CEVIU Logo
CEVIU News

CEVIU News - CEVIU Segurança da Informação - 4 de junho de 2026

22 notícias4 de junho de 2026CEVIU Segurança da Informação
Compartilhar:

🔴 CEVIU Segurança da Informação

Trinta e dois pacotes sob o namespace @redhat-cloud-services no npm foram infectados pelo malware Miasma, variante do Shai-Hulud, somando cerca de 117 mil downloads semanais. O ataque partiu do comprometimento da conta GitHub de um funcionário, que permitiu a publicação de versões maliciosas via token OIDC do GitHub Actions. Um hook de pré-instalação executava payload ofuscado de 4,2 MB capaz de roubar credenciais da AWS, GCP, Azure, Kubernetes, HashiCorp Vault, npm, PyPI, chaves SSH, GPG e arquivos .env. Ao todo, 309 repositórios foram afetados. A Red Hat confirmou que o impacto ficou limitado a ferramentas internas de desenvolvimento. Organizações expostas devem rotacionar imediatamente todos os segredos e tokens comprometidos.

A CISA adicionou a CVE-2024-21182, uma falha no Oracle WebLogic Server com pontuação CVSS 7.3, ao seu catálogo de vulnerabilidades exploradas conhecidas. A brecha permite que atacantes não autenticados acessem dados críticos, e administradores federais têm até a próxima quinta-feira para aplicar as correções nas versões 12.2.1.4.0 e 14.1.1.0.0. Embora o bug tenha sido corrigido no Critical Patch Update de julho de 2024, pesquisadores apontam que a adição tardia ao catálogo KEV reflete um padrão comum, onde a demora na aplicação de patches expõe organizações a riscos significativos. Considerando que atacantes frequentemente exploram vulnerabilidades poucas horas após a divulgação, o prazo médio de 60 dias para correção é insuficiente. Especialistas reforçam que a pontuação moderada do CVSS subestima o risco real do cenário atual, sendo essencial tratar a atualização como uma prioridade imediata para mitigar a exploração ativa do ambiente.

O editor github.dev executa uma versão web do VSCode que recebe um token OAuth com acesso amplo a todos os repositórios do usuário, incluindo os privados. Pesquisadores identificaram uma falha no webview do VSCode que permite a um link malicioso executar código no ambiente e exfiltrar o token do GitHub com apenas um clique. A complexidade da aplicação amplia a superfície de ataque e torna o ambiente um alvo atraente para roubo de credenciais.

A Calif divulgou uma vulnerabilidade denominada HTTP/2 Bomb, um ataque remoto de negação de serviço que afeta nginx, Apache httpd, Microsoft IIS, Envoy e Cloudflare Pingora em suas configurações padrão. Identificada com o auxílio do Codex da OpenAI, a falha encadeia duas técnicas antigas: uma bomba de referência indexada HPACK, onde cada referência de 1 byte força alocações de 70 a 4.000 bytes, e um travamento de janela de controle de fluxo que retém essa memória. Isso permite que um único cliente consuma cerca de 32 GB em Apache httpd ou Envoy em apenas 20 segundos. O problema decorre de uma interpretação falha na RFC 7541, que ignorou o risco de pinning de memória via HTTP/2, resultando na mesma classe de bug em diversas implementações.

A vulnerabilidade CVE-2026-31525 (CVSS 7.8) afeta o interpretador BPF do kernel Linux (versões 7.0-rc1 a 7.0-rc4). Os manipuladores sdiv32 e smod32 invocam a macro abs() sobre o valor S32_MIN, gerando overflow de inteiro com sinal, comportamento indefinido que engana o verificador BPF e abre caminho para acesso fora dos limites em mapas BPF (CWE-787), resultando em corrupção de memória e escalação de privilégios local. A exploração só é possível quando o JIT BPF está desabilitado. Mitigação: aplique os commits upstream com o helper abs_s32(), defina kernel.unprivileged_bpf_disabled=1, ative o JIT via net.core.bpf_jit_enable=1 e restrinja CAP_BPF e CAP_SYS_ADMIN a serviços confiáveis.

A Microsoft anunciou o Coreutils para Windows durante a conferência Build 2026. Trata-se de um pacote instalável via WinGet, construído sobre o projeto uutils baseado em Rust, que disponibiliza utilitários Linux como cat, cp, find, grep, ls e rm por meio de um único binário coreutils.exe com hardlinks NTFS. Comandos com dependências POSIX, como chmod, chown, kill e whoami, foram omitidos nesta implementação.

O Programa Mundial de Alimentos (WFP) confirmou que investiga uma violação de dados que expôs informações de 600 mil famílias em Gaza. A exposição ocorreu por meio de uma falha na sua aplicação de autorregistro (SRA), utilizada por palestinos na região. Um denunciante anônimo apontou que a organização levou duas semanas para notificar os indivíduos afetados por meio do Telegram.

A CVE-2024-3094 não foi uma falha de código, foi uma violação de confiança. O atacante Jia Tan levou dois anos conquistando direitos de commit até inserir um backdoor nas macros autotools m4 dos arquivos de release do xz-utils. O repositório git permaneceu íntegro, tornando o ataque invisível para scanners de CVE até que um engenheiro percebesse uma latência de 500ms no SSH. O problema estrutural persiste: análise baseada em CVE apenas confirma se uma versão é conhecida como vulnerável, não se o pacote é seguro, padrão que se repetiu no lottie-player e no Solana web3.js. A defesa recomendada inclui fixar dependências diretas, revisar rigorosamente lockfile-diffs em todo PR, assinar feeds como o OSV e pausar atualizações quando surgirem sinais de mudança de mantenedor, novos e-mails, chaves de assinatura ou lançamentos atípicos.

A Unit 42 rastreou a Operação FlutterBridge, uma campanha com motivação financeira que distribui o backdoor FlutterShell para macOS por meio de anúncios verificados pelo Google, veiculados por empresas de fachada. Os payloads, como PodcastsLounge e PDF-Brain, possuem notarização da Apple e não apresentam detecções no VirusTotal. O FlutterShell utiliza uma ponte JavaScript-to-native via WebView para buscar comandos de runtime, realiza fingerprinting de hosts pelo IOPlatformUUID e sequestra buscas no Chrome. Versões recentes também exfiltram documentos sob o pretexto de funcionalidades de IA para resumo de texto. Defensores devem monitorar domínios C2 como atsheisdomestic[.]org, etoftheappyrince[.]org e healightejustb[.]org, além de verificar hashes SHA256 e comportamentos suspeitos no Chrome. Ressalta-se que a notarização da Apple não deve ser considerada uma garantia de safety.

Embora o debate sobre segurança de IA esteja focado em modelos extensos como o Claude Mythos, pesquisadores da Universidade de Toronto demonstraram que um worm de IA criado com um modelo open-weight em uma única GPU pode comprometer redes. O malware não identifica vulnerabilidades inéditas, mas busca falhas já divulgadas e se adapta para se mover lateralmente em redes que não estão totalmente corrigidas. Ao infectar uma máquina, o worm sequestra recursos de compute para sustentar seu processo de raciocínio, tornando-se mais eficiente conforme se propaga.

Pesquisadores detalharam a escalada de ataques de phishing por device code em incidentes de Business Email Compromise. Os criminosos exploram o fluxo de autenticação da Microsoft para capturar tokens enquanto vítimas inserem códigos em domínios legítimos. O estudo aborda a complexidade forense quando atacante e vítima compartilham o mesmo session ID e orienta o uso de logs não interativos do Entra e linkable token IDs para rastreio. O relatório inclui ainda detecções via extensões de navegador, consultas KQL e políticas de Acesso Condicional para bloquear device code sign-ins.

A Anthropic expandiu sua iniciativa de busca por vulnerabilidades via IA, o Project Glasswing, incluindo mais 150 empresas focadas em infraestruturas críticas como energia, água, saúde, comunicações e hardware. A estimativa é que ataques bem-sucedidos em bases de código desses setores possam impactar mais de 100 milhões de pessoas por parceiro. Embora a iniciativa ajude na descoberta de bugs, analistas alertam que o gargalo real está na execução, já que fornecedores e SOCs já enfrentam dificuldades para validar, priorizar e aplicar patches em falhas conhecidas, aumentando o risco de transformar problemas de visibilidade em crises operacionais. Pesquisadores também apontam lacunas de confiança em relação aos requisitos de segurança para novos participantes e na precisão de patches gerados por IA, além de preocupações sobre a exposição de modelos que já registraram episódios de vazamento.

Pesquisadores demonstraram o FROST (Fingerprinting Remotely using OPFS-based SSD Timing), ataque de side-channel em que uma página maliciosa grava um arquivo grande no Origin Private File System e monitora tempos de leitura via performance.now() para inferir quais outras abas estão abertas. Sem câmera, microfone ou extensões, apenas JavaScript , , o site atacante identifica sessões bancárias ativas e sincroniza pop-ups de phishing com precisão cirúrgica, expondo uma lacuna crítica no sandboxing dos navegadores modernos.

Uma investigação do Drey Dossier revelou que a página TrumpRx foi desenvolvida pelo National Design Studio, entidade criada por ordem executiva e formada por ex-funcionários do DOGE. O estúdio centraliza o redesign de sites oficiais como passport.gov e login.gov, retirando o controle das agências responsáveis. Agravando o cenário, a página usava o PostHog para coleta de dados analíticos, em contradição direta com sua própria política de privacidade.

Durante a conferência Build 2026, a Microsoft anunciou o lançamento do Scout, definido como seu primeiro agente do tipo Autopilot. Desenvolvido sobre o OpenClaw, o Scout será integrado ao Microsoft 365 para levar a tecnologia a um público empresarial. A solução está disponível em preview privado e exige configuração de política no Intune, atestação de opt-in e uma licença do GitHub Copilot.

Uma flag de depuração esquecida em seis apps Android da Microsoft, incluindo Word, Excel e Copilot, permitia que qualquer app malicioso no dispositivo solicitasse e recebesse tokens de acesso à conta Microsoft. Com apenas 15 linhas de código, atacantes podiam roubar tokens FOCI silenciosamente e acessar e-mails, arquivos, documentos e calendários. A Microsoft corrigiu a falha em maio via Patch Tuesday e Google Play.

Após o pesquisador Nightmare Eclipse publicar PoCs para diversas vulnerabilidades não corrigidas da Microsoft, incluindo RedSun CVE-2026-41091, UnDefend CVE-2026-45498, BlueHammer CVE-2026-33825, YellowKey CVE-2026-45585, além de GreenPlasma e MiniPlasma, a empresa enfrentou críticas severas. Uma referência feita pela Microsoft em 27 de maio à sua Digital Crimes Unit foi interpretada como uma ameaça legal devido a uma disputa de disclosure. Em resposta, a companhia esclareceu em 1º de junho que não tomará medidas contra a pesquisa de segurança legítima.

Receba as melhores notícias de tech

Conteúdo curado diariamente, direto no seu e-mail.

Conteúdo curado diariamenteDiversas categoriasCancele quando quiser
CEVIU News - CEVIU Segurança da Informação - 4 de junho de 2026 | CEVIU