O Departamento de Justiça dos EUA obteve confissões de culpa do ex-CEO da C.A. Cloud Attribution, Adam Young, e do ex-CSO, Harrison Gevirtz.
Todas as notícias
CEVIU Segurança da Informação
Notícias, pesquisas e ferramentas para profissionais de segurança da informação
962 notícias
Hackers usaram engenharia social para comprometer uma conta de funcionário da Carnival em 14 de abril, acessando sistemas internos e exfiltrando arquivos com dados pessoais de aproximadamente 5.995.277 indivíduos.
Uma emenda proposta na Califórnia redefine o termo "provedor de sistema operacional" para excluir software de código aberto e modificável pelo usuário.
Pesquisadores da Novee encontraram um XSS armazenado no pretalx que permite a qualquer usuário registrado injetar HTML ou JavaScript nos resultados de busca de organizadores e executar código no navegador do organizador em uma consulta correspondente. O exploit utiliza um iframe srcdoc para burlar o bloqueio de scripts innerHTML e um arquivo .js carregado de mesma origem para satisfazer a CSP. Em seguida, ele sequestra a sessão do organizador e pode revogar permanentemente os direitos de superusuário via GETs autenticados. Um atacante pode automatizar submissões, plantar payloads em títulos e impulsionar uma exploração quase certa em muitas conferências que usam implantações compartilhadas do pretalx.
IBM e Red Hat lançaram o Project Lightwell com um investimento de 5 bilhões de dólares para proteger as cadeias de suprimentos open source. O sistema aplica correções de vulnerabilidades para versões exatas de dependências já em produção, utilizando 20.000 engenheiros e IA para corrigir pacotes em Maven/Java, com PyPI, npm e Go planejados. Ele opera através de manifestos de dependência como pom.xml, sem acessar o código-fonte, entregando patches assinados com SLAs para repositórios controlados.
CrowdStrike, Google e a The Shadowserver Foundation desativaram a botnet Glassworm, que visava desenvolvedores e estava ativa desde outubro de 2025, utilizando extensões maliciosas de OpenVSX e VS Code, repositórios GitHub e pacotes npm para roubar carteiras de criptomoedas e credenciais de desenvolvedores. A ação conjunta cortou simultaneamente quatro canais C2 (comando e controle) deliberadamente resilientes: campos de memo da blockchain Solana, o BitTorrent DHT, títulos de eventos do Google Calendar contendo caminhos codificados em Base64, e conexões diretas de VPS. Qualquer canal isolado poderia fazer failover para os outros, por isso os operadores criaram camadas de indireção que só poderiam ser derrotadas por uma derrubada coordenada e simultânea. Agora, os hosts infectados não conseguem mais receber novas instruções ou payloads. Defensores devem procurar máquinas comprometidas que estejam "beaconing" para o sinkhole operado pela CrowdStrike em 164.92.88[.]210 e aplicar as regras YARA publicadas para confirmar infecções, remediando as extensões e pacotes maliciosos nos endpoints de desenvolvedores afetados.
Métricas, logs e traces foram por muito tempo os três pilares da observability tooling. No entanto, esses pilares não se sustentam na era dos LLMs e sistemas agentic, pois foram projetados para humanos, embora os agentes sejam agora os principais consumidores de observability. Atualmente, os traces são o pilar principal, e seus esquemas devem ser versionados e vistos de forma similar a uma API.
O grupo Seedworm (MuddyWater), ligado ao Irã, conduziu uma campanha de espionagem no início de 2026 contra nove organizações em nove países. A campanha abusou de binários legítimos da Fortemedia (fmapp.exe) e SentinelOne (sentinelmemoryscanner.exe) para realizar sideloading de DLLs maliciosas contendo o stealer de dados de navegador ChromElevator. Os operadores usaram node.exe em vez de PowerShell para orquestrar a cadeia de ataque e evadir a detecção, estabeleceram persistência via chave de registro, implementaram ferramentas de roubo de credenciais em ondas redundantes e exfiltraram dados via o serviço público de transferência de arquivos sendit.sh para se misturar ao tráfego normal de nuvem. Recomenda-se monitorar DLLs não assinadas carregadas junto a executáveis assinados, sinalizar atividades inesperadas de Node.js, bloquear tráfego de saída para serviços de transferência de arquivos desconhecidos e aplicar políticas rigorosas de registro de inicialização.
Uma vulnerabilidade crítica foi descoberta na implementação Startlette ASGI, que serve de base para o FastAPI e outros frameworks amplamente utilizados na construção de serviços Python. A falha pode ser facilmente explorada para contornar a autorização baseada em caminho, adicionando um único caractere ao cabeçalho HTTP host. Desenvolvedores que dependem de projetos que utilizam Startlette, como FastLLM, vLLM ou LiteLLM, devem atualizar suas versões imediatamente.
O grupo Nimbus Manticore (UNC1549), ligado ao IRGC, conduziu uma campanha entre fevereiro e abril, empregando sequestro de AppDomain com arquivos Setup.exe.config maliciosos e instaladores trojanizados do Zoom (Zoom_cm.exe). O objetivo era implantar os backdoors MiniJunk e MiniFast, aproveitando a tarefa agendada legítima ZoomUpdateTaskUser para persistência. Durante a campanha, o grupo aprimorou suas táticas, desenvolvendo código assistido por IA que permitia controle remoto completo via cmd.exe, mascarado como tráfego do Chrome. Posteriormente, abandonaram iscas por e-mail em favor de SEO poisoning, impulsionando o site falso getsqldeveloper[.]com para o topo de resultados de busca no Bing e DuckDuckGo. Defensores devem procurar arquivos .config emparelhados com binários assinados, auditar tarefas agendadas por adulterações e monitorar atividades de download de domínios typosquatted de software.
A Pay Tel, serviço de telefonia em prisões, deixou um servidor de armazenamento Azure exposto na internet, contendo pelo menos 300.000 carteiras de motorista digitalizadas, outros documentos de identidade, fotos de usuários e comunicações de detentos, incluindo textos, anotações manuscritas e registros financeiros. A UpGuard relatou o bucket exposto em 7 de maio. A Pay Tel subsequentemente protegeu o servidor, mas não reconheceu publicamente o incidente nem informou se notificará os usuários afetados.
Um bug de registro de container no Gitea (CVE-2026-27771) permitiu que usuários não autenticados acessassem imagens "privadas" por aproximadamente quatro anos. Isso expôs código, segredos e configurações de produção em cerca de 30.000 instâncias auto-hospedadas de Gitea e Forgejo, impactando setores como saúde, aeroespacial, SaaS e ISPs. Operadores devem fazer upgrade para o Gitea v1.26.2, considerar definir REQUIRE_SIGNIN_VIEW=true como medida paliativa e auditar os logs de registro em busca de acessos suspeitos.
Ao implementar novas políticas de segurança, as equipes devem começar comunicando os detalhes da mudança, sua data de efetivação e os motivos. Antes da implementação, é crucial realizar um piloto com um grupo diversificado de usuários e iterar com base no feedback recebido. Por fim, as equipes devem garantir que a aplicação da política seja visível, serem responsáveis por sua execução e estarem preparadas para lidar com exceções.
O Open Policy Agent (OPA) pode ser utilizado para aplicar padrões organizacionais em fluxos de Infrastructure as Code (IaC) por meio de Policy as Code (PaC). Este artigo propõe um fluxo de trabalho onde um sistema de CI/CD executa verificações de validação iniciais, seguido por um plano Terraform e, então, verificações do OPA contra o plano gerado. Posteriormente, os artefatos de validação são carregados para decisões de aprovação. Exemplos de fluxos de trabalho incluem a imposição de transporte seguro sobre S3, restrição de ingress público em portas sensíveis e aplicação do princípio de menor privilégio para IAM roles.
O grupo de ransomware Play afirma ter invadido a empresa de colchões MyPillow. Os dados supostamente comprometidos incluem informações pessoais privadas e confidenciais, documentos de clientes, orçamentos, folha de pagamento, IDs e informações fiscais e financeiras.
Relatórios da CrowdStrike, FBI e Verizon indicam que ataques a serviços financeiros ignoram o roubo de senhas, focando em resetar o MFA e registrar dispositivos de atacantes. O grupo Mutant Spider utiliza vishing no Microsoft Teams para enganar equipes de suporte. Plataformas como Kali365, um "phishing-as-a-service" de $250 mensais, capturam tokens OAuth do M365 via device code flow legítimo. O roubo direto de credenciais caiu para 13% dos vetores de acesso inicial em violações, atrás da exploração de vulnerabilidades (31%). Como o MFA dispara no dispositivo da vítima, os tokens capturados funcionam como credenciais, garantindo acesso silencioso por semanas ou meses, sem serem detectados por monitoramento de credenciais tradicional. Para defesa, é crucial exigir verificação "out-of-band" e chaves FIDO2 para todos os resets de MFA, restringir o device code flow via acesso condicional do Entra ID, monitorar o uso de "refresh tokens" OAuth de dispositivos desconhecidos e auditar o acesso à Graph API para operações em massa de sessões de reset ou device code.
A Microsoft publicou recentemente uma nova documentação para o Visual Studio Code sobre o gerenciamento de extensões. Organizações podem explicitamente permitir ou negar extensões por editor ou extensão, bem como fixar versões específicas. A documentação também aborda a implantação da configuração via soluções de gerenciamento de dispositivos, o uso de registries privados e a reinstalação de extensões.
Pesquisadores da Socket rastrearam a TrapDoor, uma campanha abrangendo mais de 34 pacotes maliciosos e 384 versões em npm, PyPI e Crates.io. Ela explora pontos de execução nativos de cada ecossistema (scripts postinstall, execução em tempo de importação e scripts de build Rust) para roubar credenciais AWS, tokens GitHub, chaves SSH e carteiras de criptomoedas, além de adulterar arquivos de assistentes de IA como .cursorrules e CLAUDE.md por meio de instruções Unicode ocultas. Analistas veem a campanha como uma mudança de abuso oportunista de pacotes para comprometimento em nível de workflow, onde uma estação de trabalho envenenada se torna um ponto de acesso inicial para pipelines CI/CD e infraestrutura de build, e não apenas um roubo pontual de credenciais. A principal conclusão para os CISOs é tratar os ambientes de desenvolvedores como infraestrutura adjacente à produção, implementando varredura comportamental no tempo de instalação, allowlisting de pacotes, credenciais de curta duração com escopo limitado, governança de ferramentas de IA e controles de confiança zero dentro dos workflows de desenvolvimento locais.
O portal de vistos do Reino Unido, um site de terceiros, supostamente deixou pelo menos 100 mil documentos sensíveis publicamente expostos em um repositório na nuvem, sem proteção por senha. Os dados comprometidos incluem passaportes, fotos, selfies de verificação e outras informações de aplicação. O diretório de arquivos exposto também utilizava uma URL previsível, tornando-o facilmente adivinhável por atacantes.
A TrendAI Research expôs um ator solo de língua russa, rastreado como "bandcampro", que conduziu uma operação de influência com tema MAGA por cinco anos, realizando persistentemente o "jailbreaking" do Google Gemini CLI. Ele plantava instruções crescentes em um arquivo de memória GEMINI.md que o CLI recarregava a cada sessão e reforçava o bypass com prompts em russo que evadiam os "guardrails" não-ingleses aplicados de forma inconsistente. Com os controles de "safety" desativados, o Gemini impulsionou um "pipeline" de conteúdo "Quantum Patriot" gerando posts QAnon, produziu até 20 mutações de senha por alvo que quebraram 29 contas de administrador do WordPress quando combinadas com logs do "infostealer" DaisyCloud, e suportou um instalador de "wallet" StellarMonster trojanizado (na verdade, o RAT GoToResolve) que coletava "seed phrases" e drenou o crypto de pelo menos uma vítima. Tudo isso foi financiado por 73 chaves de API roubadas, rotacionadas em "round-robin", com nós C2 em endereços IP específicos. Defensores devem monitorar a reutilização de chaves de API roubadas, mudanças anômalas na infraestrutura impulsionadas por CLI e padrões de "credential stuffing" consistentes com mutação de senha assistida por LLM.