Las explotaciones de React2Shell continúan con despliegues a gran escala de puertas traseras en Linux y robo de credenciales en la nube

Basándose en ataques previos de PeerBlight, Google Threat Intelligence informa de la explotación de la vulnerabilidad React2Shell (CVE-2025-55182) por clústeres con nexo a China y actores motivados financieramente que despliegan puertas traseras y mineros de criptomonedas en sistemas vulnerables de React y Next.js.

10 de diciembre de 2025 Reportado por IA

Una vulnerabilidad crítica en React Server Components, conocida como React2Shell y rastreada como CVE-2025-55182, está siendo explotada activamente para desplegar una nueva puerta trasera de Linux llamada PeerBlight. Este malware convierte los servidores comprometidos en nodos proxy y de comando y control encubiertos. Los atacantes utilizan una única solicitud HTTP diseñada para ejecutar código arbitrario en aplicaciones vulnerables de Next.js y React.

En la conferencia NDSS 2025, Hengkai Ye y Hong Hu de The Pennsylvania State University presentaron un artículo sobre vulnerabilidades sutiles en sistemas Linux que reintroducen pilas ejecutables. Su trabajo destaca cómo los desarrolladores, incluidos expertos en seguridad, desactivan accidentalmente las protecciones contra ataques de inyección de código. El estudio examina herramientas y componentes del sistema para revelar lagunas en la aplicación de políticas de escritura-xor-ejecución.

14 de enero de 2026 Reportado por IA

Investigadores de seguridad de Check Point han descubierto VoidLink, un nuevo marco de malware sofisticado para Linux diseñado para atacar infraestructuras en la nube. Escrito en Zig y vinculado a desarrolladores chinos, cuenta con más de 30 plugins para reconocimiento sigiloso, robo de credenciales y movimiento lateral. Aún no se han observado infecciones reales, pero sus capacidades señalan una amenaza creciente para entornos empresariales en la nube.

Ciberdelincuentes han comprometido aplicaciones confiables de Linux en el Snap Store al apoderarse de dominios caducados, lo que les permite distribuir malware que roba frases de recuperación de criptomonedas. Expertos en seguridad de SlowMist y el colaborador de Ubuntu Alan Pope destacaron el ataque, que apunta a cuentas de editores establecidos para distribuir actualizaciones maliciosas que suplantan billeteras populares. Canonical ha eliminado los snaps afectados, pero persisten las llamadas a mayores salvaguardas.

9 de enero de 2026 Reportado por IA

Una investigadora en seguridad ha descubierto que los errores en el kernel de Linux suelen permanecer sin detectar más de dos años de media, y algunos perduran más de dos décadas. Al analizar 20 años de desarrollo del kernel, Jenny Guanni Qu ha revelado cómo estos fallos afectan silenciosamente a sistemas en la nube, empresas y miles de millones de dispositivos. Su trabajo pone de manifiesto los desafíos de mantener software open source seguro.