El tema de esta mañana es simple: cuando se envenena la infraestructura de confianza, los atacantes no necesitan trucos exóticos.
En una línea: Tres historias merecen atención inmediata esta mañana: paquetes npm oficiales de SAP fueron alterados para robar secretos de desarrolladores y de CI, cPanel y WHM publicaron un parche de emergencia para un bypass crítico de autenticación, y los mantenedores de Linux corren para corregir la nueva escalada de privilegios Copy Fail.
Cuatro paquetes npm oficiales de SAP ligados al Cloud Application Programming Model y a Cloud MTA fueron modificados con una cadena maliciosa de preinstall. Según BleepingComputer, Aikido y Socket, la carga descarga Bun, ejecuta un stealer ofuscado y busca tokens de GitHub, tokens de npm, claves SSH, credenciales cloud, secretos de Kubernetes y variables de entorno de CI/CD. Peor aún: al parecer raspa memoria de runners y trata de propagarse usando los tokens robados.
cPanel y WHM publicaron un parche de emergencia para CVE-2026-41940, un bypass de autenticación con severidad 9.8 que afecta a casi todas las versiones soportadas salvo las más recientes. Namecheap bloqueó temporalmente los puertos de administración expuestos antes de que los parches estuvieran listos, señal bastante clara de la gravedad. Si un atacante entra en cPanel obtiene webs, correo, bases y archivos de configuración; si entra en WHM puede controlar el servidor entero y todos los tenants que cuelgan de él.
The Register informa que la nueva falla Copy Fail, CVE-2026-31431, permite a un usuario local sin privilegios escribir cuatro bytes controlados en la page cache de cualquier archivo legible y convertir eso en root. El PoC es mínimo, evita tripwires clásicos de eventos de filesystem y el impacto va mucho más allá de los portátiles: contenedores con kernel compartido, runners de CI y sistemas Linux multiusuario son justo donde una escalada local se vuelve un riesgo externo real después de cualquier foothold inicial.
Empiece por la cadena de suministro de software, luego cierre planos de control de hosting expuestos y después parchee límites de privilegios de Linux allí donde los atacantes ya pueden ejecutar código. El fallo común aquí es la confianza ciega en infraestructura que todos daban por segura.