Los atacantes utilizan CVE-2026-39987 como arma para propagar una puerta trasera basada en blockchain a través de una técnica de distribución encubierta.

Los atacantes ahora están utilizando activamente una vulnerabilidad crítica en la plataforma de portátiles marimo Python para implementar una backdoor impulsada por blockchain en los sistemas de los desarrolladores. La falla, identificada como CVE-2026-39987, permite la ejecución remota de código sin autenticación, lo que la convierte en un punto de entrada peligroso para los actores de amenazas que la aprovechan para instalar una nueva variante del malware NKAbuse a través de un falso Hugging Face Space.

Del 11 al 14 de abril de 2026, atacantes de 11 direcciones IP únicas en 10 países lanzaron 662 eventos de exploit contra instancias de marimo expuestas. La velocidad de la utilización de armas confirmó que múltiples actores de amenazas apuntaban de forma independiente a la misma vulnerabilidad a los pocos días de su divulgación pública. El hallazgo más alarmante fue la implementación de una backdoor basada en Go llamada kagent a través de un Hugging Face Space con errores tipográficos llamado vsccode-modetx, creado para imitar una herramienta VS Code legítima. Utilizando un comando curl simple contra un punto final de marimo, el atacante extrajo y ejecutó un cuentagotas de shell que descargó el binario kagent al sistema víctima.

Los atacantes rápidamente pasaron de explotar marimo a acceder a bases de datos PostgreSQL conectadas e instancias de Redis utilizando credenciales extraídas de variables de entorno. La publicación Los atacantes utilizan CVE-2026-39987 para difundir una backdoor basada en Blockchain a través de Hugging Face apareció por primera vez en Cyber ​​Security News.

Consultar publicación original ↗