Invitaciones de phishing a Y Combinator con el objetivo de robar criptomonedas, destrucción de la mayor granja SIM en EE. UU. y otros eventos de ciberseguridad.

# Invitaciones de phishing a Y Combinator con el objetivo de robar criptomonedas, destrucción de la mayor granja SIM en EE. UU. y otros eventos de ciberseguridad

Hemos recopilado las noticias más importantes del mundo de la ciberseguridad de la semana.

• Los desarrolladores de blockchain han descargado el stealer de criptomonedas casi 8500 veces.
• Se ha descubierto un criptodrenador en las invitaciones al acelerador de startups Y Combinator.
• Un nuevo malware en macOS está dirigido a robar criptomonedas de los desarrolladores.
• El Servicio Secreto de EE. UU. desmanteló la mayor granja de SIM cerca de la sede de la ONU.

Los desarrolladores de blockchain han descargado el stealer de criptomonedas casi 8500 veces

Dos paquetes maliciosos en el repositorio oficial del lenguaje de programación Rust escanearon los dispositivos de los desarrolladores con el objetivo de robar criptomonedas e información secreta. Desde el 25 de mayo de 2025, se han descargado 8424 veces. Esto fue informado el 24 de septiembre por investigadores en el campo de la seguridad de Socket.

Los malware faster_log y async_println se propagaron a través del registro Crates.io, equivalente a npm para JavaScript. Imitaron el legítimo fast_log, copiando su archivo README y los metadatos del repositorio. Al mismo tiempo, el malware mantuvo la función de registro del proyecto real para reducir la sospecha.

Ejemplos de paquetes fraudulentos y auténticos para desarrolladores de Rust. Fuente: Socket. El ПО de los estafadores escaneó el entorno de la víctima y los archivos fuente del proyecto en busca de los siguientes elementos:

• cadenas hexadecimales, similares a las claves privadas de Ethereum;
• cadenas Base58, que recuerdan a las claves y direcciones de Solana;
• matrices de bytes entre paréntesis que pueden ocultar frases semilla.

Después de encontrar coincidencias, el código exfiltró datos a una URL codificada.

La plataforma eliminó los paquetes falsos y bloqueó las cuentas de los estafadores el día de la notificación.

En las invitaciones al acelerador de startups Y Combinator se ha descubierto un criptodrenador

Una extensa campaña de phishing ha apuntado a los usuarios de GitHub a través de drainers de criptomonedas que penetran a través de invitaciones falsas para participar en el programa de apoyo a startups Y Combinator.

El 24 de septiembre, BleepingComputer informó que los delincuentes utilizaron fallas en el sistema de notificaciones para enviar mensajes fraudulentos. Creaban tareas en varios repositorios y etiquetaban a usuarios objetivo.

Al mencionar el nombre de la cuenta en las tareas de GitHub, se envía automáticamente una notificación. Dado que el correo proviene de una fuente legítima, llega directamente a la bandeja de entrada.

Se enviaba una invitación como cebo para solicitar la participación en la próxima ronda de financiación de Y Combinator con un fondo de $15 millones. En algunos repositorios había hasta 500 tareas abiertas de un usuario que se registró hace solo una semana.

Sitio web falso con un error intencionado en el nombre de dominio. Fuente: BleepingComputer. Se ofreció a los destinatarios de los correos electrónicos hacer clic en un enlace de phishing. El dominio falso de la página tenía un error casi imperceptible («l» en lugar de «i»). Al hacer clic en el enlace, se ejecutaba un JavaScript que ofrecía verificar la criptobilletera. La firma activaba transacciones maliciosas para vaciar las cuentas.

Tras las quejas en GitHub, IC3 y Google Safe Browsing, se eliminaron los repositorios fraudulentos.

Nuevo malware en macOS apunta al robo de criptomonedas de desarrolladores

El 25 de septiembre, los especialistas de Microsoft Threat Intelligence descubrieron una nueva variante del malware XCSSET para macOS, creada para robar notas, criptomonedas y datos de navegadores de dispositivos infectados. Se propaga buscando e infectando otros proyectos en el entorno para desarrolladores de Xcode, iniciándose al compilar el producto.

«Creemos que este método de infección y propagación se basa en el intercambio de archivos de proyectos entre desarrolladores que crean aplicaciones para Apple o macOS», dice el informe de los expertos.

Los investigadores señalaron varios cambios en la nueva versión del stealer:

• enfoque en los datos del navegador Firefox y la instalación de la versión modificada HackBrowserData, que descifra y exporta datos de los almacenes;
• actualización del componente de interceptación del portapapeles de macOS, que analiza patrones de expresiones regulares relacionados con direcciones de criptomonedas;
• después de detectar la criptobilletera, esta es reemplazada por una fraudulenta.

El Servicio Secreto de EE. UU. desmanteló la mayor granja de SIM cerca de la sede de la ONU

El 23 de septiembre, el Servicio Secreto de EE. UU. informó sobre la realización de una operación en la que se descubrió y desmanteló la mayor granja de SIM en la historia del país.

Según The New York Times, la investigación sobre este caso comenzó después de que a principios de año, altos funcionarios comenzaron a recibir llamadas anónimas con amenazas. Las víctimas fueron dos empleados de la Casa Blanca y un agente del Servicio Secreto.

Durante las operaciones, se lograron incautar más de 300 servidores SIM combinados y 100,000 tarjetas SIM. La granja operaba a 56 km de la sede de la ONU, donde se llevaba a cabo una reunión de la Asamblea General con la participación de líderes mundiales. Los servicios de inteligencia lograron neutralizar la granja unas horas antes de la reunión.

![](https://img-cdn.gateio.im/webp-social/moments-06532f974bcb5e3ab2eb96ed0fdc8226.webp01Fuente: Servicio Secreto de EE. UU. Las capacidades de la granja permitían enviar spam a prácticamente todos los números de teléfono estadounidenses en cuestión de minutos, así como inhabilitar toda la red de telecomunicaciones nacional.

Durante la investigación, los agentes encontraron apartamentos vacíos de conspiración, alquilados en Armonk )estado de Nueva York(, Greenwich )estado de Connecticut(, Queens )estado de Nueva York( y Nueva Jersey. Los agentes también confiscaron armas de fuego, computadoras, teléfonos móviles y 80 gramos de cocaína.

Aparecieron las primeras pistas en el caso del ataque a los aeropuertos europeos

El 24 de septiembre, un sospechoso de distribuir ransomware que causó importantes interrupciones en los sistemas de los aeropuertos europeos fue detenido.

Un hombre ha sido arrestado en el Reino Unido por la NCA como parte de una investigación sobre un incidente cibernético que afecta a Collins Aerospace.

Lee la historia completa ➡️ pic.twitter.com/v2DL1st9SC

— Agencia Nacional del Crimen )NCA( )@NCA_UK( 24 de septiembre de 2025

Las autoridades dijeron que la arresto fue realizado tras la investigación de un ciberataque que afectó al software Multi-User System Environment )MUSE( de Collins Aerospace. Durante el tiempo de investigación, el sospechoso fue liberado bajo fianza.

El ataque fue detectado el viernes 19 de septiembre, cuando aparecieron los primeros informes sobre retrasos en los vuelos. En la lista de nodos de transporte que experimentan dificultades técnicas se encuentran el aeropuerto de Heathrow en Londres, el aeropuerto de Bruselas, el aeropuerto de Dublín, el aeropuerto de Berlín Willy Brandt y otros.

Interpol confiscó $439 millones en criptomonedas y efectivo

En el transcurso de una operación internacional bajo la dirección de Interpol, las autoridades policiales confiscaron más de $439 millones en efectivo y criptomonedas. Los agentes de la ley creen que los fondos confiscados están relacionados con delitos cibernéticos que han afectado a miles de víctimas en todo el mundo.

La operación con el nombre en código HAECHI VI se llevó a cabo de abril a agosto con la participación de las autoridades de 40 países. Durante la misma, los investigadores arrestaron 400 monederos de criptomonedas y bloquearon más de 68,000 cuentas bancarias relacionadas. Se incautaron alrededor de $16 millones en criptomonedas.

En el marco de una operación en Portugal, 45 sospechosos de acceso ilegal a cuentas de seguridad social fueron arrestados. Además, la Policía Real de Tailandia confiscó $6,6 millones, transferidos por una corporación japonesa no identificada a cuentas controladas por un grupo delictivo transnacional compuesto por ciudadanos de Tailandia y África Occidental.

También en ForkLog:

• El protocolo DeFi Hypervault se "evaporó" con activos criptográficos por valor de 3,6 millones de dólares.
• Medios: la SEC y FINRA han iniciado una investigación contra las empresas DAT.
• El cofundador de Ethereum hizo un llamado para reemplazar los sistemas cerrados en medicina y finanzas por soluciones abiertas.
• El hacker que hackeó UXLINK se convirtió en víctima del ataque.
• Bloomberg informó sobre un hackeo previamente desconocido de Crypto.com.
• El fundador de Solana advirtió sobre la realidad de la amenaza cuántica para Bitcoin.