El patrón de esta mañana es claro: los atacantes están aprovechando tuberías de confianza. Software de workflow, kernels Linux, dependencias de desarrollo y correo cloud legítimo se volvieron rutas rápidas en cuanto los equipos asumieron que el canal era seguro por sí mismo.
En una línea: Parchea rápido Weaver E-cology y los kernels Linux, elimina lightning 2.6.3 allí donde se haya importado, rota los secretos expuestos y trata el abuso de Amazon SES como un problema de identidad cloud, no solo de filtrado de correo.
BleepingComputer informa de que CVE-2026-22679 en Weaver E-cology se explota desde mediados de marzo. Vega describe una RCE no autenticada a través de una API de debug expuesta que permitía que parámetros controlados por el atacante llegaran a funciones RPC backend y a comandos del sistema. La actividad observada incluyó reconocimiento, cargas PowerShell y descargas repetidas de scripts sin archivos.
CISA añadió CVE-2026-31431, conocida como Copy Fail, a su catálogo KEV un día después de la divulgación pública. El fallo está en la interfaz algif_aead y permite a usuarios locales sin privilegios obtener root escribiendo bytes controlados en la page cache de cualquier archivo legible. Theori afirma que el mismo exploit funcionó de forma fiable en Ubuntu, Amazon Linux, RHEL y SUSE.
Una versión maliciosa de lightning 2.6.3 en PyPI descargaba Bun automáticamente y ejecutaba una carga JavaScript ofuscada en el momento de la importación. Según el reporte, la carga apuntaba a datos de navegador, archivos .env, claves API, credenciales cloud y permitía ejecución arbitraria de comandos. Con más de 11 millones de descargas mensuales, no hace falta una infección masiva para provocar un problema serio de confianza.
Kaspersky observa un aumento de phishing enviado mediante Amazon SES, a menudo habilitado por claves AWS IAM filtradas en repositorios públicos, archivos .env, backups, imágenes o buckets S3 expuestos. Como los mensajes salen desde infraestructura legítima de SES, pueden superar SPF, DKIM y DMARC y hacer mucho menos eficaces los bloqueos tradicionales.
Conclusión: El fallo común de hoy es confiar demasiado en canales que parecen legítimos. La respuesta es poco glamourosa pero correcta: parchear rápido, rotar secretos sin debate y verificar cada plataforma de confianza como si ya formara parte de la ruta de ataque.
KENSAI ayuda a los equipos a mapear servicios expuestos, rutas débiles de identidad, dependencias riesgosas y superficies cloud antes de que la infraestructura confiable se convierta en combustible para incidentes.
Iniciar escaneo gratis →Mantente alerta.
🗡️ KENSAI Security Team