Atacantes inseriram backdoors em instaladores do Daemon Tools, assinados com o certificado do fornecedor, distribuindo malware para Windows via atualizações oficiais entre 8 de abril e o início de maio. O payload de primeira etapa faz o fingerprinting dos hosts e reporta dados para servidores dos atacantes, enquanto alvos selecionados recebem backdoors minimalistas ou o mais capaz QUIC RAT, que suporta múltiplos protocolos C2 e process injection. Pelo menos 100 organizações em mais de 100 países foram afetadas, com cerca de uma dúzia recebendo payloads avançados.
O pesquisador de segurança Andreas Makris sequestrou remotamente um cortador de grama Yarbo de $5.000 a milhares de quilômetros de distância e o dirigiu sobre o corpo do repórter para provar seu controle.
O analisador de IA autônomo da AISLE divulgou 38 CVEs no OpenEMR, a plataforma de prontuário eletrônico certificada pela ONC que atende mais de 100.000 provedores e 200 milhões de pacientes, representando mais da metade de todos os avisos do GitHub do OpenEMR no primeiro trimestre de 2026. As descobertas incluem duas injeções de SQL com CVSS 10.0 (CVE-2026-24908 no parâmetro _sort da Patient REST API e CVE-2026-23627 no campo patient_id de pesquisa/relatório de imunização). Nestas injeções, a concatenação não sanitizada em cláusulas ORDER BY e WHERE permite extração baseada em UNION, injeção cega baseada em tempo e RCE via privilégios de FILE. Além disso, foi encontrado um bypass de compartimento de paciente FHIR CareTeam (CVE-2026-24487) causado pelo FhirCareTeamService que não implementou a interface marker que aciona os filtros de escopo de paciente, juntamente com uma série de IDORs, XSS armazenado que ultrapassa a fronteira de confiança entre paciente e clínico, path traversals e um bypass de tempo limite de sessão. Defensores que utilizam OpenEMR devem atualizar imediatamente para versões posteriores à 8.0.0 e aos três patches subsequentes de março, auditar a aplicação do escopo do token OAuth2 nos endpoints FHIR e revogar os privilégios de FILE da conta do banco de dados do OpenEMR para conter qualquer comprometimento por injeção de SQL pré-patch.
Um grupo não identificado invadiu servidores que já estavam comprometidos pelo TeamPCP, expulsou os atacantes originais, limpou suas ferramentas e implantou um worm auto-propagável que mirava os serviços em nuvem das vítimas. Os atacantes também roubaram credenciais para revenda, acessaram contas de corretagem e se dedicaram à extorsão, que incluía phishing para obter logins de gerenciadores de senhas e a utilização de sites falsos de suporte técnico, sem investir tempo em esquemas de mineração de criptomoedas mais lentos.
Sam C, da Tanto Security, realizou engenharia reversa no roteador industrial 4G LTE PUSR USR-G806AU (firmware 1.0.41 e 2.0.13) e descobriu uma conta uid=0 não documentada, chamada "usr", cuja senha estava localizada no helper /bin/usr_root. Esta senha era codificada adicionando 0x61 (mod 256) a cada caractere de um blob de 14 bytes e direcionada para su - usr -c em runtime, sendo rastreada como CVE-2024-42682. A allowlist de comandos do mesmo binário também permite o escalonamento local de privilégios via substituição de comando $(...) e backtick (omitida de sua denylist &;|#), e através do empilhamento de argumentos /bin/sh -c que permite que /sbin/tcpdump contorne a verificação de comando válido. A senha recuperada concede acesso root remoto aos daemons SSH e Telnet, expostos por padrão nas portas 2222 e 2233. Proprietários devem bloquear as interfaces de gerenciamento (HTTP, SSH, Telnet nas portas 80/1080/8008/8888/9080, 23/2233/2323, 2222) de redes não confiáveis, já que a PUSR não responde desde julho de 2024 e nenhuma correção foi confirmada. Desenvolvedores devem substituir os wrappers su com credenciais embutidas por políticas sudoers que evitem o armazenamento de senhas recuperáveis em disco.
Pesquisadores da GitGuardian desenvolveram cadeias de Markov, treinadas com 8.000 senhas de 40 LLMs de 11 provedores diferentes. Eles exploraram vieses estatísticos, como a taxa de 35% de unicidade do Claude Opus 4.6 e substrings recorrentes (por exemplo, Gx#8dL em 96% das saídas do Llama-3.3-70b), para identificar o modelo e o provedor com 55% e 65% de precisão, respectivamente. Aplicado a 34 milhões de senhas do GitHub entre novembro de 2025 e março de 2026, o classificador sinalizou 28.000 como geradas por LLM, a uma taxa de aproximadamente 1.500 por semana, com Anthropic, Qwen e Google respondendo por 63% delas. Além disso, 1.800 arquivos .env e configurações do Terraform foram encontrados com credenciais geradas por IA hardcoded. Para proteção, as empresas devem proibir LLMs como geradores de senhas em suas políticas, exigir a geração baseada em vaults e fazer o deploy de scanners de hook-event como ggshield contra saídas de agentes Claude e Cursor, visto que esses mesmos modelos de Markov permitem um cracking muito mais eficiente do que a força bruta.
A Searchlight Cyber encadeou uma injeção de template AMPScript (via TreatAsContent e uma dupla avaliação padrão de linhas de assunto de e-mail) com um CBC padding oracle no parâmetro qs, compartilhado por todos os tenants do SFMC. Em seguida, contornou a blocklist de parâmetros reservados do MicrositeURL contrabandeando =0&LID=1&j=2&m=3&ls=4 em um único argumento para forjar strings de consulta criptografadas arbitrárias entre tenants. Um esquema XOR legado, com chave baseada em uma string estática repetitiva e um checksum 0xFFFF ^ sum(bytes), ainda era validado em tenants recém-criados, reduzindo a enumeração do SubscriberID 'ls' a uma requisição HTTP por tentativa e expondo as data views _Subscribers, _Sent, _Job, _Click e _SMSMessageTracking em todas as instâncias da Fortune 500 hospedadas na plataforma. A Salesforce implementou AES-GCM, expirou todos os links anteriores a 23 de janeiro de 2026 às 21:00 UTC e desativou a dupla avaliação de linhas de assunto sob as CVEs CVE-2026-22585, CVE-2026-22586, CVE-2026-22582, CVE-2026-22583 e CVE-2026-2298. Portanto, os defensores devem confirmar que nenhum link de e-mail de marketing permanece fixado ao formato antigo, auditar qualquer AMPScript customizado que passe entrada de assinante para TreatAsContent e considerar qualquer URL renderizada historicamente pelo SFMC como não confiável.
Um pesquisador de segurança encadeou uma implementação local do Ollama, executando qwen3-coder:30b, com automação de workflow n8n e um banco de dados vetorial Qdrant. O objetivo foi triar binários do Microsoft Patch Tuesday, alimentando as diferenças de funções corrigidas e vulneráveis, obtidas via Ghidra headless version tracking, através de um agente de IA. Este agente gera um relatório de vulnerabilidade estruturado e o envia para o GitHub. Um pipeline RAG ingere feeds RSS, URLs e notas carregadas via um agente Document Processor usando qwen3:embedding, fornecendo ao agente analisador um contexto histórico de CVEs para fundamentar suas descobertas. Contudo, o orçamento de ~20 mil tokens do prompt forçou a truncagem de funções corrigidas baseada em tiktoken e ocasionalmente omitiu a função vulnerável real. Os relatórios publicados em github.com/ghostbyt3/nday-automation-ai servem como um acelerador de triagem, não como ground truth, e defensores que construam pipelines semelhantes devem tratar a saída da IA como um ponto de partida que ainda exige validação manual por reverse engineering antes de qualquer asserção de CVE.
AIMap é uma plataforma de código aberto para descoberta e teste de segurança que consulta o Shodan e executa templates Nuclei, além de probes HTTP ao vivo contra infraestruturas de agentes de IA expostas. Isso inclui servidores MCP, Ollama, vLLM, LiteLLM, LocalAI, LangServe, OpenWebUI, Gradio, ComfyUI e HuggingFace TGI, com o objetivo de identificar o protocolo, framework, estado de autenticação, ferramentas, modelos e prompts de sistema vazados. Cada endpoint recebe uma pontuação de risco de 0 a 10, ponderada pela postura de autenticação, CORS, TLS, exposição de ferramentas, vazamento de prompts e combinações perigosas de capacidades. A plataforma possui suites de ataque integradas para enumeração de ferramentas MCP e invocação não autorizada, extração de pesos de modelos Ollama e extração de prompts de sistema compatíveis com OpenAI, transmitidos em tempo real. A stack Docker Compose inclui serviços de backend, frontend, MongoDB e Redis, e requer apenas uma chave de API do Shodan para funcionar, com o código-fonte completo disponível em github.com/BishopFox/aimap. É responsabilidade dos operadores garantir a conformidade com CFAA e GDPR, visto que os módulos ativos exigem confirmação explícita do alvo.
Pesquisadores demonstraram que a ferramenta CLI-Anything pode converter repositórios open-source em backdoors para agentes de IA. Isso é feito através do envenenamento de instruções SKILL.md, as quais scanners de segurança ignoram. O método permite a implantação de payloads estilo DDIPE, que persistem mesmo após verificações de código e dependências, aproveitam a autorização plana em agentes de codificação e exploram marketplaces MCP e ecossistemas de skill no estilo ClawHub.
A empresa de cibersegurança RedAccess identificou 5.000 sites desenvolvidos com ferramentas de vibe-coding de Replit, Netlify, Lovable e Base44 que estavam publicamente acessíveis. Esses sites vazaram dados privados com pouca ou nenhuma autenticação necessária. Alguns desses aplicativos expuseram informações de um hospital, conversas privadas de clientes e dados financeiros. Porta-vozes da Replit, Lovable e Base44 relataram à Axios que a RedAccess não lhes forneceu aviso ou informações suficientes para identificar e auxiliar os clientes a proteger os sites antes da publicação.
A Mitiga demonstrou como um pacote npm malicioso pode sequestrar o tráfego MCP do Claude Code, modificando o arquivo ~/.claude.json para inserir um proxy controlado pelo atacante.
