Uma versão comprometida do Injective TypeScript SDK (@injectivelabs/[email protected]) foi identificada por registrar e exfiltrar mnemonics e chaves privadas de carteiras. Os dados eram enviados via requisição POST para um endpoint da própria infraestrutura InjectiveLabs, o que permitia a reconstituição das chaves por atacantes. A mesma versão maliciosa se espalhou para 17 pacotes relacionados, exigindo uma auditoria urgente das dependências, movimentação imediata de fundos de carteiras afetadas e a rotação de todas as chaves e mnemonics comprometidos por parte dos desenvolvedores.

CEVIU News - CEVIU Segurança da Informação - 14 de julho de 2026
🚨 CEVIU Segurança da Informação
Pesquisadores da Jamf alertam para a ascensão do CrashStealer, um infostealer para macOS que se camufla astutamente como a ferramenta nativa CrashReporter da Apple. Este novo malware exibe um falso prompt de senha, coletando credenciais para então desbloquear o chaveiro do sistema, permitindo o roubo de dados sensíveis. Sua operação se destaca pela discrição, empregando um dropper notarizado e criptografia AES-256-GCM para empacotar informações roubadas em arquivos zip antes da exfiltração, representando um risco significativo à segurança digital.
Pesquisadores da Binarly alertam para seis novas vulnerabilidades críticas no bootloader U-Boot, com duas permitindo Execução Remota de Código (RCE) e as demais abrindo portas para ataques de Negação de Serviço. Os problemas (BRLY-2026-037 a BRLY-2026-042) surgem da análise de imagens FIT não confiáveis antes da verificação de assinatura. Grande parte do código afetado data da v2013.07, comprometendo mais de 50 versões estáveis e firmwares de diversos fornecedores. As falhas de RCE exploram a confiança em ponteiros nulos não verificados e comprimentos negativos, enquanto as de travamento decorrem de tamanhos e offsets não validados, ponteiros nulos de formatos antigos e recursão ilimitada, sublinhando a necessidade de atualização imediata para mitigar riscos de segurança. Empresas e governos devem priorizar a avaliação e correção dessas vulnerabilidades para proteger sua infraestrutura.
A Agência de Segurança Nacional (NSA) dos EUA anunciou a restauração do nome 'Tailored Access Operations' (TAO) para seu Office of Computer Network Operations, revertendo a reestruturação NSA21 de 2016. Sob a nova liderança do vice-diretor Tim Kosiba, essa mudança sinaliza um retorno à integração de desenvolvedores e operadores, anteriormente separados em diretorias distintas. A unidade de elite, focada em operações cibernéticas ofensivas, prepara-se para inaugurar uma nova sede em Fort Meade no próximo mês, consolidando suas atividades de cibersegurança e inteligência.
A Progress Software emitiu um alerta urgente aos clientes do ShareFile, instruindo-os a desativar imediatamente os Controladores Storage Zone baseados em Windows. A medida foi tomada após a detecção de uma ameaça externa credível, visando isolar os sistemas afetados da nuvem e permitir uma investigação aprofundada pelas equipes de segurança. A instrução afeta apenas controladores on-premise, com contas exclusivamente em nuvem permanecendo seguras. A empresa orienta os clientes a manterem os controladores offline, tratarem os servidores expostos como incidentados, preservarem logs e verificarem a presença de arquivos .aspx desconhecidos, um indicativo de comprometimento.
Pesquisadores em segurança cibernética desvendaram uma nova e engenhosa técnica, batizada de 'Ghostcommit', que explora agentes de IA para subtrair credenciais de repositórios Git. O método consiste em embutir instruções maliciosas dentro de uma imagem, que é então carregada no repositório. Essas instruções orientam o agente de IA a copiar o arquivo `.env` e exfiltrá-lo, byte a byte, disfarçado como uma sequência numérica. Agentes de revisão de Pull Request (PR) não conseguiram identificar a ameaça nas imagens, permitindo a aprovação do código malicioso. Testes práticos confirmaram a eficácia do ataque em plataformas como Cursor e Antigravity (com modelos específicos), enquanto o Opus, integrado ao Claude Code, demonstrou capacidade de detecção contra essa forma de engenharia social.
Pesquisadores da Miggo revelaram falhas graves no RabbitMQ (versão 3.13.0 e posteriores) que abrem caminho para a aquisição de controle administrativo total sem autenticação e o mapeamento de filas de tenants. A principal vulnerabilidade expõe o client secret OAuth através de um endpoint não autenticado, permitindo que atacantes comprometam sistemas que dependem desse secret. Além disso, outra falha possibilita a leitura de estatísticas e a declaração passiva de filas em virtual hosts compartilhados. A Miggo enfatiza a urgência na atualização para versões corrigidas, rotação de secrets OAuth e restrição de acesso à porta 15672 para conter a exposição de dados.
A varejista dinamarquesa Miinto revelou que um invasor obteve acesso a seu sistema interno de gerenciamento de pedidos, expondo dados de clientes como nomes, contatos, endereços e tipos de métodos de pagamento. Embora números de cartão de crédito e CVVs não tenham sido comprometidos, a empresa alertou para o risco de ataques de phishing direcionados. A Miinto agiu rapidamente para remover o invasor, fortalecer seus controles de acesso e notificou as autoridades e órgãos reguladores, enquanto orienta os clientes a manterem vigilância redobrada contra tentativas de fraude.
A Check Point Research revelou o Cavern Manticore, um ator ligado ao Ministério de Inteligência e Segurança (MOIS) do Irã e ao subgrupo Lyceum (OilRig). Este grupo tem sido implicado em intrusões contra entidades governamentais israelenses e empresas de tecnologia. Os ataques se iniciam com o abuso de atualizações de software de RMM e SysAid, seguido pelo sideload de uma DLL maliciosa (uxtheme.dll) – o Cavern Agent – por meio de um executável legítimo (WinDirStat.exe). Esta tática estabelece um sofisticado C2 modular .NET, concebido com formatos de compilação que dificultam a análise, isolamento de AppDomain por módulo e exclusão de diretórios de inicialização para evadir a detecção forense. Os módulos pós-exploração executam enumeração e força bruta de LDAP/AD, acesso a bancos de dados SQL, descriptografia de credenciais DPAPI, ataques a compartilhamentos SMB e tunelamento SOCKS5/WebSocket, utilizando tráfego HTTPS/WSS cifrado com chave XOR para domínios C2 como auth[.]hospitalinstallation[.]com. Para defensores, a auditoria de sideloading de uxtheme.dll, monitoramento de ferramentas RMM e a observação de padrões específicos de User-Agent e cabeçalhos X-User-token são cruciais para a detecção.
Pesquisadores da TU Dresden revelaram uma falha grave em sete mecanismos de ligação entre atestado e TLS, utilizados em plataformas como WhatsApp Private Processing (Meta), Contrast (Edgeless Systems) e Cocos AI. A análise, empregando o verificador simbólico ProVerif, identificou que todos os mecanismos são vulneráveis a ataques de retransmissão (CVE-2026-33697, CVSS 7.5, CWE-322). Um atacante com a chave privada TLS efêmera de um enclave pode apresentar atestados legítimos, mas redirecionar a sessão, passando por todas as verificações criptográficas e criptografando para um endpoint malicioso. A exploração exige comprometimento físico para extrair a chave, similar a ataques como wiretap.fail e TEE.fail, evidenciando a ausência de vinculação do atestado ao tráfego da aplicação ou de validação de tempo/vivacidade. O estudo propõe uma mitigação de nível 2, em revisão por grupos do IETF, e ressalta a insuficiência de auditorias manuais sem verificação formal rigorosa.
Pesquisadores da SpecterOps estão na vanguarda do uso de LLMs para aprimorar a engenharia reversa e a análise de soluções EDR (Endpoint Detection and Response) comerciais. Utilizando o GPT-5.5-Cyber, a equipe dissecou o agente Cortex XDR da Palo Alto Networks, explorando suas DLLs, extraindo regras YARA e comportamentais, e recuperando modelos locais. Essa abordagem permitiu a criação de suítes de emulação avançadas, facilitando testes de evasão contra EDRs emulados e evidenciando o potencial da IA na descoberta de vulnerabilidades de segurança.
Ataque de Phishing Abusa do Fluxo de Código de Dispositivo Microsoft com Redirecionamentos Legítimos
Pesquisadores alertam sobre um sofisticado ataque de phishing que explora o fluxo de código de dispositivo OAuth da Microsoft, mesmo com autenticação multifator (MFA) ativada. Cibercriminosos utilizam PDFs protegidos por senha e redirecionamentos legítimos de domínios Microsoft e Cacoo.com para enganar vítimas. Após um CAPTCHA, a página de destino maliciosa captura automaticamente um device_code legítimo, induzindo o usuário a colá-lo em uma URL de verificação genuína da Microsoft. Completada a MFA, o atacante obtém tokens de acesso que permitem acesso persistente a e-mails, exfiltração de arquivos do OneDrive e acesso ao Teams. A mesma técnica já foi observada mirando usuários brasileiros. Para mitigar, é crucial desabilitar o Device Code Flow se não utilizado, monitorar eventos de DeviceCodeSignIn, exigir conformidade de dispositivos e capacitar usuários a jamais aprovar prompts de código de dispositivo não solicitados, mesmo em páginas de login legítimas da Microsoft.
A Datadog acaba de lançar o GuardDog 3.0, uma atualização significativa para seu scanner de código aberto focado em pacotes PyPI e npm maliciosos. A nova versão substitui o Semgrep por regras YARA, executadas via yara-python, o que promete varreduras mais rápidas e eficientes em termos de consumo de memória. O GuardDog 3.0 também introduz um motor de risco aprimorado que correlaciona capacidades e indicadores de ameaça ao longo do ciclo de ataque, atribuindo uma pontuação de 0 a 10. Testes internos da Datadog demonstraram uma precisão de 89,2% e recall de 88,3% em um conjunto de dados de 27 mil pacotes maliciosos. Além disso, todas as varreduras agora são realizadas por padrão em um sandbox Nono, que restringe o acesso ao sistema de arquivos e à rede, neutralizando tentativas de exploração contra o próprio GuardDog por pacotes maliciosos.
Um incidente grave de segurança comprometeu a CISA, agência de cibersegurança dos EUA, após um contratado tornar público um repositório "Private CISA" no GitHub por seis meses. O vazamento expôs chaves de administrador da AWS GovCloud e senhas em texto puro de sistemas internos. Apesar de alertas automatizados do GitGuardian não terem sido atendidos, a CISA agora reforça seus canais de notificação de incidentes e aprimora a varredura contínua de código público e interno para segredos, buscando prevenir e detectar exposições futuras com maior agilidade.
Google e Microsoft agiram rapidamente para remover a popular extensão ModHeader de suas respectivas lojas, tanto no Chrome quanto no Edge, após a descoberta de um código malicioso oculto. A extensão, que acumulava cerca de 1,6 milhão de instalações, continha um código dormente capaz de coletar impressões digitais de dispositivos e criptografar dados de até mil domínios visitados, enviando-os periodicamente para api.stanfordstudies[.]com. Embora a função de coleta de dados estivesse inativa na versão distribuída, toda a infraestrutura para a exfiltração estava presente, evidenciando uma ameaça latente. Especialistas recomendam a desinstalação imediata do ModHeader, a alteração de credenciais e a revisão de logs de tráfego em busca de atividades suspeitas, bem como o bloqueio dos domínios e APIs associados para mitigar riscos.
A Phia, uma extensão de compras que atraiu investidores de destaque, foi recentemente suspensa da plataforma de afiliados Impact.com. A suspensão decorre de uma investigação da Bloomberg que revelou a prática de 'cookie stuffing': a extensão injetava códigos de referência próprios durante o checkout, sobrescrevendo os de outros afiliados e, consequentemente, capturando comissões de vendas que não originou. Embora a Phia afirme ter resolvido a questão, o incidente levanta sérias preocupações sobre a integridade do marketing de afiliados e a segurança das operações para varejistas e parceiros do ecossistema digital.
Karen Serobovich Vardanyan, de nacionalidade armênia, admitiu sua culpa em um tribunal federal de Portland por conspiração e fraude informática. Ele foi responsável pela implementação do ransomware Ryuk contra organizações norte-americanas entre novembro de 2019 e abril de 2020. Entre as vítimas, uma empresa de Michigan foi forçada a pagar 200 bitcoins, equivalente a mais de US$ 1,1 milhão na época, além de outras em Oregon e Texas. Vardanyan e seus cúmplices acumularam cerca de 1.610 bitcoins, avaliados em mais de US$ 15 milhões no momento dos pagamentos. O réu enfrenta até 15 anos de prisão e concordou em restituir US$ 1,1 milhão. O grupo Ryuk foi desmantelado em 2020, com muitos de seus membros migrando para o Conti, destacando a resiliência dessas operações cibernéticas, mesmo diante de extradições.
O GigaWiper, um novo backdoor baseado em Go, tem sido identificado em ataques desde outubro de 2025, unindo funcionalidades de wiper e ransomware em uma plataforma modular sofisticada. Com capacidades que incluem a exclusão física de discos, ativação de BSOD, criptografia reversível e irreversível de arquivos, captura de tela e execução de comandos PowerShell, essa ameaça representa um risco elevado. O GigaWiper ainda conta com um robusto sistema de comando e controle, utilizando RabbitMQ e Redis para manter o acesso remoto e a persistência nos sistemas comprometidos, apagando rastros ao limpar logs.
O Centers Laboratory, localizado em Nova Jersey, confirmou uma grave violação de dados que comprometeu informações pessoais e de saúde de mais de 540 mil indivíduos. Invasores acessaram os sistemas da instituição por vários dias em agosto de 2025, obtendo acesso a dados sensíveis, incluindo números de Seguro Social e registros médicos. O incidente ressalta a constante ameaça cibernética enfrentada por organizações que gerenciam informações de saúde.
Angelo Martino, ex-negociador de ransomware da DigitalMint, foi sentenciado a seis anos de prisão após admitir ter colaborado com operadores do grupo BlackCat. Ele compartilhava informações confidenciais, como limites de seguro das vítimas e táticas de negociação, para que os criminosos pudessem inflar os valores dos resgates. Martino recebia uma porcentagem dos pagamentos, que superaram US$ 75 milhões, em um esquema que explorava a vulnerabilidade de empresas e colocava em xeque a confiança em serviços de resposta a incidentes cibernéticos. A condenação ressalta os riscos internos e a importância da integridade em posições-chave na cibersegurança.
Agências de inteligência e segurança dos EUA, incluindo NSA, FBI e CISA, juntamente com 15 parceiros internacionais, alertaram sobre ataques cibernéticos persistentes contra setores essenciais como energia, comunicações, saúde e governo. As ações são atribuídas ao Centro 16 do FSB russo, conhecido como Berserk Bear/Static Tundra. A colaboração global visa reforçar a defesa contra a ameaça crescente à infraestrutura crítica.
A equipe do Wireshark lançou a versão 4.6.7, focada na correção de 12 falhas críticas de segurança que afetavam os 'dissectors' e 'parsers' do software. Identificadas por códigos como wnpa-sec-2026-53 a -61, essas vulnerabilidades poderiam levar a ataques de negação de serviço através de travamentos e loops infinitos em protocolos como pcapng, SSH, TLS ECH, IEEE 802.11 e BLF. Embora nenhuma das falhas permita execução remota de código, a atualização é crucial, especialmente para usuários que analisam capturas de rede não confiáveis via pcapng, Wi-Fi, TLS ou SSH, garantindo a integridade e disponibilidade das análises.
Uma falha de segurança grave foi identificada no Debian: a recente atualização do MariaDB para a versão 10.11.18-0+deb12u1 está ativando o serviço mariadb.socket incondicionalmente, conforme relatado em um bug do sistema. Essa mudança faz com que a porta 3306 do banco de dados seja exposta em todas as interfaces de rede por padrão, em vez de restringir-se apenas ao localhost. A configuração, que antes era padrão para maior segurança, agora pode deixar sistemas vulneráveis a ataques externos sem aviso prévio. Administradores de sistemas Debian com MariaDB devem verificar suas configurações imediatamente para mitigar riscos.
Um adolescente de 15 anos foi detido em Tóquio após admitir ter empregado o ChatGPT para desenvolver um código malicioso. O programa enviou comandos de cancelamento de registro falsos aos servidores da Bandai Namco Filmworks, resultando na exclusão de 46.812 contas do Bandai Channel e expondo dados pessoais de até 1,36 milhão de usuários. O incidente destaca as crescentes ameaças impulsionadas por IA na cibersegurança.
Receba as melhores notícias de tech
Conteúdo curado diariamente, direto no seu e-mail.
