Descubierto malware peligroso que compromete servidores Linux y roba datos

Notícias Portuguesas » Descubierto malware peligroso que compromete servidores Linux y roba datos
Notícias de Ciência Notícias de Portugal
por
Junho 1, 2026 1
Preview Descubierto malware peligroso que compromete servidores Linux y roba datos

Una nueva amenaza de malware ha estado activa durante semanas, afectando a miles de servidores Linux. El ataque, que ha alcanzado una escala preocupante, ha conseguido infiltrarse en paquetes de software de Red Hat utilizados por desarrolladores a nivel mundial. Se recomienda a cualquier equipo que utilice estas herramientas actuar de inmediato.

La firma de seguridad Aikido confirmó que más de 30 paquetes oficiales de Red Hat Cloud Services, división de Red Hat enfocada en herramientas para desarrolladores, fueron comprometidos con un malware diseñado para el robo de credenciales. Se estima que 96 versiones de 32 paquetes distintos fueron infectadas, con un total de descargas semanales cercanas a las 117.000.

A diferencia de otros ataques que emplean paquetes falsos, los atacantes lograron comprometer la cuenta de GitHub de un empleado de Red Hat. Desde allí, inyectaron código malicioso directamente en los repositorios legítimos, lo que significa que las versiones descargadas parecían oficiales pero contenían una amenaza oculta.

Los investigadores de seguridad detallaron que el malware se activa en el momento de la instalación del paquete. Un fragmento de código se ejecuta automáticamente, descargando y lanzando un payload de 4,2 MB diseñado para evadir los sistemas de seguridad convencionales.

Modo de operación del malware

Una vez activo, el malware busca y recopila prácticamente cualquier credencial disponible en el sistema. Esto incluye claves de acceso a servicios en la nube como AWS, Azure o Google Cloud, tokens de GitHub, claves SSH privadas, contraseñas almacenadas en archivos de configuración, y más, quedando expuestos a los atacantes.

La información recopilada es enviada a repositorios públicos de GitHub creados por los atacantes. Para disimular el tráfico de datos en los registros de red, las conexiones se simulan como si se dirigieran a api.anthropic.com, un dominio legítimo de Anthropic, con el fin de no levantar sospechas.

Además, el malware instala servicios persistentes en el sistema operativo que permanecen activos tras su ejecución. También inyecta código en herramientas de desarrollo comunes como Visual Studio Code, GitHub Copilot e incluso Claude. Sin embargo, existe una acción aún más peligrosa.

Si un usuario intenta revocar sus credenciales de GitHub antes de eliminar el malware del sistema, este puede borrar el directorio de inicio del usuario. Por esta razón, los investigadores de seguridad recomiendan eliminar por completo los archivos infectados antes de cambiar contraseñas o revocar tokens. Posteriormente, es aconsejable regenerar todas las credenciales expuestas y verificar la creación de repositorios no autorizados en las cuentas afectadas.

Según CyberSecurityNews, la mayoría de las versiones maliciosas ya han sido retiradas del repositorio oficial de Red Hat Cloud Services. Este incidente pone de manifiesto la vulnerabilidad de la cadena de suministro de software cuando un único punto de acceso es comprometido. Red Hat cuenta con una amplia base de clientes a nivel mundial, incluyendo empresas de la talla de Apple, Microsoft, Amazon, IBM y Salesforce.

Traducción al portugués

Malware perigoso descoberto rouba dados em milhares de servidores Linux

Um novo malware tem atacado servidores Linux nas últimas semanas, e acaba de dar um golpe muito sério. Os hackers conseguiram infiltrar-se em pacotes de software da Red Hat usados por milhares de desenvolvedores em todo o mundo. A escala do ataque é suficientemente grande para que qualquer equipa que trabalhe com estas ferramentas deva agir imediatamente.

A firma de segurança Aikido confirmou que mais de 30 pacotes oficiais da Red Hat Cloud Services, uma divisão da Red Hat que oferece ferramentas de software para desenvolvedores, foram comprometidos com um malware projetado para roubar credenciais. De acordo com o relatório, 96 versões de 32 pacotes distintos ficaram infetadas, com um número acumulado de downloads que ronda as 117.000 por semana.

Ao contrário de outros ataques com pacotes falsos, os atacantes conseguiram comprometer a conta do GitHub de um funcionário da Red Hat e, a partir daí, injetaram código malicioso nos repositórios legítimos. Isso significa que aqueles que descarregavam estes pacotes recebiam versões oficiais, mas com uma armadilha dentro.

Os investigadores de segurança detalharam que o malware é ativado no momento em que se instala o pacote. Existe um fragmento de código que é executado automaticamente antes que qualquer outra coisa aconteça, e nesse momento descarrega e lança um payload de 4,2 MB projetado para passar despercebido pelos sistemas de segurança habituais.

Como o novo malware da Red Hat rouba os seus dados

Uma vez ativo, o malware começa a procurar e recolher praticamente qualquer credencial que encontre no sistema. As suas chaves de acesso a serviços na nuvem como AWS, Azure ou Google Cloud, tokens do GitHub, chaves SSH privadas, senhas armazenadas em arquivos de configuração e muito mais ficarão à mercê dos atacantes.

Quando o malware recolhe toda essa informação, envia-a para repositórios públicos do GitHub criados pelos próprios atacantes. Para camuflar esse tráfego de dados nos registos de rede, as conexões simulam dirigir-se para api.anthropic.com, um domínio legítimo da Anthropic que é usado para não levantar suspeitas.

Além disso, o pacote instala serviços persistentes no sistema operativo que se mantêm ativos depois de o malware terminar a sua tarefa. Também injeta código em ferramentas de desenvolvimento habituais como Visual Studio Code, GitHub Copilot ou até mesmo Claude, embora exista algo ainda mais perigoso.

Se alguém tentar revogar as suas credenciais do GitHub antes de eliminar o malware do sistema, este pode apagar o diretório home do utilizador. É por isso que os investigadores em segurança recomendam eliminar completamente os arquivos infetados antes de mudar senhas ou revogar tokens. Uma vez feito isto, o recomendado é regenerar todas as credenciais expostas e verificar se foram criados repositórios não autorizados das contas afetadas.

Segundo o CyberSecurityNews, a maioria das versões maliciosas já foram eliminadas do repositório oficial da Red Hat Cloud Services. Alguns especialistas alertam que este incidente demonstra o quão frágil é a cadeia de fornecimento de software quando um único ponto de entrada fica comprometido. A Red Hat tem uma base de clientes composta por milhares de organizações em todo o mundo, incluindo Apple, Microsoft, Amazon, IBM e Salesforce.

Leia mais
Hackers comprometen servicio de trampas de GTA V y exponen datos de miles de usuarios
Notícias de Ciência Notícias de Portugal
Hackers comprometen servicio de trampas de GTA V y exponen datos de miles de usuarios
Junho 1, 2026
0
Microsoft Anuncia Mudanças Significativas no Windows e Novos Modelos de IA
Notícias de Ciência Notícias de Portugal
Microsoft Anuncia Mudanças Significativas no Windows e Novos Modelos de IA
Junho 1, 2026
1
Claude Code aumenta seus limites de uso para que você programe por mais tempo sem interrupções
Notícias de Ciência Notícias de Portugal
Claude Code aumenta seus limites de uso para que você programe por mais tempo sem interrupções
Junho 1, 2026
1
© 2026 Notícias Atuais Portuguesas
© Copyright 2026 Notícias Atuais Portuguesas
Powered by WordPress | Mercury Theme