miércoles 13 de mayo de 2026 - Edición Nº555

Tecnología | 13 may 2026

Ataques informáticos

Piratas informáticos rusos infectan miles de ordenadores en todo el mundo con malware para robar credenciales

06:00 |El virus también comprueba si la víctima se encuentra en Irán o Israel y, de ser así, incluye una probabilidad de 1 entre 6 de borrar completamente el dispositivo

Una campaña masiva de malware está infectando miles de ordenadores en todo el mundo a través de ataques a la cadena de suministro en repositorios como npm y PyPI. Sin embargo, la atribución y algunos detalles del titular requieren precisiones importantes según los reportes técnicos.

ImagenImagen

Lo que se confirmó

  • Nombre de la campaña: CanisterWorm (también conocida como parte de las operaciones de TeamPCP).
  • Objetivo principal: Robo masivo de credenciales (SSH keys, tokens de cloud, Kubernetes, wallets de criptomonedas, etc.) y extorsión.
  • Método de propagación: Ataque a la cadena de suministro (supply chain attack). Los atacantes comprometieron decenas de paquetes legítimos en npm (más de 140 artefactos maliciosos en decenas de paquetes), aprovechando el compromiso previo del escáner de vulnerabilidades Trivy de Aqua Security.
  • Infraestructura: Utiliza un canister de Internet Computer Protocol (ICP) como servidor de comando y control (C2) resistente a takedowns.

La parte destructiva (wiper)El malware incluye un payload destructivo que verifica la ubicación/geolocalización del sistema:

  • Principalmente activa un wiper (borrado completo) en sistemas ubicados en Irán (detecta timezone Asia/Tehran y locale fa_IR).
  • En algunos reportes se menciona un mecanismo de “Russian roulette” (probabilidad aleatoria de activación, cercana a 1 entre 6 en ciertas versiones del payload).
  • No hay confirmación técnica sólida de que active el mismo comportamiento de forma simétrica en Israel. El foco destructivo documentado está fuertemente orientado a Irán.

Imagen

¿Son hackers rusos?

No. Los investigadores (Krebs on Security, Aikido Security, Wiz, Socket, JFrog, etc.) atribuyen la campaña al grupo TeamPCP (también rastreado como DeadCatx3 o PCPcat), descrito como un grupo criminal financiero motivado por robo de datos y extorsión, no por un actor estatal ruso.

No hay evidencia pública que lo vincule a grupos rusos como APT28, APT29 o Sandworm.TeamPCP parece estar aprovechando el contexto de la guerra en Medio Oriente para “inyectarse” en el conflicto con un componente destructivo selectivo.