CEVIU News - CEVIU Segurança da Informação - 27 de fevereiro de 2026

A Microsoft descobriu repositórios Trojanizados de Next.js, vinculados ao grupo Lazarus APT da Coreia do Norte, que entregam backdoors através de desafios de codificação em falsas entrevistas de emprego. Isso permite RCE (Execução Remota de Código) e acesso C2 persistente em máquinas de desenvolvedores. Os repositórios exploram a automação do VS Code através de arquivos `.vscode/tasks.json` maliciosos ou incorporam loaders ofuscados em ativos de build que buscam JavaScript controlado pelo atacante em tempo de execução. Equipes de segurança devem implementar políticas rígidas de confiança para IDEs, monitorar conexões Node.js de saída anômalas e tratar os workflows de desenvolvimento como uma superfície de ataque privilegiada. ️

Hackers têm explorado uma falha de severidade máxima 10.0 em equipamentos Cisco Catalyst SD-WAN desde 2023. Essa exploração permitiu obter acesso de alto nível, manter persistência furtiva e espionar ou roubar dados de grandes empresas e infraestruturas críticas em todo o mundo. Governos, como os dos EUA, Reino Unido, Canadá, Austrália e Nova Zelândia, alertam sobre o direcionamento global .

Pesquisadores da InfoGuard demonstraram que o recurso Live Terminal do Palo Alto Cortex XDR pode ser abusado como um canal C2 (Command and Control) pré-instalado e confiável pelo EDR. ️ Isso permite execução de comandos, transferência de arquivos e capacidades de evasão, com tráfego que se mistura nativamente aos fluxos da rede corporativa. O ataque explora uma falha trivial de validação de URL no `cortex-xdr-payload.exe` e a ausência de autenticação mútua ou assinatura criptográfica de comandos, permitindo que atacantes redirecionem conexões para sua própria infraestrutura através de `cross-tenant hijacking` ou de um servidor WebSocket customizado. Para defesa, é crucial monitorar a execução de `cortex-xdr-payload.exe` quando gerado por qualquer processo pai diferente de `cyserver.exe`. A correção alegada pela Palo Alto nas versões 8.7 a 8.9 não foi confirmada como eficaz até fevereiro.

O AirSnitch explora o comportamento de baixo nível do Wi-Fi para burlar o isolamento de cliente, permitindo um ataque MitM (Man-in-the-Middle) bidirecional de qualquer SSID no mesmo AP contra dispositivos comuns de consumidores e empresas. Cibercriminosos podem roubar cookies, credenciais e segredos RADIUS, transitar entre redes de convidados e corporativas, e envenenar o DNS. Isso questiona a segurança do Wi-Fi de convidados e exige que as redes adotem segmentação zero-trust mais rigorosa e um design de AP/VLAN mais cuidadoso. ️

A Truffle Security descobriu que habilitar a Gemini API em um projeto do Google Cloud concede, de forma silenciosa, acesso a endpoints sensíveis do Gemini para chaves API existentes, incluindo aquelas incorporadas publicamente em JavaScript client-side para serviços como Maps e Firebase (CWE-1188, CWE-269). Uma varredura no conjunto de dados Common Crawl de novembro de 2025 identificou 2.863 chaves API Google ativas e vulneráveis a essa escalada de privilégio, afetando grandes instituições financeiras, empresas de segurança e a própria Google. As organizações devem auditar todos os projetos GCP em busca da Generative Language API, restringir ou rotacionar chaves irrestritas ou publicamente expostas, e verificar se nenhuma chave compatível com Gemini está em código client-side ou repositórios públicos.

A equipe de Threat Intelligence do Google desarticulou o UNC2814, um grupo de espionagem ligado à China que comprometeu 53 vítimas em 42 países , visando organizações de telecomunicações e governamentais. Eles usaram um novo backdoor chamado Gridtide, que abusa da API do Google Sheets para comunicação de C2 ️‍️. O grupo, monitorado desde 2017 e com infraestrutura ativa desde julho de 2018, escalou privilégios via SSH lateral movement e implantou o SoftEther VPN Bridge para conexões persistentes e criptografadas. O Google encerrou todos os Cloud Projects controlados pelos atacantes, desativou a infraestrutura conhecida e revogou o acesso à API do Sheets utilizado nas operações de C2.

Um domínio .online de um desenvolvedor foi suspenso via serverHold pela operadora de registro Radix, após o Google Safe Browsing sinalizar o site, sem notificação prévia ou período de carência. A suspensão criou uma situação de Catch-22, onde o Google exigia verificação de domínio via DNS para revisar a sinalização, mas o registro se recusou a reativar o DNS até que o Google a removesse. O incidente destaca os riscos de TLDs que não são .com com políticas agressivas de abuso e reforça a importância de pré-registrar domínios no Google Search Console e adicionar monitoramento de uptime, mesmo para páginas de destino simples. ️

Em janeiro de 2026, a apreensão do fórum RAMP pelo FBI desmantelou um hub central para a coordenação de ransomware, mas principalmente fragmentou a confiança e empurrou os atores para espaços mais compartimentados. Exemplos incluem o T1erOne, um fórum fechado e pago, e o Rehub, um fórum aberto. As narrativas concorrentes sobre dados vazados do RAMP e o possível abuso interno reforçaram os receios de honeypots, impulsionando uma mudança para comunidades menores e mais rigorosamente verificadas, além do uso simultâneo de plataformas de baixa barreira.

Dados da IBM X-Force revelam altos volumes de vulnerabilidades não autenticadas e um aumento no roubo de credenciais impulsionado por infostealers, incluindo centenas de milhares de logins do ChatGPT roubados. Atacantes utilizam IA e sistemas de IA agentic para expandir o raio de impacto, pivotar através das cadeias de suprimentos e dificultar a distinção entre táticas criminosas e de nações-estado .

O Tesouro dos EUA ️ sancionou o exploit broker russo Operation Zero e seu fundador, Sergey Zelenyuk. A ação foi motivada pela aquisição de no mínimo oito ferramentas cibernéticas ️ do governo dos EUA, roubadas por um insider, e sua posterior venda a compradores não autorizados. Esta é a primeira medida sob a Protecting American Intellectual Property Act .

O aplicativo desktop Cowork da Anthropic adicionou automação de tarefas agendadas para o Claude, permitindo workflows recorrentes como briefings matinais e geração de relatórios semanais. Profissionais de segurança, no entanto, devem definir cuidadosamente o escopo do acesso ao sistema concedido ao agente.

Os mantenedores do kernel Linux propuseram substituir a antiga "web of trust" PGP por uma camada de identidade descentralizada , construída sobre DIDs do W3C e "verifiable credentials".