CEVIU News - CEVIU Segurança da Informação - 9 de fevereiro de 2026

Pesquisadores descobriram que IDEs de IA derivadas do VSCode, incluindo Cursor, Windsurf e Google Antigravity, herdaram listas de recomendação de extensões hardcoded. Essas listas apontavam para namespaces do marketplace da Microsoft que estavam não reivindicados no OpenVSX, a alternativa de código aberto que essas IDEs realmente utilizam. Um atacante poderia ter registrado esses namespaces não reivindicados e carregado extensões maliciosas, que as IDEs recomendariam proativamente a milhões de desenvolvedores com base em tipos de arquivo ou software instalado. Os pesquisadores reivindicaram preventivamente os namespaces vulneráveis e coordenaram com a Eclipse Foundation e os fornecedores para remediar a situação. Eles observaram que mais de 1.000 desenvolvedores instalaram suas extensões inertes de placeholder simplesmente porque suas IDEs as recomendaram.

A Microsoft identificou uma nova variante ClickFix, apelidada de "CrashFix", que emprega uma extensão maliciosa do Chrome, se passando pelo uBlock Origin Lite, para travar deliberadamente os navegadores das vítimas. Em seguida, os usuários são enganados para executar comandos copiados da área de transferência através de um falso aviso de segurança. A cadeia de ataque abusa do utilitário legítimo do Windows, finger.exe (renomeado para ct.exe), para recuperar payloads ofuscados do PowerShell. O objetivo final é implantar um RAT baseado em Python, chamado ModeloRAT, que visa seletivamente sistemas corporativos ingressados em domínio (domain-joined enterprise systems) para comprometimento adicional. O ModeloRAT se comunica com servidores C2 hardcoded via HTTP, estabelece persistência por meio de chaves de registro Run e tarefas agendadas, e realiza reconhecimento de rede utilizando comandos nativos do Windows como nltest e net use. ️

A BridgePay Networks Solutions confirmou que uma interrupção contínua em seu gateway de pagamento e outros serviços é causada por um ataque de ransomware . A empresa declarou estar confiante de que detalhes de pagamento e informações de cartão de crédito não foram comprometidos. A BridgePay não respondeu a perguntas sobre qual grupo de ransomware está por trás do ataque ️.

Pesquisadores realizaram engenharia reversa do ring-1.io, um conhecido provedor de cheats para jogos, revelando uma sofisticada cadeia de ataques. Esta cadeia substitui binários de boot EFI, injeta código malicioso no Hyper-V via hooks de VMEXIT e emprega redirecionamento de memória baseado em EPT para ocultar o código de sistemas anti-cheat em nível de kernel. O implante opera em três limites de privilégio, user mode do guest, kernel mode do guest e VMX root, utilizando tabelas de página clonadas, spoofing de CR3 e páginas sombra preenchidas com bytes 0xCE para evadir a detecção. A análise detalha múltiplas estratégias de detecção, como varredura de PML4E sombra, análise de Intel Processor Trace e detecção de anomalias RWX sob HVCI, sublinhando que a aplicação do Secure Boot impediria toda a cadeia de ataque. ️‍️️

O Flickr divulgou uma violação de dados originada de um provedor de serviços de e-mail de terceiros comprometido . Invasores puderam acessar nomes, endereços de e-mail, nomes de usuário, endereços IP, localizações gerais e atividades na plataforma. A empresa agiu rapidamente, encerrando o acesso ao sistema afetado em poucas horas e notificando as autoridades de proteção de dados na Europa e nos EUA. Apesar de senhas e dados financeiros não terem sido expostos, o Flickr alertou os usuários para ficarem atentos a tentativas de phishing e revisarem suas configurações de conta.

Credenciais estáticas são suscetíveis a vazamentos, podem causar danos significativos e são difíceis de rotacionar. Para mitigar esses riscos, muitas organizações adotaram soluções interinas de gerenciamento de segredos, como AWS Secrets Manager e HashiCorp Vault. ️ No entanto, a longo prazo, as empresas devem migrar para credenciais modernas e de curta duração, como identidades gerenciadas (e.g., AWS roles), identidades federadas e métodos específicos de aplicação para Kubernetes e agentes de IA.

Hermes ️ é um agente C2 Mythic exclusivo para Linux , desenvolvido em Python. Ele possui 18 comandos integrados para reconhecimento, operações de arquivo e execução de shell. O agente se comunica via HTTP, utilizando a criptografia EKE + AES do Mythic, e pode ser implantado como um script Python ou um binário PyInstaller. Suporta tarefas essenciais de pós-exploração, incluindo listagem de processos, enumeração de rede, transferência de arquivos e manipulação de diretórios em alvos Linux.

O autor recebeu uma oferta de trabalho freelancer via LinkedIn para avaliar o codebase de uma plataforma de tecnologia imobiliária, que parecia legítima e oferecia um orçamento generoso. Após aceitar a proposta e obter acesso ao código, o autor ignorou alguns sinais de alerta, como uma ligação perdida com o gerente técnico, um histórico de Git suspeito e inconsistências no perfil do contato no LinkedIn. Ao analisar o repositório, foi descoberto um script npm post-install que baixaria um backdoor C2, exfiltraria arquivos sensíveis e capturaria keystrokes. Este incidente ressalta o risco de ofertas de emprego falsas que visam a instalação de malware por meio de repositórios de código maliciosos.

A Electronic Frontier Foundation (EFF) lançou sua campanha "Criptografe Já" , instando grandes empresas de tecnologia como Bluesky, Google e Ring a cumprirem suas promessas de implementar criptografia de ponta a ponta (E2EE) por padrão em suas plataformas. A iniciativa destaca que muitas empresas oferecem a E2EE como um recurso opcional ou atrasaram completamente sua implementação, deixando os usuários expostos. Isso se torna ainda mais crítico à medida que agentes de IA acessam comunicações sensíveis com menos supervisão humana. A EFF observou que várias das empresas-alvo são "altamente propensas" a habilitar essas funcionalidades dentro de um ano, mas enfatizou que a criptografia ativada por padrão continua sendo essencial, já que a maioria dos usuários nunca altera as configurações padrão.

A Apple estaria desenvolvendo suporte para aplicativos de chatbot de IA como ChatGPT, Gemini e Claude no CarPlay, o que poderia permitir que motoristas interajam com assistentes de IA de terceiros ao lado da Siri.

Um pesquisador da Anthropic, Nicholas Carlini, utilizou 16 agentes paralelos Claude Opus 4.6, coordenados via um repositório Git compartilhado, para desenvolver um compilador C de 100.000 linhas, baseado em Rust. Este compilador foi capaz de compilar um kernel Linux inicializável para arquiteturas x86, ARM e RISC-V. O experimento, que durou duas semanas e custou US$ 20.000, alcançou uma taxa de aprovação de 99% no GCC torture test suite . No entanto, o projeto atingiu um limite prático em torno de 100.000 linhas de código, onde novas correções frequentemente quebravam funcionalidades existentes, sugerindo as limitações atuais para a codificação autônoma baseada em agentes ️. O pesquisador destacou que um suporte humano significativo foi necessário, incluindo test harnesses personalizados, filtragem de saída sensível ao contexto e time-boxing, levantando preocupações sobre desenvolvedores que implementam software gerado por IA sem verificação pessoal.

A agência de segurança doméstica da Noruega confirmou que o grupo chinês patrocinado pelo Estado Salt Typhoon comprometeu dispositivos de rede em organizações norueguesas.

Pacotes maliciosos npm e PyPI, publicados através de contas oficiais comprometidas da dYdX, exfiltraram seed phrases de carteiras e implementaram um backdoor RAT, marcando o terceiro ataque de supply chain visando a exchange descentralizada.