8 de junio de 2026

El gusano Miasma compromete 73 repositorios de Microsoft en GitHub y fuerza su desactivación

La campaña Miasma ha comprometido 73 repositorios públicos de Microsoft en GitHub, que la plataforma terminó deshabilitando. El ataque no se apoyó en un fallo de GitHub o npm, sino en credenciales reales y en ficheros de configuración capaces de ejecutar código al abrir el proyecto en herramientas como VS Code y varios asistentes de programación con IA.

Entry image

La campaña Miasma ha sacudido el ecosistema de desarrollo de Microsoft tras comprometer 73 repositorios públicos alojados en GitHub. La plataforma los deshabilitó en bloque y el incidente se extendió por varias organizaciones, entre ellas Azure, Azure Samples, Microsoft y MicrosoftDocs, con un efecto colateral especialmente incómodo: la interrupción de flujos de trabajo que dependían de Azure/functions-action, una GitHub Action oficial utilizada para desplegar Azure Functions.

El punto de partida se localizó en un commit malicioso dentro de Azure/durabletask. Los atacantes lograron introducirlo mediante una cuenta de colaborador comprometida, un detalle clave porque desplaza el foco desde las vulnerabilidades tradicionales hacia algo más difícil de frenar: la confianza depositada en el modelo de mantenimiento y en las credenciales válidas. El cambio buscó pasar desapercibido. Incluyó la marca skip ci, un sello temporal retrodatado y evitó tocar ficheros de código fuente para no levantar sospechas inmediatas.

El mecanismo de ejecución también resulta revelador. En vez de inyectar backdoors en librerías, el ataque añadió ficheros de configuración pensados para disparar auto-ejecución al abrir el repositorio en herramientas de desarrollo. Ahí entran desde Visual Studio Code, mediante tareas que se activan al abrir una carpeta, hasta agentes y entornos populares como Claude Code y Gemini CLI, con hooks de SessionStart, o Cursor, donde se observaron reglas y técnicas de prompt injection orientadas a activar comportamiento no deseado.

La carga maliciosa residía en un script JavaScript ubicado como .github/setup.js. Aparecía ofuscado y con un tamaño de varios megabytes, un patrón compatible con intentos de dificultar el análisis, y apuntaba al robo de credenciales. En paralelo, el caso mostró conexiones con la recomprometida del paquete durabletask en PyPI, que semanas antes ya se había usado para distribuir un ladrón de información en sistemas Linux, lo que refuerza la lectura de una campaña persistente centrada en cadena de suministro.

Para equipos de seguridad y desarrollo, las prioridades se parecen más a una respuesta a incidente clásica que a una simple revisión de dependencias. La recomendación pasa por tratar como potencialmente comprometido cualquier equipo que haya abierto repositorios afectados en VS Code, Claude Code, Cursor o Gemini CLI, y rotar cuanto antes credenciales accesibles desde ese entorno: tokens de GitHub, credenciales de Azure, AWS y GCP, claves SSH, secretos de Kubernetes, tokens de npm y credenciales guardadas en ficheros de configuración.

Conviene también auditar repositorios propios en busca de rutas y artefactos típicos de esta intrusión, como .claude/, .gemini/, .cursor/, .vscode/tasks.json y .github/setup.js. En red, se han señalado indicadores vinculados a la infraestructura de la campaña, incluidos los dominios check.git-service[.]com y t.m-kosche[.]com, útiles para búsquedas en logs y posibles bloqueos.

En el plano operativo, el incidente vuelve a poner el foco en una práctica que muchos equipos todavía dejan para más adelante: fijar GitHub Actions a un SHA de commit en vez de depender de etiquetas mutables como v1. Y, si un pipeline depende de Azure/functions-action@v1, se recomienda migrar temporalmente a alternativas como Azure CLI o Azure DevOps Pipelines. A partir de ahí, protecciones de rama, revisiones obligatorias por pull request y controles sobre el tráfico saliente desde runners de CI/CD completan el cinturón de seguridad frente a un gusano que no necesitó explotar un bug para colarse, le bastó con parecer legítimo.

Más información

La entrada El gusano Miasma compromete 73 repositorios de Microsoft en GitHub y fuerza su desactivación se publicó primero en Una Al Día.


☞ El artículo completo original de Hispasec lo puedes ver aquí
Publicado a las 12:10 p.m. 0 comments

Browser Coalition Sends Open Letter to Microsoft CEO Demanding End to Edge Promotion Tactics in Windows

The Browser Choice Alliance, a group of web browser developers, has sent an open letter to Microsoft CEO Satya Nadella, accusing the company of abusing its dominant position in the PC market to promote Edge.

The letter calls on Microsoft to change its approach to browser competition and to adopt policies that give users more choice.

In 2024, the BCA already petitioned the European Commission regarding Microsoft's browser practices. This latest letter marks a more direct challenge to Microsoft's leadership.

What Microsoft Is Accused Of and What the Browser Choice Alliance Is Demanding

The BCA's letter points out several specific tactics it claims Microsoft uses to distort competition among browsers:

"Rebate programs that discourage PC manufacturers from pre-installing rival browsers on Windows devices, the inability to completely uninstall Edge from Windows, system updates that bring back Edge integration within the OS, intrusive and confusing prompts and ads when users try to download third-party browsers, and deep Edge integration within apps like Teams, Outlook, and Windows Search."

The letter also highlights the lack of a simple one-click option to fully replace Edge with an alternative browser. The coalition stated that

"Microsoft's actions make it unnecessarily difficult and, in many cases, impossible for PC users to choose and use their preferred browser across all touchpoints."

The coalition has urged Microsoft to allow third-party browsers to be pre-installed on Windows devices, remove dark patterns that discourage users from downloading or switching browsers, and enable the complete removal of Edge from Windows integration.

They emphasize that competition should be based on the quality of the browsers rather than the leverage of the operating system.

Browser Competition, Regulation, and What Happens Next

The BCA argues that PCs remain a key way to access the web and that their importance is growing with generative AI and web-based services.

It claims that Microsoft's tactics are harming competition and innovation in the browser market and are drawing regulatory attention outside the United States.

This letter comes at a time when browser competition faces regulatory pressure from various sources. The BCA's members include Google Chrome, which was recently classified as a de facto monopoly in web search and advertising by a US court.

The EU's Digital Markets Act has also required Apple and Google to include browser choice screens, and Mozilla reports that these screens have led to a six million user increase.

Microsoft has not publicly responded to the open letter. The BCA has not said whether it plans to file regulatory complaints if Microsoft does not address its concerns.

Thank you for being a Ghacks reader. The post Browser Coalition Sends Open Letter to Microsoft CEO Demanding End to Edge Promotion Tactics in Windows appeared first on gHacks.


☞ El artículo completo original de Arthur Kay lo puedes ver aquí
Publicado a las 10:45 a.m. 0 comments

El gusano Miasma golpea 73 repositorios de Microsoft en GitHub: malware autoexpandible que detona al abrir el código en Claude Code o Cursor

El gusano Miasma golpea 73 repositorios de Microsoft en GitHub: malware autoexpandible que detona al abrir el código en Claude Code o Cursor

Un gusano de cadena de suministro llamado Miasma ha comprometido 73 repositorios de GitHub pertenecientes a cuatro organizaciones de Microsoft —Azure, Azure-Samples, Microsoft y MicrosoftDocs— en el ataque de supply chain más significativo del año. Lo reporta hoy TheNextWeb con análisis técnico detallado de StepSecurity. GitHub desactivó los repositorios afectados en 105 segundos tras detectar la amenaza.

El detalle que hace este ataque diferente a los anteriores: el malware no se activa cuando instalas un paquete npm. Se activa cuando un desarrollador abre un repositorio en un agente de codificación de IA como Claude Code, Gemini CLI, Cursor o VS Code. Es el primer ataque documentado a escala que usa los propios agentes de IA como vector de ejecución.

¿Cómo funciona Miasma técnicamente?

Miasma es una variante del gusano Mini Shai-Hulud, publicado por el grupo TeamPCP en BreachForums en mayo de 2026. Su cadena de ataque es de tres pasos.

Primero, el atacante compromete credenciales de GitHub de un desarrollador con acceso a los repositorios objetivo (en este caso usó credenciales de un empleado de Red Hat detectadas en logs de infostealers desde abril de 2026). Segundo, hace un commit malicioso titulado chore: update dependencies [skip ci] —inofensivo en apariencia— que introduce un payload runner de 4,3 MB en el repositorio. Tercero, el payload está configurado para ejecutarse automáticamente cuando el desarrollador abre el proyecto en cinco herramientas específicas: Claude Code, Gemini CLI, Cursor, VS Code y el script de pruebas de npm.

Una vez ejecutado, el gusano es una cosechadora de credenciales multi-cloud: extrae tokens de AWS, Azure, GCP, Kubernetes, npm y GitHub, y los sube a repositorios públicos creados al vuelo en GitHub. Con esas credenciales robadas, el gusano se propaga: hace nuevos commits maliciosos en todos los repositorios a los que tiene acceso de escritura el desarrollador comprometido.

Entre los repositorios afectados están proyectos de infraestructura crítica de Azure: azure-search-openai-demo, durabletask y sus implementaciones en .NET, Go, JS y MSSQL, functions-container-action y windows-driver-docs.

La táctica «Phantom Gyp»: evadir los escáneres de seguridad

La sofisticación técnica de Miasma está en cómo esquiva las herramientas de seguridad. Los escáneres de paquetes npm típicamente monitorizan los scripts de ciclo de vida (preinstall, postinstall). Miasma no los usa. En su lugar, abusa de un archivo binding.gyp de 157 bytes para disparar la ejecución de código durante la instalación, un vector que la mayoría de herramientas de seguridad no monitoriza de la misma forma. StepSecurity lo ha bautizado como «Phantom Gyp».

Esta campaña es la tercera de Miasma en una semana. El 1 de junio comprometió 32 paquetes bajo el namespace @redhat-cloud-services en npm. El 3 de junio golpeó el repositorio mantine-datatable (1.225 estrellas en GitHub) y cuatro repositorios relacionados. El 5 de junio llegó a los repositorios de Azure de Microsoft.

¿Qué deben hacer los desarrolladores?

Si clonaste o actualizaste alguno de los 73 repositorios afectados en los últimos días y los abriste en Claude Code, Cursor o VS Code, asume que tus credenciales pueden estar comprometidas. Las acciones inmediatas: rotar tokens de AWS, Azure, GCP, npm y GitHub; revisar el historial de commits en repositorios sobre los que tienes acceso de escritura; y buscar repositorios creados recientemente en GitHub con el nombre «Miasma: The Spreading Blight» que podrían contener tus credenciales exfiltradas.

StepSecurity ha publicado una base de datos de todas las versiones de paquetes comprometidas en esta campaña que puede integrarse en pipelines CI/CD para bloquear automáticamente merges que introduzcan alguno de esos paquetes.

El ataque es también una advertencia directa sobre la superficie de ataque que crean los agentes de IA para desarrolladores. Cualquier herramienta que ejecuta código automáticamente al abrir un proyecto —que es exactamente lo que hacen Claude Code, Cursor y Gemini CLI para ofrecer su funcionalidad— es un vector de ejecución potencial si el código del repositorio ha sido manipulado.

Mi valoración

Lo que más me convence es la contención de GitHub: 105 segundos desde la detección hasta la desactivación es una respuesta de clase mundial. El daño potencial de 73 repositorios de Azure con cientos de miles de usuarios downstream habría sido enorme si la contención hubiera tardado horas.

Lo que más me preocupa es el vector de los agentes de IA. Los agentes de codificación funcionan precisamente porque tienen permisos amplios para leer, escribir y ejecutar código en el entorno del desarrollador. Esa confianza implícita es el mismo mecanismo que Miasma explota. A medida que Claude Code, Cursor y sus competidores se vuelven herramientas de trabajo estándar para millones de desarrolladores, la superficie de ataque en este vector va a crecer exponencialmente.

Lo más estructuralmente significativo es que la cadena de ataque empieza meses antes del ataque visible: las credenciales de Red Hat comprometidas se detectaron en logs de infostealers en abril, siete semanas antes del ataque en Microsoft. Ese gap entre la exposición de credenciales y el uso ofensivo es tiempo que los equipos de seguridad tienen para actuar, si monitorizan los canales correctos. La pregunta a 12 meses es si los proveedores de agentes de IA como Anthropic, Google y Cursor implementan controles de verificación de integridad de repositorios antes de ejecutar cualquier código automático. Mi predicción: veremos al menos dos de ellos anunciar alguna forma de verificación de firma de commits en los próximos seis meses.

Preguntas frecuentes

¿Cómo sé si mi entorno ha sido comprometido?

Revisa tu historial de actividad en GitHub (Settings → Security Log) en busca de repositorios creados con nombres como «Miasma – The Spreading Blight», «nemean-hydra-XXXXX» o «Hades – The End for the Damned». También revisa los logs de acceso de AWS CloudTrail, Azure Monitor y GCP Cloud Audit Logs en busca de actividad de credenciales inusual en los últimos 7 días.

¿Afecta Miasma solo a desarrolladores con acceso de escritura a repos de Microsoft?

No. La propagación funciona con cualquier repositorio sobre el que el desarrollador comprometido tenga acceso de escritura. El ataque a Microsoft fue el más visible por el tamaño y el impacto potencial downstream, pero Miasma se ha propagado a docenas de repositorios independientes de proyectos open source.

¿Es seguro usar Claude Code o Cursor ahora mismo?

Los agentes de codificación en sí no están comprometidos. El riesgo es abrir un repositorio comprometido en esas herramientas. El consejo de seguridad es verificar la integridad de los commits recientes de cualquier repositorio externo antes de abrirlo en un agente de IA, especialmente si proviene de una fuente con la que no trabajas regularmente.


☞ El artículo completo original de Natalia Polo lo puedes ver aquí
Publicado a las 10:45 a.m. 0 comments

Los Júpiter calientes se están evaporando, sus vientos alcanzan los 7 km/s y aun así algo los está frenando

Los Júpiter calientes se están evaporando, sus vientos alcanzan los 7 km/s y aun así algo los está frenando

Los Júpiter calientes son planetas fascinantes. Orbitan tan cerca de su estrella que en algunas ocasiones tienen órbitas de menos de un día. La radiación solar es altísima, tanto que a veces estos planetas están prácticamente evaporándose. Y por lo general están bloqueados por marea. Es decir, tienen una cara mirando siempre hacia el Sol y otra continuamente en el lado opuesto. Como resultado, un lado está muchísimo más caliente que el otro y recibe más radiación, de manera que los gases de su atmósfera se ionizan, transformándose en plasma y moviéndose a grandes velocidades. Dicho muy resumidamente, tienen los mayores vientos de todos los planetas conocidos. 

Sin embargo, recientemente un equipo de científicos liderado desde el Observatorio de la Costa Azul, en Francia, ha descubierto algo muy raro. Siete Júpiter calientes en los que los vientos fluyen mucho más despacio de lo esperado. La única explicación que parece lógica para este fenómeno es que estén rodeados de un campo magnético. Y es una gran noticia, ya que, de confirmarse, sería la primera detección de actividad magnética más allá de nuestro sistema solar. 

Totalmente contraintuitivo. La velocidad de los vientos de un planeta se puede medir rastreando el hierro vaporizado presente en los gases de su atmósfera. Los autores del estudio que se acaba de publicar lo hicieron con 7 Júpiter calientes gracias a dos instrumentos: el MAROON-X, del telescopio Gemini North, y el ESPRESSO, del Very Large Telescope (VLT). Al analizar los resultados vieron que estos planetas tenían velocidades altísimas, situadas entre los 2 y los 7 kilómetros por segundo. Los vientos de nuestro propio Júpiter, los más rápidos del sistema solar, son de 0,4 km/s, para que nos hagamos una idea. Lo que ocurre es que estos vientos iban más despacio cuanto más caliente estaba el planeta. 

Una de las autoras del estudio, Vivien Parmentier, lo ha calificado como algo “totalmente contraintuitivo”, ya que lo lógico es que, a más temperatura, más rápido fluya el viento. La clave debe estar en la presencia de campo magnético. De hecho, con todos estos datos de temperatura y velocidad, han podido incluso calcular la intensidad del mismo.

La cosa va de temperaturas. Generalmente, cuanto mayor es la temperatura, mayor es la diferencia entre la cara oscura y la iluminada del planeta y más excitados están los iones del plasma, de modo que, en general, el viento se mueve más deprisa. Lo lógico y esperable sería que, cuanto mayor es la temperatura de un Júpiter caliente, más rápido sea su viento. Las velocidades son altísimas, pero mucho más lentas de lo esperado. Además, son más lentas cuanto más caliente está el planeta. La mejor explicación para este suceso es la presencia de un campo magnético.

Actividad magnética y viento. Cuando un campo magnético actúa sobre una partícula cargada en movimiento, esta se ve afectada por algo conocido como Fuerza de Lorentz. Muy resumidamente, lo que ocurre es que la velocidad cambia de dirección. La partícula no se detiene, pero pasa de fluir libremente a quedarse confinada dentro del campo magnético. Cada vez que se topa con sus líneas, estas le hacen cambiar de dirección. Si vemos esto en conjunto para todo el plasma, al no poder moverse libremente, su velocidad disminuye. Esto explicaría que un campo magnético estuviese frenando el viento. ¿Pero por qué frena más cuanto mayor es la temperatura?

Aurora Auroras en la Tierra

El secreto está en el interior. El campo magnético de un planeta está directamente relacionado con el movimiento de los metales líquidos de su interior. Por ejemplo, en el caso de la Tierra, el movimiento del hierro y el níquel fundidos de la parte externa de su núcleo  genera corrientes eléctricas, que dan lugar a un campo geomagnético que se extiende hacia el espacio. Son las responsables de que tengamos ese campo magnético que nos protege de las inclemencias solares. 

Cuanto mayor es la temperatura de un planeta, más violentamente se mueven los metales fundidos de su interior y, por lo tanto, dentro de unos límites, más intenso será el campo magnético. A su vez, cuanto más intenso sea este, más frenará los vientos.

Posibles auroras. La ubicación de las auroras en la Tierra tiene relación con el campo magnético. Otra de las autoras del estudio, Bibiana Prinoth, señala que le gusta imaginar que alguno de estos Júpiter tenga un cielo “cubierto por cortinas de luz colorida que bailan sobre un planeta que está mitad en día perpetuo y mitad en noche interminable”. 

Para qué sirve. Ahora que sabemos que algunos exoplanetas tienen campo magnético podríamos tenerlo en cuenta también a la hora de seleccionar planetas habitables. Lógicamente, los Júpiter calientes no son para nada candidatos. Sin embargo, puede que otros planetas menos inhóspitos también tengan ese escudo protector. 

Ya sabemos que no basta solo con estar en la zona de habitabilidad. Otras cualidades, como albergar una cantidad suficiente de agua o estar lejos de agujeros negros supermasivos son condiciones que nos pueden ayudar a afinar mucho mejor la búsqueda. Cada nuevo hallazgo nos acerca un poco más a ese gran descubrimiento. 

Imagen |  Observatorio Internacional de Géminis/NOIRLab/NSF/AURA/M. Garlick | Magnific

En Xataka | La hipótesis del zoológico: por qué es probable que los extraterrestres sepan de nosotros y no quieran contactarnos


-
La noticia Los Júpiter calientes se están evaporando, sus vientos alcanzan los 7 km/s y aun así algo los está frenando fue publicada originalmente en Xataka por Azucena Martín .


☞ El artículo completo original de Azucena Martín lo puedes ver aquí
Publicado a las 10:40 a.m. 0 comments

El ser humano es el primate que menos duerme. La ciencia tiene claro que es un "experimento evolutivo radical"

El ser humano es el primate que menos duerme. La ciencia tiene claro que es un "experimento evolutivo radical"

Pasamos un tercio de nuestra vida durmiendo, y aun así, la queja más habitual en la sociedad moderna es la falta de descanso. Acostumbramos a culpar a las pantallas, al estrés laboral y a la luz artificial de robarnos horas de sueño, pero aquí la antropología evolutiva tiene una respuesta mucho más contundente: el ser humano está genéticamente diseñado para dormir menos que cualquier otro pariente evolutivo.

Está estudiado. No es algo que vemos desde la lejanía como una mera hipótesis, sino que el investigador David R. Samson, profesor de Antropología Evolutiva, publicó recientemente un libro que recoge el resultado de su investigación. Y la verdad es que, tras convivir con tribus de cazadores-recolectores como los Hadza en Tanzania y los BaYaka en el Congo, su conclusión es rotunda: los humanos somos una absoluta anomalía biológica.

Somos el gran madrugador. Si sacamos la calculadora y el metro, un primate más o menos de nuestra misma masa corporal media, tamaño de cerebro y dieta debería dormir alrededor de 9,5 horas diarias. Pero esta cifra está limitada a unas personas bastante selectas, puesto que en realidad dormimos en torno a 2,5 horas menos de lo que predice nuestra biología evolutiva, por lo que somos los primates que menos duermen de todos. 

Esta es una conclusión bastante clara si nos comparamos con otras especies que tienen tasas de sueño muy elevadas, como se puede ver en el siguiente listado: 

  • Chimpancé: entre 9,5-11,5 horas diarias. 
  • Gorila: 10-12 horas. 
  • Macaco cola de cerdo: 14 horas. 
  • Mono nocturno: 17 horas. 

¿Por qué? ¿Cómo es posible que con el cerebro más complejo y demandante energéticamente del reino animal durmamos tan poco? La respuesta parece radicar en la hipótesis del "sueño intenso", que apunta a que la evolución nos obligó a tener un sueño mucho más profundo y eficiente para dormir mucho menos que el resto de los homínidos. 

Por ejemplo, los humanos pasamos aproximadamente un 25% de nuestro tiempo de descanso en la fase REM, lo que contrasta con especies como los monos verdes africanos, que apenas dedican un 5% a esta fase. Pero además, el sueño humano tiene una menor proporción de sueño ligero, ya que a cambio, presenta una mayor proporción de sueño profundo.

Una necesidad. Tener un descanso mucho más corto no fue un capricho nuestro, sino que fue una cuestión de supervivencia, puesto que al abandonar la seguridad de los árboles, donde nuestros ancestros dormían a salvo, y descender a tierra firme, el riesgo de depredación se disparó. 

En torno a un sueño más corto, la evolución impulsó varios mecanismos para garantizar nuestra supervivencia, como por ejemplo dormir junto al fuego y en grupos grandes para tener más seguridad. Pero en 2017 un estudio demostró que la variación natural de cronotipo permitía que siempre hubiera alguien despierto montando guardia durante la noche. 

No culpes a las pantallas. Es tentador pensar que dormimos unas 7 horas porque la luz eléctrica y los smartphones nos han alterado en esta vida moderna. Pero esto no es así, porque tras analizar el sueño de los Hadza, que es una comunidad de cazadores de Tanzania sin acceso a la electricidad ni móviles, se demostró que sus patrones son idénticos a los nuestros al dormir 6,25 horas por la noche y mantener una eficiencia de sueño del 68,9%. 

Imágenes | MediaEcke 

En Xataka | Nos han vendido la melatonina como el suplemento inofensivo definitivo para dormir. La ciencia no opina lo mismo

-
La noticia El ser humano es el primate que menos duerme. La ciencia tiene claro que es un "experimento evolutivo radical" fue publicada originalmente en Xataka por José A. Lizana .


☞ El artículo completo original de José A. Lizana lo puedes ver aquí
Publicado a las 10:40 a.m. 0 comments
Suscribirse a: Entradas (Atom)