En cuestión de días se desató una oleada de aprovechamientos sobre una vulnerabilidad crítica en Marimo, un entorno interactivo en Python orientado a notebooks reactivos, y los atacantes no se han andado con rodeos: han usado ese fallo para distribuir una nueva variante del malware conocido como NKAbuse alojada en Hugging Face Spaces. Lo preocupante no es sólo la existencia del fallo, sino la rapidez con la que se explotó después de que se publicaran los detalles técnicos, según el seguimiento realizado por la firma de seguridad en la nube Sysdig.
La falla identificada como CVE-2026-39987 permite ejecución remota de código en instancias vulnerables de Marimo. Sysdig documentó intentos de explotación iniciados menos de diez horas tras la divulgación técnica, y desde entonces observó campañas que han evolucionado tanto en volumen como en técnicas. Una de las tácticas más llamativas fue el uso de Hugging Face Spaces, la plataforma comunitaria para desplegar demostraciones y herramientas de IA desde repositorios Git, como vector para servir cargas maliciosas desde un dominio legítimo y con reputación limpia. Puedes ampliar la lectura del seguimiento de Sysdig en su informe técnico aquí.
En los incidentes observados, el actor malicioso publicó un Space con un nombre que imita herramientas legítimas («vsccode-modetx», un claro typosquat de VS Code) donde alojó un script instalador y un binario denominado «kagent», que pretende parecerse a agentes legítimos de orquestación tipo Kubernetes. Tras explotar la ejecución remota en Marimo, el atacante invocó un curl hacia ese Space y ejecutó el instalador. El uso de un endpoint legítimo como Hugging Face dificulta la detección porque el tráfico se dirige a un dominio con buena reputación y certificado HTTPS válido, lo que evita disparar muchas alertas automáticas de seguridad.
El instalador descargaba el binario, lo desplegaba localmente y configuraba mecanismos de persistencia comunes en Linux y macOS, como unidades de systemd, tareas programadas con cron o agentes de inicio en macOS. Los análisis de Sysdig muestran que la muestra de malware es una variante no documentada hasta ahora de NKAbuse, una familia que se hizo conocida por aprovechar la red descentralizada NKN para intercambiar datos entre nodos. Investigaciones previas, entre ellas las de Kaspersky, habían descrito cómo NKAbuse usaba NKN y técnicas de traversal para sus comunicaciones; el informe de Sysdig indica que la nueva versión actúa más bien como un troyano de acceso remoto, capaz de ejecutar comandos shell en la máquina comprometida y devolver resultados al operador utilizando patrones que incluyen referencias al protocolo de cliente NKN y componentes como WebRTC/ICE/STUN para la traversía NAT. Puedes consultar materiales sobre NKAbuse en los archivos de la comunidad de Kaspersky en Securelist y ampliar contexto sobre la técnica observada con el informe de Sysdig antes mencionado.
La explotación no se ha limitado a la distribución de este binario. Sysdig también documentó distintos operadores que sacaron partido del mismo fallo para tareas clásicas de compromiso: intentos de shells reversos a través de múltiples puertos, robo de credenciales desde ficheros de entorno (.env), conexión lateral hacia bases de datos PostgreSQL para enumerar esquemas y tablas, y ataques sobre Redis donde se extraían tokens de sesión y cachés de la aplicación. Estos comportamientos muestran que los atacantes usan el acceso conseguido de muchas maneras, desde el fraude y espionaje hasta la construcción de redes más amplias de bots o el mantenimiento de puertas traseras persistentes.
Si gestionas entornos que usan Marimo, la recomendación operativa es clara y urgente: actualiza a la versión 0.23.0 o superior lo antes posible. La actualización es la medida más eficaz para cerrar la puerta a esta técnica de explotación. Cuando la actualización no sea factible de inmediato, bloquear el acceso externo al endpoint /terminal/ws mediante reglas de firewall o deshabilitarlo completamente puede reducir considerablemente el riesgo de ejecución remota. Además, conviene levantar controles de salida (egress) que detecten descargas atípicas mediante curl o wget hacia dominios de terceros y revisar sistemas en busca de artefactos característicos: binarios con nombres sospechosos, unidades de servicio nuevas, entradas en cron o LaunchAgents y tráfico inusual asociado a WebRTC/STUN. Para más detalles sobre Hugging Face Spaces y su modelo de despliegue, la documentación oficial es un buen punto de partida: documentación de Hugging Face Spaces.
En el plano estratégico, este episodio vuelve a dejar en evidencia dos lecciones que ya deberíamos tener interiorizadas: por un lado, la rapidez con la que se explotan vulnerabilidades críticas tras su divulgación; por otro, la ventaja que obtienen los atacantes al utilizar infraestructuras legítimas para alojar sus herramientas, lo que complica la detección basada únicamente en reputación de dominios. La combinación de parcheo ágil, restricciones de red saliente y detección de comportamientos sospechosos es la defensa más razonable frente a este tipo de operaciones.
Para quien necesite referencias formales sobre la vulnerabilidad en sí, la entrada correspondiente en la base de datos CVE ofrece el identificador público y la trazabilidad del fallo: CVE-2026-39987. Y si quieres revisar el seguimiento y los indicadores técnicos que han publicado los investigadores que monitorizaron estas campañas, el informe de Sysdig es la fuente más detallada por ahora: informe de Sysdig.
Si eres responsable de seguridad o administración de sistemas, actúa hoy: prioriza la actualización, audita los endpoints expuestos, bloquea rutas de descarga no confiables y busca señales de persistencia y comunicación anómala. Si tu organización utiliza espacios de demostración o despliegue desde repositorios públicos, revisa la política de contenidos permitidos y aplica controles de acceso y egress estrictos. En un ecosistema donde la IA y las plataformas colaborativas se integran cada vez más rápido, la seguridad no puede quedarse atrás.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...