← Volver al blog
Resumen de seguridad4 min read2026-04-30

Resumen de seguridad, 30 de abril de 2026: puerta trasera supply chain en npm de SAP, bypass de auth en cPanel y bug root Copy Fail en Linux

El tema de esta mañana es simple: cuando se envenena la infraestructura de confianza, los atacantes no necesitan trucos exóticos.


En una línea: Tres historias merecen atención inmediata esta mañana: paquetes npm oficiales de SAP fueron alterados para robar secretos de desarrolladores y de CI, cPanel y WHM publicaron un parche de emergencia para un bypass crítico de autenticación, y los mantenedores de Linux corren para corregir la nueva escalada de privilegios Copy Fail.


1. El compromiso de npm en SAP apunta directo a secretos de desarrollo y CI

Cuatro paquetes npm oficiales de SAP ligados al Cloud Application Programming Model y a Cloud MTA fueron modificados con una cadena maliciosa de preinstall. Según BleepingComputer, Aikido y Socket, la carga descarga Bun, ejecuta un stealer ofuscado y busca tokens de GitHub, tokens de npm, claves SSH, credenciales cloud, secretos de Kubernetes y variables de entorno de CI/CD. Peor aún: al parecer raspa memoria de runners y trata de propagarse usando los tokens robados.


2. El parche de emergencia de cPanel para el bypass de auth no es mantenimiento opcional

cPanel y WHM publicaron un parche de emergencia para CVE-2026-41940, un bypass de autenticación con severidad 9.8 que afecta a casi todas las versiones soportadas salvo las más recientes. Namecheap bloqueó temporalmente los puertos de administración expuestos antes de que los parches estuvieran listos, señal bastante clara de la gravedad. Si un atacante entra en cPanel obtiene webs, correo, bases y archivos de configuración; si entra en WHM puede controlar el servidor entero y todos los tenants que cuelgan de él.


3. Copy Fail entrega a los atacantes Linux una ruta post-compromiso a root ridículamente simple

The Register informa que la nueva falla Copy Fail, CVE-2026-31431, permite a un usuario local sin privilegios escribir cuatro bytes controlados en la page cache de cualquier archivo legible y convertir eso en root. El PoC es mínimo, evita tripwires clásicos de eventos de filesystem y el impacto va mucho más allá de los portátiles: contenedores con kernel compartido, runners de CI y sistemas Linux multiusuario son justo donde una escalada local se vuelve un riesgo externo real después de cualquier foothold inicial.

Qué hacer hoy

Empiece por la cadena de suministro de software, luego cierre planos de control de hosting expuestos y después parchee límites de privilegios de Linux allí donde los atacantes ya pueden ejecutar código. El fallo común aquí es la confianza ciega en infraestructura que todos daban por segura.

Fuentes

  • BleepingComputer sobre los paquetes npm oficiales de SAP comprometidos y la investigación adicional de Aikido y Socket.
  • BleepingComputer sobre cPanel/WHM CVE-2026-41940 y la guía del parche de emergencia.
  • The Register sobre CVE-2026-31431 “Copy Fail”, con referencias de parches de Debian, Ubuntu, SUSE y Red Hat.