n8n, DoJ y npm: RCE crítico, fraude bancario por anuncios y malware en WhatsApp Web
Resumen del día
Resumen diario de las noticias más importantes en ciberseguridad del 24 de diciembre de 2025.n8n parchó CVE-2025-68613 (CVSS 9.9), una vulnerabilidad de ejecución remota de código que expuso más de 100.000 instancias autoalojadas.
El Departamento de Justicia de Estados Unidos incautó web3adspanels.org, usado en fraude bancario mediante anuncios falsos en Google y Bing, con pérdidas por 14,6 millones de dólares.
En npm, el paquete lotusbail, fork malicioso de @whiskeysockets/baileys, robó mensajes y credenciales de WhatsApp Web tras superar 56.000 descargas.
Una vulnerabilidad crítica fue identificada en la plataforma de automatización de flujos de trabajo n8n, permitiendo la ejecución arbitraria de código en instancias expuestas a Internet. El fallo, catalogado como CVE-2025-68613, posee un puntaje CVSS de 9.9, lo que indica un riesgo extremo para entornos productivos.Detalles técnicos de la vulnerabilidadLa falla se encuentra en el sistema de evaluación de expresiones utilizado dentro de los workflows de n8n. Las expresiones definidas por usuarios autenticados son evaluadas en un contexto que no se encuentra adecuadamente aislado del runtime subyacente.Como resultado, un atacante con credenciales válidas puede ejecutar código arbitrario con los mismos privilegios que el proceso de n8n. Esto habilita escenarios de compromiso total de...
El Departamento de Justicia de Estados Unidos (DoJ) anunció la incautación del dominio web3adspanels.org y de una base de datos asociada, utilizados como infraestructura central de un esquema de fraude de toma de cuentas bancarias (Account Takeover, ATO) que provocó pérdidas estimadas en 14,6 millones de dólares.La acción forma parte de una ofensiva más amplia contra redes de phishing y fraude financiero apoyadas en publicidad maliciosa y abuso de plataformas legítimas.Detalles técnicos del esquema fraudulentoLa operación criminal se apoyaba en anuncios fraudulentos publicados en buscadores como Google y Bing, los cuales imitaban campañas publicitarias legítimas de entidades bancarias.El flujo del ataque incluía:
Redirección de usuarios a sitios web falsos que simulaban...
Un paquete malicioso publicado en npm, denominado lotusbail, fue identificado como una amenaza activa de cadena de suministro, al presentarse como una API funcional para WhatsApp Web mientras robaba mensajes, contactos y tokens de autenticación. Desde mayo de 2025, el paquete acumuló más de 56.000 descargas, exponiendo a miles de desarrolladores y usuarios finales.Detalles técnicos del malwareEl paquete lotusbail es un fork troyanizado de la biblioteca legítima @whiskeysockets/baileys, ampliamente utilizada para integrar WhatsApp Web mediante WebSocket.A nivel funcional, el paquete opera correctamente, enviando y recibiendo mensajes, lo que reduce la probabilidad de detección temprana. Sin embargo, en segundo plano:
Intercepta credenciales de autenticación durante el proceso de...
