CEVIU News - CEVIU Segurança da Informação - 22 de abril de 2026

A Pillar Security descobriu uma vulnerabilidade de execução remota de código, já corrigida, na ferramenta de desenvolvimento de IA Antigravity do Google. Esta falha permite que atacantes ignorem completamente o sandbox restritivo Secure Mode do aplicativo. O exploit utiliza prompt injections diretas ou indiretas para abusar de uma ferramenta nativa de busca de arquivos chamada "find_by_name", que o agente executa diretamente antes que o Secure Mode possa avaliar o comando shell subjacente. Organizações que implementam funcionalidades agentic devem ir além dos controles baseados em sanitização e auditar rigorosamente cada parâmetro de ferramenta nativa que alcança um comando shell para evitar que conteúdo externo sequestre sistemas internos.

A Endor Labs descobriu uma vulnerabilidade crítica de execução remota de código (GHSA-xq3m-2v4x-88gg, CVSS 9.4) em protobuf.js, uma biblioteca de serialização amplamente utilizada e frequentemente incluída transitivamente via @grpc/proto-loader, Firebase e Google Cloud SDKs. A falha ocorre porque a biblioteca concatena nomes de tipo de schema não validados diretamente no código-fonte JavaScript e os avalia através do Function constructor, permitindo que atacantes, ao fornecerem um arquivo de configuração malicioso, alcancem execução de código não autenticada quando a aplicação alvo processa sua primeira mensagem. Defensores devem atualizar imediatamente para protobufjs 8.0.1 ou 7.5.5, auditar dependências transitivas e tratar endpoints de carregamento dinâmico de schema, como Root.fromJSON, como superfícies de execução não confiáveis.

Três prestadores de serviços de saúde nos Estados Unidos relataram incidentes de segurança cibernética distintos, impactando um total de 600 mil pessoas. A North Texas Behavioral Health Authority sofreu uma intrusão de rede em 2025, resultando na possível exfiltração de dados, incluindo SSNs, afetando 285 mil indivíduos. A Southern Illinois Dermatology enfrentou um incidente de ransomware em novembro de 2025, atribuído ao Insomnia, que levou ao vazamento de dados de 160 mil pacientes. Adicionalmente, o Saint Anthony Hospital teve duas contas de e-mail comprometidas em 2025, expondo informações pessoais e de saúde de 146 mil pacientes.

A Microsoft Threat Intelligence detalhou uma campanha norte-coreana do Sapphire Sleet que utiliza um falso Zoom SDK Update.scpt, abusando do Editor de Scripts confiável do macOS e de uma cadeia encadeada de curl para osascript (user agents mac-cur1 a mac-cur5) para implantar backdoors como com.apple.cli, services, icloudz e com.google.chromes.updaters. O ataque coleta credenciais através de um diálogo falsificado do systemupdate.app. O ator manipula diretamente o TCC.db em nível de usuário, através do Acesso Total ao Disco do Finder, para conceder silenciosamente permissão de AppleEvents ao osascript. Em seguida, exfiltra sessões do Telegram, dados de extensões de carteiras do Chromium (Phantom, TronLink, Coinbase, OKX, Solflare, Rabby, Backpack e Sui), carteiras Ledger e Exodus, keychains, chaves SSH e Apple Notes para o endereço 104.145.210[.]107:8443. Para defesa, é recomendado bloquear a execução de .scpt vindos da internet, monitorar curl sendo direcionado para osascript/sh/bash com user-agent strings não-padrão, alertar sobre gravações em ~/Library/Application Support/com.apple.TCC/TCC.db e auditar /Library/LaunchDaemons para com.google.webkit.service.plist.

Scans públicas de 6.121 servidores Perforce revelaram que 72% permitiam acesso de leitura não autenticado, 21% expunham caminhos de leitura e escrita, e 4% possuíam contas de superusuário sem senha com potencial para RCE (Remote Code Execution) via gatilho. A pesquisa detalha cinco configurações padrão incorretas: criação automática de contas, listagem de usuários não autenticados, contas sem senha, senhas iniciais de autoatendimento e um usuário "remote" oculto (agora corrigido) que possibilitava a sincronização de remote-depot sem autenticação. O estudo também demonstra exposições reais em estúdios de jogos, fornecedores médicos e financeiros, entidades governamentais e provedores de cadeia de suprimentos. Ele oferece linhas de base concretas para p4 configure (como security=4, dm.user.noautocreate=2, dm.user.setinitialpasswd=0, entre outras) e ferramentas de código aberto (P4WNED, P4GHOST, templates Nuclei e módulos Metasploit) para auditar e proteger qualquer footprint de P4.

Com o avanço de agentes de IA e LLMs, ameaças de cibersegurança como ataques à cadeia de suprimentos e phishing convincente estão se tornando comuns e relevantes para indivíduos. Para combater isso, o autor utiliza um gerenciador de senhas, 2FA via TOTP móvel, uma hardware cryptocurrency wallet e backups redundantes. Eles também estão explorando o uso de hardware security keys para serviços críticos, isolando serviços de rede não públicos, utilizando firewalling ou sandboxing de software, e fortalecendo contas financeiras.

Tyler Buchanan, um cidadão escocês de 24 anos ligado ao grupo cibercriminoso Scattered Spider (UNC3944), declarou-se culpado em um tribunal dos EUA por conspiração para fraude eletrônica e roubo de identidade agravado. Buchanan e seus cúmplices utilizaram kits de SMS phishing para coletar credenciais corporativas e as armazenaram em um canal do Telegram. Em seguida, usaram esses dados roubados para executar ataques de SIM swap contra indivíduos, burlando a autenticação de dois fatores para esvaziar carteiras de criptomoedas. O esquema resultou em pelo menos US$ 8 milhões em moeda virtual roubada. Buchanan pode enfrentar até 22 anos de prisão federal em sua sentença em agosto, após a recente condenação de 10 anos de outro membro do Scattered Spider, Noah Michael Urban.

O AES-128 permanece seguro contra ataques de força bruta quântica, já que o algoritmo de Grover não pode ser paralelizado como a busca clássica, e restrições realistas elevam o custo de ataque para perto de 2^104 operações. Em última análise, o mandato da NSA para o AES-256 visa uma alta segurança uniforme e enfatiza que a criptografia simétrica pode, em grande parte, permanecer como está, enquanto as equipes priorizam substituições pós-quânticas para esquemas assimétricos vulneráveis.

A partir de 15 de abril, o NVD do NIST irá enriquecer apenas as CVEs que constam no catálogo KEV da CISA, afetam softwares do governo federal dos EUA ou se qualificam como software crítico sob a Ordem Executiva 14028.

A Kaspersky descobriu a operação SparkKitty, que implantou 26 aplicativos maliciosos na Apple App Store da China. Disfarçados de jogos para burlar restrições, esses apps realizavam o sideload de interfaces trojanizadas de carteiras (MetaMask, Coinbase e Ledger) para exfiltrar secretamente seed phrases e drenar os ativos das vítimas.

Um invasor utilizou credenciais roubadas para acessar os sistemas do Adaptavist Group, desencadeando uma investigação forense. O grupo de ransomware “The Gentlemen” alega ter comprometido completamente a infraestrutura, obtendo registros de clientes e código-fonte.