Posted on

Paquet maliciós de PyPI roba claus privades d’Ethereum mitjançant transaccions RPC de Polygon

Un paquet maliciós de Python ha sigut descobert en el repositori PyPI, amb el propòsit de robar les claus privades d’Ethereum dels desenrotlladors mitjançant transaccions RPC de Polygon, segons ha informat l’empresa de seguretat Socket.

El paquet, denominat “set-utils”, es trobava disponible en PyPI, amb un total de 1,077 descàrregues fins a la seua eliminació del registre oficial. Es presenta com una utilitat per a treballar amb conjunts de Python, però en realitat simula biblioteques populars com python-utils i utils, que compten amb centenars de milions de descàrregues, enganyant els desenrotlladors que confien en la seua reputació.

Socket ha advertit que este engany està dirigit principalment a desenrotlladors d’Ethereum i a organitzacions que creen aplicacions basades en cadena de blocs utilitzant Python, especialment aquelles que empren biblioteques com eth-account per a la gestió de carteres. El paquet maliciós aconseguix interceptar les claus privades d’Ethereum a mesura que es generen en les màquines compromeses, utilitzant funcions de creació de carteres com “from_key()” i “from_mnewmonic()”.

L’atac és més sofisticat pel fet que les claus privades robades són exfiltrades en el context de transaccions de cadena de blocs a través d’un punt d’accés RPC de Polygon, denominat “rpc-amoy.polygon.technology”. Això dificulta la detecció tradicional, ja que les transaccions de cadena de blocs es monitoren menys de prop que les sol·licituds HTTP convencionals. Esta tàctica ajuda a eludir els mètodes de detecció que les empreses de ciberseguretat empren per a identificar sol·licituds sospitoses.

Segons Socket, fins i tot quan un usuari crea un compte d’Ethereum de manera legítima, el paquet maliciós s’assegura que la seua clau privada siga robada en el procés i transmesa directament als atacants. Este atac s’executa en un fil en segon pla en el sistema de la víctima, la qual cosa complica encara més la detecció.

Este tipus d’amenaces destaca la creixent necessitat de tindre precaucions addicionals a l’hora d’utilitzar biblioteques de tercers en entorns de desenrotllament, especialment quan es manegen actius valuosos com criptomonedes. Els desenrotlladors han de ser conscients dels riscos associats amb l’ús de paquets aparentment inofensius i garantir que els seus entorns de desenrotllament estiguen protegits contra esta classe d’atacs.

Referències

https://thehackernews.com/2025/03/this-malicious-pypi-package-stole.html

https://socket.dev/blog/new-pypi-malware-exfiltrates-ethereum-private-keys

Posted on

Vulnerabilitats de seguretat corregides en Firefox 136

La Fundació Mozilla va publicar l’Avís de Seguretat de la Fundació Mozilla 2025-14, que aborda diverses vulnerabilitats de seguretat corregides en la versió Firefox 136. Aquestes vulnerabilitats afecten tant a la versió d’escriptori de Firefox com a la versió per a dispositius Android, i inclouen diversos errors de seguretat crítics, des de possibles fugides de sandbox fins a problemes de seguretat a la memòria.

Anàlisi

Les vulnerabilitats tenen un impacte variat, des de alt fins a baix, i poden ser explotades per atacants per executar codi arbitrari, enganyar els usuaris o realitzar atacs de clickjacking. Aquest document analitza les principals vulnerabilitats (CVE) reportades, els recursos afectats i les solucions disponibles.

    • CVE-2025-1930: AudioIPC StreamData – Ús després de lliberar memòria
      En sistemes Windows, un procés de contingut compromès podria utilitzar dades corruptes enviades a través d’AudioIPC per desencadenar un ús després de lliberar memòria en el procés del navegador. Aquest error podria haver permès una fuga de sandbox, la qual cosa hauria permès a un atacant executar codi fora de les restriccions del navegador. Per mitigar aquest problema, es recomana actualitzar a Firefox 136.
    • CVE-2025-1939: Tapjacking a les pestanyes personalitzades d’Android
      En la versió de Firefox per a Android, es va identificar una vulnerabilitat en l’ús d’animacions de transició en les pestanyes personalitzades. Aquest problema podria ser aprofitat per un atacant per enganyar l’usuari i fer-li atorgar permisos sensibles sense saber-ho, ocultant el que realment estava fent. Aquesta vulnerabilitat afecta la funcionalitat de les pestanyes personalitzades en Android i es soluciona amb l’actualització a Firefox 136.
    • CVE-2025-1931: Ús després de lliberar memòria en WebTransportChild
      Es va descobrir un error d’ús després de lliberar memòria en la part del procés de contingut d’una connexió WebTransport. Aquest problema podria portar a una caiguda explotable del navegador, permetent a un atacant executar codi maliciós o causar una interrupció del servei. L’error ha estat corregit en la versió Firefox 136, per la qual cosa és fonamental actualitzar.
    • CVE-2025-1932: Accés fora de límits a causa d’un comparador inconsistent en XSLT
      Un comparador inconsistent en el motor de XSLT podria haver permès l’accés fora de límits, cosa que podria haver estat explotada per un atacant per corrompre la memòria o realitzar altres accions malicioses. Aquest error afecta les versions de Firefox 122 i posteriors i ha estat solucionat en Firefox 136.
    • CVE-2025-1933: Corrupció de JIT en els valors de retorn de WASM i32 en CPU de 64 bits
      En sistemes de 64 bits, el compilador JIT podria haver utilitzat valors de memòria no inicialitzats en compilar els valors de retorn de WASM i32. Aquest problema podria haver conduït a la corrupció de memòria i a un comportament inesperat del navegador, cosa que podria haver estat aprofitada per executar codi maliciós. Aquest error ha estat solucionat en Firefox 136.
    • CVE-2025-1940: Tapjacking en Android Intent utilitzant opcions de selecció
      Un atacant podria haver aprofitat un error en el maneig de les opcions de selecció en Firefox per a Android per enganyar l’usuari i fer-li executar una aplicació externa inesperadament. Aquest tipus de tapjacking afecta la versió mòbil de Firefox i ha estat corregit en l’última actualització (Firefox 136).
    • CVE-2024-9956: Phishing de Passkey en el rang de Bluetooth
      A través de Firefox per a Android, un atacant dins del rang de Bluetooth podria haver utilitzat enllaços FIDO: per intentar enganyar l’usuari i fer-li utilitzar la seva passkey per iniciar sessió en el dispositiu de l’atacant. Això hauria permès que l’atacant s’autenticara en comptes alienes utilitzant la passkey de l’usuari. Aquest problema ha estat solucionat en Firefox 136.
    • CVE-2025-1941: Bypass de la configuració de la pantalla de bloqueig en Firefox Focus per a Android
      Baixes certes circumstàncies, un error podria haver permès que un usuari evitara la configuració d’autenticació prèvia en Firefox Focus per a Android. Aquest error podria haver permès a un atacant eludir l’opció de seguretat de requerir autenticació abans d’utilitzar l’aplicació. La vulnerabilitat ha estat corregida en Firefox 136.
    • CVE-2025-1935: Clickjacking en la barra d’informació de registerProtocolHandler
      Un lloc web podria haver utilitzat un atac de clickjacking per enganyar l’usuari i fer que es configurara una pàgina web com el gestor predeterminat d’un protocol URL personalitzat. Aquest error té un impacte baix i ha estat solucionat en Firefox 136.
    • CVE-2025-1936: Modificació en la interpretació de contingut d’un fitxer JAR
      A través d’una URL jar:, un atacant podria haver aprofitat un error en la interpretació del contingut dels fitxers JAR, afegint un %00 i una extensió falsa, cosa que podria haver permès amagar codi maliciós dins d’una extensió web. Aquest problema ha estat solucionat en Firefox 136.

Recursos afectats

    • Versions de Firefox anteriors a la 136

És important tenir en compte que aquestes vulnerabilitats afecten tant a Firefox en sistemes operatius Windows i Android, com a Firefox Focus en dispositius Android.

Recomanacions

La solució principal per a totes aquestes vulnerabilitats és l’actualització a Firefox 136, que aborda i corregeix els fallos de seguretat esmentats. Els usuaris han de assegurar-se de realitzar l’actualització per mitigar els riscos associats amb cadascuna de les CVE descrites

Referències

https://www.mozilla.org/en-US/security/advisories/mfsa2025-14/

https://www.hkcert.org/security-bulletin/mozilla-products-multiple-vulnerabilities_20250305

Posted on

Actualització de seguretat d’Android de març 2025

Google ha abordat un total de 43 vulnerabilitats, de les quals dos s’estan explotant activament. Estes vulnerabilitats afecten la seguretat dels dispositius Android, i una és particularment greu, amb una puntuació CVSS de 7.8, la qual cosa indica un nivell de risc elevat. L’actualització de seguretat de març inclou pedaços per a solucionar problemes de diverses severitats, incloent-hi alguns que podrien permetre l’execució remota de codi, la qual cosa posa en perill la privacitat i la seguretat dels usuaris.

Anàlisi

    • CVE-2024-43093: esta vulnerabilitat es classifica com una escalada de privilegis en el marc d’Android. Permet als atacants obtindre un augment local de privilegis sense la necessitat de tindre privilegis addicionals, encara que requerix la interacció de l’usuari per a explotar-ho. Esta fallada té una puntuació CVSS de 7.8, la qual cosa la convertix en una de les més greus dins de les vulnerabilitats activament explotades.
    • CVE-2024-50302: encara que Google menciona esta vulnerabilitat, juntament amb l’anterior, com una de les explotades activament, no es proporcionen detalls extensius sobre la seua naturalesa. No obstant això, es destaca que també és objecte d’explotació limitada i dirigida.

Recursos afectats

Les vulnerabilitats afecten principalment el sistema Android i els components clau que formen la seua infraestructura, com ara:

    • Android Framework: diverses vulnerabilitats que afecten el marc de treball d’Android, amb un total de 9 fallades d’alta severitat i 10 de severitat crítica.
    • Nucli d’Android: tres fallades d’alta severitat que afecten el nucli del sistema operatiu.
    • Components de MediaTek i Qualcomm: vulnerabilitats que afecten els components d’estos dos fabricants importants, que sumen un total de 8 fallades d’alta severitat.

Recomanacions

    • Actualització immediata dels dispositius: es recomana als usuaris de dispositius Android, especialment aquells amb dispositius Pixel, que instal·len les actualitzacions de seguretat més recents tan prompte com estiguen disponibles. Els usuaris han d’estar atents a les actualitzacions emeses pels fabricants dels seus dispositius, ja que alguns pedaços poden tardar més temps a ser implementats.
    • Revisió de pedaços en el codi font: Google ha publicat els pedaços corresponents en el repositori del Projecte de codi obert d’Android, la qual cosa permet als fabricants de dispositius i desenrotlladors aplicar solucions a les vulnerabilitats.

Referèncias

https://cyberscoop.com/android-security-update-march-2025/

https://nvd.nist.gov/vuln/detail/CVE-2024-43093

https://nvd.nist.gov/vuln/detail/CVE-2024-50302

https://source.android.com/docs/security/bulletin/2025-03-01?hl=es-419

Posted on

Google reemplaçarà l’autenticació per SMS amb codis QR per a més seguretat

Google eliminarà l’autenticació multifactor (MFA) basada en codis SMS en Gmail, segons ha informat Forbes. Esta mesura respon als creixents atacs cibernètics que exploten esta tecnologia per a comprometre els comptes. Google no ha especificat la data exacta de la transició a este nou sistema, però ha instat els usuaris a estar atents a futures actualitzacions.

Un portaveu de l’empresa va explicar que esta decisió forma part de la seua estratègia per a abandonar l’ús de contrasenyes en favor de mètodes més segurs, com les claus d’accés. Així mateix, va destacar que els delinqüents han utilitzat diverses tàctiques, com l’enginyeria social i l’intercanvi de SIM, per a interceptar els codis d’accés enviats per SMS, la qual cosa ha portat Google a buscar alternatives més segures.

Els codis SMS, encara que útils, tenen vulnerabilitats que els ciberdelinqüents han sabut aprofitar. Un dels mètodes més comuns és l’engany als usuaris perquè revelen els seus codis d’un sol ús (OTP) a través d’estafes. Un altre és l’atac d’intercanvi de SIM, en el qual els atacants aconseguixen prendre el control del número de telèfon de la víctima i els permet rebre els missatges de verificació. A més, hi ha “bombament de trànsit”, en què els atacants manipulen els proveïdors de servicis per a generar OTP cap a línies prèmium sota el seu control i obtindre beneficis econòmics.

El paper dels codis QR en l’autenticació

En el seu lloc, Google implementarà un sistema basat en codis QR, que permetrà als usuaris escanejar la imatge amb el dispositiu mòbil per a completar la verificació. Este canvi dificultarà que els atacants enganyen les víctimes, ja que compartir un codi QR és més complicat que compartir un codi numèric. També eliminarà la dependència dels proveïdors de xarxa i reduirà el risc d’atacs d’intercanvi de SIM.

No obstant això, els codis QR no estan exempts de riscos. Experts en ciberseguretat han advertit sobre el qishing, una tècnica en la qual els ciberdelinqüents envien codis QR fraudulents que redirigixen a llocs maliciosos. En campanyes recents, investigadors de Trend Micro van detectar atacs en els quals els estafadors enviaven codis QR falsos i es feien passar per mètodes legítims d’autenticació.

Referència: