CEVIU News - CEVIU Segurança da Informação - 9 de junho de 2026

A Microsoft removeu cerca de 70 projetos open source do GitHub após a descoberta de malware em ferramentas vinculadas ao Azure, Claude Code, CLI do Gemini e VS Code. Os pacotes infectados capturavam senhas e credenciais no momento em que desenvolvedores executavam as ferramentas. O caso pode estar relacionado a um comprometimento anterior do projeto Durable Task, indicando reincidência de acesso indevido aos repositórios.

Atacantes exploraram APIs de registro de dispositivos da Dashlane para executar ataques de spray com códigos de autenticação de dois fatores (2FA), forçando a emissão de tokens válidos. Com isso, conseguiram registrar novos dispositivos em pelo menos 20 contas, o suficiente para baixar cofres de senhas criptografados. Embora os dados permaneçam protegidos pela senha mestra (com Argon2), senhas fracas ou reutilizadas ficam vulneráveis se essa senha for comprometida. A Dashlane recomenda que usuários afetados alterem imediatamente suas senhas mestras e credenciais armazenadas.

Em fevereiro de 2025, a Lansing Community College identificou um acesso não autorizado aos seus sistemas por meio de credenciais comprometidas. O incidente expôs nomes, endereços, datas de nascimento, dados de carteira de motorista, números de Social Security e outros registros de 174.307 pessoas. A instituição oferece 24 meses de monitoramento de crédito e proteção de identidade aos afetados. Até o momento, não há evidências de exfiltração ou uso indevido dos dados, e nenhum grupo de ameaça foi responsabilizado.

O Mid and South Essex NHS Foundation Trust, um dos maiores grupos hospitalares da Inglaterra, confirmou o roubo de 2.380 registros de pacientes após um ataque cibernético a um fornecedor terceirizado de testes laboratoriais. O mesmo incidente comprometeu dados de outros hospitais. Entre as informações expostas estão nomes, datas de nascimento, números de identificação do NHS, endereços e resultados de exames.

Pesquisadores identificaram e reportaram uma vulnerabilidade já corrigida no editor Cursor que permitia execução de código na máquina da vítima apenas com a abertura de um repositório. A falha explorava um sandbox breakout no parser shouldBlockShellCommand, que não bloqueava comandos como export, cd e echo. O ataque comprometia o binário cursor-tunnel e usava a infraestrutura Dev Tunnels da Microsoft para obter acesso shell não autenticado.

Na Build 2026, a Microsoft revelou o MXC, um sistema agnóstico de sandbox para executar código não confiável e agentes. Ao contrário de soluções como Codex ou Claude Code, que operam no nível de aplicação, o MXC atua diretamente no kernel do sistema operacional. Ele adapta dinamicamente seu backend conforme o ambiente: AppContainer, Windows.AI.IsolationBroker, microVMs do WSL, NanVix, máquinas virtuais descartáveis do Windows, namespaces via bubblewrap ou Seatbelt no macOS, priorizando isolamento robusto sem depender de camadas de abstração de alto nível.

A Black Hills Information Security lançou o GoGatoZ, ferramenta open source em Go para auditoria de GitLab CI/CD, e a utilizou para escanear 3.757 projetos públicos no gitlab.com. O resultado: 7.331 descobertas, sendo 1.580 de severidade alta. Cerca de dois terços dos projetos tinham ao menos uma configuração incorreta. As principais falhas envolvem pipelines de merge request em forks não protegidos, permitindo exfiltração de variáveis de CI , , runners Docker com privilégios elevados, padrões inseguros como curl | bash e injeção de comandos em scripts shell. A recomendação é fixar imagens de container em SHAs, migrar segredos para variáveis mascaradas e restringir runners auto-hospedados a branches protegidos.

A Microsoft implementou um atraso de duas horas nas atualizações automáticas de extensões do VS Code para reduzir o risco de ataques à cadeia de suprimentos. A medida não se aplica a editores confiáveis como Microsoft, GitHub e OpenAI, que continuam recebendo atualizações imediatas. Usuários ainda podem forçar atualizações manuais. Estratégia semelhante já é adotada por ferramentas como npm, Yarn e Bundler para conter a propagação de pacotes recém-publicados e potencialmente maliciosos.

A Astral introduziu duas funcionalidades de segurança em preview no gerenciador de pacotes Python uv: o 'uv audit', scanner nativo de dependências com desempenho 4–10× superior ao pip-audit graças às resoluções bloqueadas do uv; e uma verificação de malware baseada em OSV, ativada via UV_MALWARE_CHECK=1, que consulta avisos da MAL em cada sincronização para bloquear instalações de pacotes maliciosos. A medida corrige falha crítica em instaladores que permitem carregar distribuições mesmo após sua remoção do PyPI, um risco sério para integridade de lockfiles e cadeias de suprimento.

O Conselho da cidade de York, no Reino Unido, enviou um e-mail a titulares do Blue Badge, documento que garante benefícios a pessoas com deficiência, sem usar o campo CCO. Com isso, centenas de endereços de e-mail ficaram visíveis para todos os destinatários, expondo indiretamente sua condição. O erro configura violação de privacidade sob o GDPR, com riscos reais de discriminação, phishing e uso indevido de dados pessoais. Autoridades exigem investigação imediata e correções estruturais na gestão de comunicações sensíveis.

A Include Security descobriu que o SDK da Bright Data, embutido em apps gratuitos distribuídos por PlayWorks Digital, CloudTV e Viber nas plataformas Samsung, LG e Roku, converte silenciosamente as TVs em nós de saída de proxy residencial. A operação usa a flag ignore_screen_on:true, funcionando mesmo com a tela desligada, e impõe um limite mensal de 200 GB de dados trafegados pelo dispositivo do usuário.

O domínio polyfill.io, sequestrado por uma entidade chinesa em 2024, foi reativado no final de maio e começou a exibir prompts nativos de credenciais em sites que nunca removeram os scripts incorporados. Páginas da Toshiba, Muji, Zojirushi, FiNC Technologies, Ishiyaku Publishers, Hobonichi e TVs Samsung passaram a retornar respostas HTTP 401, enganando usuários com telas falsas de login geradas pelo próprio navegador.