CEVIU News - CEVIU Segurança da Informação - 24 de abril de 2026

O Bitwarden CLI foi brevemente comprometido depois que atacantes carregaram um pacote npm malicioso contendo um stealer de credenciais. Esse stealer tentou roubar uma ampla gama de credenciais de desenvolvedores, incluindo tokens npm, tokens GitHub, chaves SSH e credenciais de cloud. A Bitwarden confirmou que os atacantes usaram uma GitHub Action comprometida da Checkmarx e que a própria Bitwarden não foi comprometida.

Dados de 500.000 voluntários do UK Biobank foram encontrados listados para venda no Alibaba por uma fonte desconhecida. Aparentemente, o incidente ocorreu após três instituições de pesquisa chinesas terem baixado bulk datasets em desacordo com as regras contratuais. Em resposta, o UK Biobank revogou o acesso dessas instituições, suspendeu todo o acesso à plataforma, limitou o tamanho dos arquivos de exportação e irá implantar verificações automatizadas nas exportações de dados. Os campos expostos incluem dados demográficos, status socioeconômico, estilo de vida e marcadores biomédicos detalhados, elevando o risco de re-identificação, mesmo sem identificadores explícitos.

A Microsoft lançou uma correção urgente para a falha CVE-2026-40372 no Microsoft.AspNetCore.DataProtection. Esta vulnerabilidade permite que atacantes não autenticados forjem payloads de autenticação com suporte HMAC e obtenham acesso em nível de SYSTEM em implementações do ASP.NET Core que não rodam em Windows. Administradores devem atualizar para a versão 10.0.7, rotacionar o DataProtection key ring e, em seguida, rotacionar quaisquer tokens ou segredos de longa duração emitidos enquanto os sistemas estavam vulneráveis, pois esses artefatos podem persistir mesmo após a aplicação da correção.

Pesquisadores desenvolveram um sistema de penetration testing multi-agente, chamado Zealot, e o direcionaram a um ambiente GCP vulnerável com um objetivo claro: exfiltrar dados do BigQuery. O Zealot opera com um supervisor e três agentes especializados em infraestrutura, web exploitation e abuso de cloud, que se coordenam através de um AttackState compartilhado. Em testes, o sistema progrediu da network recon para a exploração de SSRF em uma aplicação web, roubo de um service account token, enumeração do BigQuery, escalonamento de privilégios via storage.objectAdmin e, finalmente, a extração dos dados.

A APT Tropic Trooper, também conhecida como Pirate Panda, KeyBoy ou APT23, e ligada à China, comprometeu o roteador doméstico de uma vítima para sobrescrever as configurações de DNS. O objetivo era redirecionar uma atualização legítima do dicionário youdaodict.exe para um servidor controlado pelo atacante, em um ataque de supply chain do tipo “evil twin”, entregando um beacon de Cobalt Strike com a marca d'água 520, característica do grupo, via um payload .xml trojanizado. Pesquisadores da Itochu e do Zscaler ThreatLabz descriptografaram cinco payloads .dat, revelando novas ferramentas, incluindo DaveShell, o loader Donut, os RATs Mythic-framework Merlin e Apollo Go, e um backdoor Go customizado chamado C6DOOR. Foi exposto um bucket S3 que hospedava 48 arquivos com páginas de phishing que se passavam por Signal, visando indivíduos de língua chinesa no Japão, Taiwan e Coreia do Sul. Uma campanha paralela observada pelo Zscaler detectou um binário trojanizado do SumatraPDF implantando o AdaptixC2 e o VS Code. Para a defesa, as empresas devem auditar o firmware de roteadores SOHO e as configurações de DNS em busca de alterações não autorizadas, ingerir a lista de IOCs do Zscaler ThreatLabz e buscar na telemetria de endpoint beacons de Cobalt Strike que carreguem a marca d'água 520.

O Citizen Lab documentou duas campanhas de longa duração onde fornecedores de vigilância não identificados se passaram por operadoras legítimas para abusar da sinalização SS7 e Diameter e de SMS em nível de SIM, com o objetivo de geolocalizar alvos em todo o mundo. As operações foram roteadas através da infraestrutura da 019Mobile, Tango Networks UK e Airtel Jersey/Sure, e ataques no estilo SIMjacker foram usados contra pelo menos um alvo de alto perfil.

Várias agências dos EUA, incluindo o Departamento de Comércio e a NSA, estão testando o modelo Mythos Preview da Anthropic para caçar vulnerabilidades. Contudo, a CISA teria sido deixada de fora, mesmo com a administração Trump cortando sua equipe e orçamento, limitando seus recursos de detecção de ataques cibernéticos e redirecionando pessoal para trabalhos de imigração.

Após a instalação, o Claude Desktop se pré-autoriza a acessar diversos navegadores para operação automatizada. Ele faz isso utilizando Native Messaging e pré-autoriza os navegadores sem qualquer permissão do usuário, mesmo que eles ainda não estejam instalados. Este comportamento viola as leis de privacidade da União Europeia.

A página "Press Lounge" da Seiko USA foi desfigurada com um aviso de ransomware, onde os atacantes afirmam ter invadido seu banco de dados Shopify e roubado informações de clientes, histórico de pedidos e dados de envio, mas sem dados financeiros.

A Rituals sofreu uma violação de dados que expôs nomes de clientes, detalhes de contato, gênero e datas de nascimento (mas sem senhas ou informações de pagamento).