CEVIU News - CEVIU Segurança da Informação - 29 de abril de 2026

A Medtronic confirmou um ataque cibernético pelo grupo ShinyHunters, que alegou ter roubado 9 milhões de registros pessoais e terabytes de dados corporativos. Os atacantes listaram a empresa de dispositivos médicos em seu site de vazamento de dados em 17 de abril, com um prazo de resgate até 21 de abril. A Medtronic foi removida do site, sugerindo um possível pagamento. A empresa afirma que a fabricação, os produtos e a patient safety não foram afetados, mas não confirmou o roubo dos dados.

A Cato Networks documentou uma campanha global de três meses (setembro a novembro de 2025) que atingiu 14.426 PLCs Modbus/TCP expostos à internet em 70 países. O setor de manufatura representou 18% dos alvos, enquanto EUA, França e Japão somaram 61% dos IPs visados. A atividade evoluiu de reconhecimento automatizado de Read Holding Register (0x03) — cerca de 235,5 mil requisições de 233 IPs — para playbooks roteirizados de fingerprint e leitura (0x2B/0x0E pareados com leituras em 0xB414). Posteriormente, observaram-se comportamentos de maior impacto, incluindo leituras em massa de 124 registradores no estilo DoS (uma fonte gerou 158,1 mil leituras contra um único alvo), 3.240 tentativas de Write Multiple Registers (0x10) de um IP a partir de 0x0BB8, e raras sondagens expandidas de identificação de dispositivo (0200) de seis fontes geolocalizadas na China, sinalizadas como infraestrutura com intenção mais elevada. Recomenda-se que defensores mantenham o Modbus totalmente fora da internet pública, implementem segmentação OT/IT com allowlisting de origem rigoroso para qualquer conectividade necessária e bloqueiem gravações 0x10 de entrada não solicitadas por padrão para prevenir manipulação em nível de registrador de processos físicos.

O pesquisador Egor Kovetskiy demonstrou que a exportação de URL .patch do GitHub incorpora a mensagem de commit completa junto com o diff real. Assim, quando um usuário desavisado executa o workflow comum de wget patch, o GNU patch analisa o texto em formato diff inserido na mensagem de commit e o aplica como se fizesse parte da alteração legítima. Em seu reprodutor público, isso criou um arquivo SHOULD_NOT_BE_HERE.md fora do escopo que a UI do GitHub nunca exibe. Testes locais escalaram o impacto: o GNU patch aceitou escritas em .git/hooks/post-applypatch (execução silenciosa de código no próximo git am), enquanto git apply e git am rejeitaram a travessia .git/... mas ainda aplicaram diffs injetados em arquivos comuns da working-tree. Apenas o git cherry-pick, que opera em objetos Git, não foi afetado. Os defensores devem parar de direcionar URLs .patch diretamente para patch -p1, preferir git am ou git cherry-pick de um clone local confiável, inspecionar as mensagens de commit em busca de marcadores diff --git incorporados antes de aplicar, e auditar pipelines de CI e bots que baixam automaticamente arquivos .patch do GitHub para este injection vector.

O pacote Python `elementary-data` foi comprometido para roubar dados de desenvolvedores e carteiras de criptomoedas. `elementary-data` é uma ferramenta popular de data observability utilizada por engenheiros de dados que trabalham com pipelines de dados. Pesquisadores da StepSecurity afirmam que o pacote foi comprometido através de um commit malicioso que explorou uma falha de injeção de script no GitHub Actions.

O Vimeo divulgou que dados de alguns de seus clientes e usuários foram comprometidos após uma violação na empresa de detecção de anomalias Anodot. A empresa afirmou que sua investigação inicial sugere que os dados continham principalmente detalhes técnicos, como títulos e metadados de vídeos. No entanto, em alguns casos, endereços de e-mail de clientes também foram expostos.

Um pesquisador descobriu uma vulnerabilidade de use-after-free (GHSA-w89h-j2xg-c457) corrigida no navegador Ladybird. A falha ocorreu porque o crescimento de um SharedArrayBuffer do WebAssembly gerou dangling pointers no seu JavaScript engine. O fast path do assembly interpreter ignorou a validação, permitindo uma cadeia de exploração que utilizou o FixedArray overlap e TypedArrays falsos para alcançar RCE através da falsificação de vtable e chamadas a libc system(). Profissionais de defesa devem monitorar alocações rápidas de TypedArray, impor verificações de limites (bounds checking) nos fast paths do interpretador e garantir que os pointers em cache sejam invalidados durante realocações de memória.

A Unit 42 da Palo Alto Networks desenvolveu um sistema de segurança ofensivo multiagente, incumbindo-o de tentar explorar uma aplicação web e exportar dados de uma tabela BigQuery com os privilégios obtidos. O sistema era composto por um orquestrador que gerenciava o teste, um agente de infraestrutura responsável por tarefas como port scanning, um agente de segurança de aplicações encarregado de testar a aplicação descoberta, e um agente de segurança da cloud para tarefas relacionadas à nuvem. No teste, o orquestrador iniciou solicitando ao agente de infraestrutura a realização de um network scan. Em seguida, instruiu o agente de segurança de aplicações a encontrar e explorar uma vulnerabilidade SSRF em uma aplicação web descoberta. Por fim, o agente de segurança da cloud foi encarregado de usar as credenciais roubadas na etapa anterior para exfiltrar dados do BigQuery.

Atacantes exploraram uma falha no GitHub Actions do projeto element-data para roubar chaves de assinatura. Em seguida, eles distribuíram uma release maliciosa (versão 0.23.3) que exfiltrava credenciais de warehouse, chaves de cloud, tokens de API, chaves SSH e conteúdos de variáveis de ambiente, antes de ser removida aproximadamente 12 horas depois. Usuários afetados devem instalar a versão 0.23.4, verificar a existência do arquivo marcador 'trinny', limpar caches e rotacionar os segredos expostos.

ShinyHunters alega ter roubado dados da Pitney Bowes, incluindo 8.2 milhões de endereços de e-mail únicos, além de nomes, números de telefone e endereços físicos.

Um cidadão americano-estoniano de 19 anos, ligado ao grupo Scattered Spider, foi preso em Helsinque e enfrenta acusações de fraude eletrônica e invasão de computador.

Promotores alemães estão investigando uma suposta campanha de phishing russa no Signal que comprometeu centenas de contas, incluindo as de militares, diplomatas e da Presidente do Bundestag, Julia Klöckner. A operação explorou QR codes de dispositivos vinculados e técnicas de personificação.