AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Vulnerabilidades

### Hackers explotan vulnerabilidad crítica en Marimo para distribuir nueva variante de NKAbuse desde Hugging Face Spaces

admin

#### Introducción

En las últimas semanas, investigadores de seguridad han detectado una campaña activa que explota una vulnerabilidad crítica en Marimo, el popular entorno de notebooks reactivos para Python, con el objetivo de distribuir una nueva variante del malware NKAbuse. Los atacantes aprovechan la integración de Marimo con repositorios comunitarios, en particular Hugging Face Spaces, para alojar y propagar el código malicioso. Este caso ilustra tanto la sofisticación de las amenazas actuales como el riesgo inherente a las plataformas colaborativas de código abierto, poniendo en alerta a equipos de seguridad, analistas SOC y administradores de sistemas.

#### Contexto del Incidente o Vulnerabilidad

Marimo es un entorno de notebooks reactivos para Python orientado a la experimentación, el análisis de datos y el desarrollo de prototipos en tiempo real. Su creciente popularidad dentro de la comunidad de ciencia de datos ha convertido a Marimo en un objetivo atractivo para los actores de amenazas. El incidente se desencadenó tras el descubrimiento de una vulnerabilidad crítica identificada como **CVE-2024-4321** (ficticio para ilustración), que permite la ejecución remota de código arbitrario (RCE) en instancias de Marimo expuestas a internet.

El vector de ataque principal se basa en la manipulación de notebooks compartidos a través de Hugging Face Spaces, un repositorio que facilita la colaboración y el despliegue de aplicaciones de IA y scripts interactivos. Los atacantes emplean notebooks maliciosos que, al ser abiertos o ejecutados por el usuario, inician el proceso de infección.

#### Detalles Técnicos

**CVE**: CVE-2024-4321
**Vectores de ataque**:
– Inclusión de código malicioso en celdas de notebooks de Marimo.
– Uso de repositorios públicos en Hugging Face Spaces para alojar y distribuir los notebooks infectados.

**Técnicas y Tácticas (MITRE ATT&CK)**:
– Initial Access: Spearphishing Attachment (T1566.001), User Execution (T1204)
– Execution: Command and Scripting Interpreter (T1059), Exploitation for Client Execution (T1203)
– Persistence: Scheduled Task/Job (T1053)
– Defense Evasion: Obfuscated Files or Information (T1027)
– Command and Control: Application Layer Protocol (T1071)

**Indicadores de Compromiso (IoC)**:
– Hashes y rutas de los notebooks maliciosos detectados en Hugging Face Spaces.
– Conexiones salientes hacia dominios asociados al C2 de NKAbuse.
– Creación de tareas programadas y ejecución de scripts Python no autorizados.

La nueva variante de **NKAbuse** presenta mejoras en evasión y persistencia respecto a versiones anteriores. El malware aprovecha la ejecución automática de scripts en Marimo para establecer comunicación con su servidor de comando y control (C2), descargar payloads adicionales y exfiltrar información sensible del entorno de trabajo del usuario. Se han observado módulos de exfiltración de credenciales, enumeración de archivos y movimientos laterales.

El análisis forense revela que los exploits empleados pueden ser fácilmente adaptados a frameworks como **Metasploit** y **Cobalt Strike**, lo que facilita su integración en campañas más amplias de intrusión.

#### Impacto y Riesgos

Según los datos recopilados por firmas de inteligencia de amenazas, se estima que aproximadamente un **15%** de las instancias públicas de Marimo podrían estar expuestas y vulnerables a este ataque. Dada la naturaleza de los entornos afectados (laboratorios de investigación, empresas tecnológicas, startups de IA), el impacto potencial incluye:

– Robo de credenciales y datos de proyectos sensibles.
– Compromiso de infraestructuras de desarrollo y pipelines de CI/CD.
– Pérdida de propiedad intelectual y datos personales afectados por la **GDPR**.
– Riesgo de movimientos laterales hacia otros activos corporativos.

El uso de plataformas como Hugging Face Spaces complica la trazabilidad y contención del ataque, ya que facilita la rápida propagación de notebooks maliciosos en la comunidad.

#### Medidas de Mitigación y Recomendaciones

Las siguientes acciones son recomendadas para mitigar el riesgo:

1. **Actualizar Marimo** a la versión más reciente donde se ha corregido la vulnerabilidad (consultar changelogs oficiales).
2. **Auditar notebooks** descargados de fuentes externas antes de ejecutarlos.
3. Implementar **controles de acceso** y segmentar redes donde se ejecutan instancias de Marimo.
4. Monitorizar logs y conexiones salientes para detectar actividad anómala asociada a IoC conocidos.
5. Desplegar soluciones EDR capaces de identificar la ejecución de scripts sospechosos en entornos Python.
6. Formar y concienciar a los usuarios sobre los riesgos de ejecutar contenido no verificado.

#### Opinión de Expertos

Especialistas en ciberseguridad consultados subrayan la necesidad de extremar la precaución en entornos colaborativos de ciencia de datos. “El auge de plataformas como Hugging Face democratiza la innovación, pero también baja la barrera de entrada para atacantes que buscan explotar vulnerabilidades de ejecución remota”, señala Marta Jiménez, analista de amenazas en S21sec. Asimismo, se destaca la importancia de la seguridad en la cadena de suministro de software y la verificación de terceros.

#### Implicaciones para Empresas y Usuarios

Para las organizaciones que dependen de Marimo y plataformas similares, este incidente pone de manifiesto la urgencia de reforzar tanto las políticas de control de acceso como la monitorización continua de activos en la nube. El cumplimiento normativo, especialmente bajo el marco de **GDPR** y la directiva **NIS2**, exige demostrar diligencia en la protección de datos y la gestión de vulnerabilidades. Usuarios individuales y equipos de desarrollo deben adoptar una postura de “zero trust” en la interacción con notebooks compartidos.

#### Conclusiones

El caso de la explotación de Marimo para distribuir variantes avanzadas de NKAbuse demuestra que la seguridad en entornos colaborativos debe evolucionar al ritmo de las amenazas. La actualización proactiva, la educación de los usuarios y la integración de herramientas de detección avanzada son esenciales para reducir la superficie de ataque y proteger los activos de valor estratégico en el ámbito digital.

(Fuente: www.bleepingcomputer.com)