CEVIU News - CEVIU Segurança da Informação - 4 de junho de 2026

Trinta e dois pacotes sob o namespace @redhat-cloud-services no npm foram infectados pelo malware Miasma, variante do Shai-Hulud, somando cerca de 117 mil downloads semanais. O ataque partiu do comprometimento da conta GitHub de um funcionário, que permitiu a publicação de versões maliciosas via token OIDC do GitHub Actions. Um hook de pré-instalação executava payload ofuscado de 4,2 MB capaz de roubar credenciais da AWS, GCP, Azure, Kubernetes, HashiCorp Vault, npm, PyPI, chaves SSH, GPG e arquivos .env. Ao todo, 309 repositórios foram afetados. A Red Hat confirmou que o impacto ficou limitado a ferramentas internas de desenvolvimento. Organizações expostas devem rotacionar imediatamente todos os segredos e tokens comprometidos.

O editor github.dev executa uma versão web do VSCode que recebe um token OAuth com acesso amplo a todos os repositórios do usuário — incluindo os privados. Pesquisadores identificaram uma falha no webview do VSCode que permite a um link malicioso executar código no ambiente e exfiltrar o token do GitHub com apenas um clique. A complexidade da aplicação amplia a superfície de ataque e torna o ambiente um alvo atraente para roubo de credenciais.

A vulnerabilidade CVE-2026-31525 (CVSS 7.8) afeta o interpretador BPF do kernel Linux (versões 7.0-rc1 a 7.0-rc4). Os manipuladores sdiv32 e smod32 invocam a macro abs() sobre o valor S32_MIN, gerando overflow de inteiro com sinal — comportamento indefinido que engana o verificador BPF e abre caminho para acesso fora dos limites em mapas BPF (CWE-787), resultando em corrupção de memória e escalação de privilégios local. A exploração só é possível quando o JIT BPF está desabilitado. Mitigação: aplique os commits upstream com o helper abs_s32(), defina kernel.unprivileged_bpf_disabled=1, ative o JIT via net.core.bpf_jit_enable=1 e restrinja CAP_BPF e CAP_SYS_ADMIN a serviços confiáveis.

A GoDaddy identificou uma campanha que comprometeu quase 2.000 sites WordPress. O ataque é sofisticado: comentários em perfis da Steam Community carregam caracteres Unicode com payloads ocultos. Após decodificados, esses payloads geram um arquivo JavaScript malicioso injetado em todas as páginas do site, abrindo caminho para o deploy de um backdoor PHP.

A CVE-2024-3094 não foi uma falha de código — foi uma violação de confiança. O atacante Jia Tan levou dois anos conquistando direitos de commit até inserir um backdoor nas macros autotools m4 dos arquivos de release do xz-utils. O repositório git permaneceu íntegro, tornando o ataque invisível para scanners de CVE até que um engenheiro percebesse uma latência de 500ms no SSH. O problema estrutural persiste: análise baseada em CVE apenas confirma se uma versão é conhecida como vulnerável — não se o pacote é seguro, padrão que se repetiu no lottie-player e no Solana web3.js. A defesa recomendada inclui fixar dependências diretas, revisar rigorosamente lockfile-diffs em todo PR, assinar feeds como o OSV e pausar atualizações quando surgirem sinais de mudança de mantenedor — novos e-mails, chaves de assinatura ou lançamentos atípicos.

Pesquisadores detalharam a escalada de ataques de phishing por device code em incidentes de Business Email Compromise. Os criminosos exploram o fluxo de autenticação da Microsoft para capturar tokens enquanto vítimas inserem códigos em domínios legítimos. O estudo aborda a complexidade forense quando atacante e vítima compartilham o mesmo session ID e orienta o uso de logs não interativos do Entra e linkable token IDs para rastreio. O relatório inclui ainda detecções via extensões de navegador, consultas KQL e políticas de Acesso Condicional para bloquear device code sign-ins.

Pesquisadores demonstraram o FROST (Fingerprinting Remotely using OPFS-based SSD Timing), ataque de side-channel em que uma página maliciosa grava um arquivo grande no Origin Private File System e monitora tempos de leitura via performance.now() para inferir quais outras abas estão abertas. Sem câmera, microfone ou extensões — apenas JavaScript —, o site atacante identifica sessões bancárias ativas e sincroniza pop-ups de phishing com precisão cirúrgica, expondo uma lacuna crítica no sandboxing dos navegadores modernos.

Uma investigação do Drey Dossier revelou que a página TrumpRx foi desenvolvida pelo National Design Studio, entidade criada por ordem executiva e formada por ex-funcionários do DOGE. O estúdio centraliza o redesign de sites oficiais como passport.gov e login.gov, retirando o controle das agências responsáveis. Agravando o cenário, a página usava o PostHog para coleta de dados analíticos — em contradição direta com sua própria política de privacidade.

Uma flag de depuração esquecida em seis apps Android da Microsoft — incluindo Word, Excel e Copilot — permitia que qualquer app malicioso no dispositivo solicitasse e recebesse tokens de acesso à conta Microsoft. Com apenas 15 linhas de código, atacantes podiam roubar tokens FOCI silenciosamente e acessar e-mails, arquivos, documentos e calendários. A Microsoft corrigiu a falha em maio via Patch Tuesday e Google Play.

A empresa de inteligência Sekoia identificou e atribuiu ao grupo Gamaredon — ligado ao FSB russo — um worm VBScript fileless batizado de GammaWorm. A ameaça utiliza fluxos de dados alternativos do NTFS para se ocultar no sistema, dificultando a detecção por ferramentas tradicionais de segurança.

A Anthropic está ampliando o Project Glasswing e o acesso ao modelo Claude Mythos para cerca de 150 organizações distribuídas em mais de 15 países. A iniciativa coloca IA de ponta em ambientes sensíveis, elevando o debate sobre riscos, governança e segurança em setores estratégicos ao redor do mundo.

Após atrito público com um pesquisador de vulnerabilidades, a Microsoft mudou de postura e declarou que não tomará medidas legais contra quem realiza ou publica pesquisas de segurança. A empresa limitará encaminhamentos jurídicos apenas a atividades comprovadamente maliciosas que causem danos reais a clientes.