 2. Made in the USA and Sweden.

Marcus Chen person

Marcus Gheeraerts el Viejo, Marc Gerard y Marcus Garret fue un pintor, dibujante, grabador y grabador flamenco que estuvo activo en su Flandes natal y en Inglaterra. Practicó en muchos géneros, inclui

Ver en Wikipedia