CEVIU News - CEVIU Segurança da Informação - 30 de maio de 2026

O grupo Seedworm (MuddyWater), ligado ao Irã, conduziu uma campanha de espionagem no início de 2026 contra nove organizações em nove países. A campanha abusou de binários legítimos da Fortemedia (fmapp.exe) e SentinelOne (sentinelmemoryscanner.exe) para realizar sideloading de DLLs maliciosas contendo o stealer de dados de navegador ChromElevator. Os operadores usaram node.exe em vez de PowerShell para orquestrar a cadeia de ataque e evadir a detecção, estabeleceram persistência via chave de registro, implementaram ferramentas de roubo de credenciais em ondas redundantes e exfiltraram dados via o serviço público de transferência de arquivos sendit.sh para se misturar ao tráfego normal de nuvem. Recomenda-se monitorar DLLs não assinadas carregadas junto a executáveis assinados, sinalizar atividades inesperadas de Node.js, bloquear tráfego de saída para serviços de transferência de arquivos desconhecidos e aplicar políticas rigorosas de registro de inicialização.

Um bug de registro de container no Gitea (CVE-2026-27771) permitiu que usuários não autenticados acessassem imagens "privadas" por aproximadamente quatro anos. Isso expôs código, segredos e configurações de produção em cerca de 30.000 instâncias auto-hospedadas de Gitea e Forgejo, impactando setores como saúde, aeroespacial, SaaS e ISPs. Operadores devem fazer upgrade para o Gitea v1.26.2, considerar definir REQUIRE_SIGNIN_VIEW=true como medida paliativa e auditar os logs de registro em busca de acessos suspeitos.

A Pay Tel, serviço de telefonia em prisões, deixou um servidor de armazenamento Azure exposto na internet, contendo pelo menos 300.000 carteiras de motorista digitalizadas, outros documentos de identidade, fotos de usuários e comunicações de detentos, incluindo textos, anotações manuscritas e registros financeiros. A UpGuard relatou o bucket exposto em 7 de maio. A Pay Tel subsequentemente protegeu o servidor, mas não reconheceu publicamente o incidente nem informou se notificará os usuários afetados.

O grupo Nimbus Manticore (UNC1549), ligado ao IRGC, conduziu uma campanha entre fevereiro e abril, empregando sequestro de AppDomain com arquivos Setup.exe.config maliciosos e instaladores trojanizados do Zoom (Zoom_cm.exe). O objetivo era implantar os backdoors MiniJunk e MiniFast, aproveitando a tarefa agendada legítima ZoomUpdateTaskUser para persistência. Durante a campanha, o grupo aprimorou suas táticas, desenvolvendo código assistido por IA que permitia controle remoto completo via cmd.exe, mascarado como tráfego do Chrome. Posteriormente, abandonaram iscas por e-mail em favor de SEO poisoning, impulsionando o site falso getsqldeveloper[.]com para o topo de resultados de busca no Bing e DuckDuckGo. Defensores devem procurar arquivos .config emparelhados com binários assinados, auditar tarefas agendadas por adulterações e monitorar atividades de download de domínios typosquatted de software.

Pesquisadores da Novee encontraram um XSS armazenado no pretalx que permite a qualquer usuário registrado injetar HTML ou JavaScript nos resultados de busca de organizadores e executar código no navegador do organizador em uma consulta correspondente. O exploit utiliza um iframe srcdoc para burlar o bloqueio de scripts innerHTML e um arquivo .js carregado de mesma origem para satisfazer a CSP. Em seguida, ele sequestra a sessão do organizador e pode revogar permanentemente os direitos de superusuário via GETs autenticados. Um atacante pode automatizar submissões, plantar payloads em títulos e impulsionar uma exploração quase certa em muitas conferências que usam implantações compartilhadas do pretalx.

Ao implementar novas políticas de segurança, as equipes devem começar comunicando os detalhes da mudança, sua data de efetivação e os motivos. Antes da implementação, é crucial realizar um piloto com um grupo diversificado de usuários e iterar com base no feedback recebido. Por fim, as equipes devem garantir que a aplicação da política seja visível, serem responsáveis por sua execução e estarem preparadas para lidar com exceções.

IBM e Red Hat lançaram o Project Lightwell com um investimento de 5 bilhões de dólares para proteger as cadeias de suprimentos open source. O sistema aplica correções de vulnerabilidades para versões exatas de dependências já em produção, utilizando 20.000 engenheiros e IA para corrigir pacotes em Maven/Java, com PyPI, npm e Go planejados. Ele opera através de manifestos de dependência como pom.xml, sem acessar o código-fonte, entregando patches assinados com SLAs para repositórios controlados.

CrowdStrike, Google e a The Shadowserver Foundation desativaram a botnet Glassworm, que visava desenvolvedores e estava ativa desde outubro de 2025, utilizando extensões maliciosas de OpenVSX e VS Code, repositórios GitHub e pacotes npm para roubar carteiras de criptomoedas e credenciais de desenvolvedores. A ação conjunta cortou simultaneamente quatro canais C2 (comando e controle) deliberadamente resilientes: campos de memo da blockchain Solana, o BitTorrent DHT, títulos de eventos do Google Calendar contendo caminhos codificados em Base64, e conexões diretas de VPS. Qualquer canal isolado poderia fazer failover para os outros, por isso os operadores criaram camadas de indireção que só poderiam ser derrotadas por uma derrubada coordenada e simultânea. Agora, os hosts infectados não conseguem mais receber novas instruções ou payloads. Defensores devem procurar máquinas comprometidas que estejam "beaconing" para o sinkhole operado pela CrowdStrike em 164.92.88[.]210 e aplicar as regras YARA publicadas para confirmar infecções, remediando as extensões e pacotes maliciosos nos endpoints de desenvolvedores afetados.

Métricas, logs e traces foram por muito tempo os três pilares da observability tooling. No entanto, esses pilares não se sustentam na era dos LLMs e sistemas agentic, pois foram projetados para humanos, embora os agentes sejam agora os principais consumidores de observability. Atualmente, os traces são o pilar principal, e seus esquemas devem ser versionados e vistos de forma similar a uma API.

Uma vulnerabilidade crítica foi descoberta na implementação Startlette ASGI, que serve de base para o FastAPI e outros frameworks amplamente utilizados na construção de serviços Python. A falha pode ser facilmente explorada para contornar a autorização baseada em caminho, adicionando um único caractere ao cabeçalho HTTP host. Desenvolvedores que dependem de projetos que utilizam Startlette, como FastLLM, vLLM ou LiteLLM, devem atualizar suas versões imediatamente.

O Departamento de Justiça dos EUA obteve confissões de culpa do ex-CEO da C.A. Cloud Attribution, Adam Young, e do ex-CSO, Harrison Gevirtz.

Uma emenda proposta na Califórnia redefine o termo "provedor de sistema operacional" para excluir software de código aberto e modificável pelo usuário.

Hackers usaram engenharia social para comprometer uma conta de funcionário da Carnival em 14 de abril, acessando sistemas internos e exfiltrando arquivos com dados pessoais de aproximadamente 5.995.277 indivíduos.