← Volver al blog
Resumen de seguridad4 min read2026-04-28

Resumen de seguridad, 28 de abril de 2026: phishing en Robinhood, infostealer en PyPI y extensiones durmientes de GlassWorm

La lección de esta mañana es fea y directa: el onboarding confiable, los gestores de paquetes confiables y los marketplaces de extensiones confiables ya son mecanismos de entrega para atacantes.


Clave: Tres historias importan ahora mismo: contenido controlado por atacantes dentro de correos reales de Robinhood, una release open source falsificada que roba secretos y extensiones de VS Code preparadas para despertar más tarde.


1. El flujo de onboarding de Robinhood se convirtió en un canal de phishing

Los atacantes abusaron del proceso de creación de cuentas de Robinhood para inyectar HTML en alertas de inicio de sesión legítimas enviadas por noreply@robinhood.com. Los mensajes pasaban SPF y DKIM, parecían reales y empujaban a las víctimas a un sitio de phishing. La conclusión es dura: confiar en el remitente ya no basta si el contenido no se sanea.


2. elementary-data en PyPI convirtió un flujo de release normal en robo de credenciales

El popular paquete elementary-data fue comprometido mediante inyección de scripts en GitHub Actions. Eso expuso un token del workflow y permitió falsificar una release firmada. La versión 0.23.3 distribuyó un infostealer orientado a claves SSH, credenciales cloud, secretos CI, archivos de wallets y datos del entorno del desarrollador, con el mismo impacto llegando a imágenes contenedor.


3. Las 73 extensiones durmientes de GlassWorm en OpenVSX muestran ataques más silenciosos

Socket encontró 73 extensiones de OpenVSX ligadas a GlassWorm, con seis ya activadas. El nuevo truco es la paciencia: publicar algo aparentemente inocente, dejar que gane confianza y entregar la carga maliciosa en una actualización posterior. Es el mismo abuso del ecosistema, solo que más silencioso y más sucio.


Qué deberían hacer hoy los equipos de seguridad

  1. Vuelvan a revisar cada plantilla de correo que refleje datos de clientes o dispositivos.
  2. Busquen el paquete PyPI comprometido y fuercen rotación de secretos donde se ejecutó.
  3. Inventaríen extensiones de VS Code y OpenVSX en la flota de desarrollo antes de la próxima ola de updates.
  4. Dejen de tratar las superficies de confianza como detalle UX. Ahora son superficie de ataque.

Fuentes


En resumen: El patrón de hoy no es malware exótico. Es confianza ordinaria convertida en transporte. Si un workflow, plantilla o marketplace parece rutinario, los atacantes ya lo vieron.

Encuentre las rutas de confianza que los atacantes ya están probando

KENSAI ayuda a los equipos a mapear workflows expuestos, dependencias riesgosas y puntos ciegos de superficie de desarrollador antes de que se conviertan en incidentes reales.

Iniciar escaneo gratuito →

Manténganse afilados.

🗡️ Equipo de Seguridad KENSAI