A Microsoft anunciou a correção de duas vulnerabilidades críticas no seu software de antivírus Defender, que estão sendo ativamente exploradas por cibercriminosos. As falhas, identificadas como CVE-2026-41091 e CVE-2026-45498, têm pontuações de severidade de 7.8 e 7.5, respectivamente, em uma escala de 10. A primeira permite a escalada de privilégios, enquanto a segunda pode causar negação de serviço. As atualizações foram enviadas automaticamente, mas os usuários são aconselhados a verificar manualmente se estão utilizando as versões mais recentes do Malware Protection Engine e da Antimalware Platform. A CISA (Agência de Segurança Cibernética e Infraestrutura dos EUA) incluiu essas vulnerabilidades em seu catálogo de vulnerabilidades conhecidas, dando um prazo até 3 de junho para que agências federais realizem as correções necessárias. A Microsoft recomenda que todos os usuários do Defender verifiquem suas versões para garantir que estão protegidos contra essas ameaças.

O Drupal, um popular sistema de gerenciamento de conteúdo, emitiu um alerta sobre uma vulnerabilidade de injeção SQL considerada ‘altamente crítica’, identificada como CVE-2026-9082. Essa falha, descoberta pelo pesquisador Michael Maturi da Google/Mandiant, afeta a API de abstração de banco de dados do Drupal e permite que atacantes executem comandos SQL maliciosos em sites que utilizam PostgreSQL. A exploração dessa vulnerabilidade não requer autenticação, o que aumenta significativamente os riscos, podendo levar à execução remota de código, escalonamento de privilégios e divulgação de informações sensíveis. Desde a publicação do alerta, tentativas de exploração já foram detectadas, levando o Drupal a atualizar a pontuação de risco para 23 em 25, embora o NIST a classifique como de severidade média, com uma pontuação CVSS de 6.5. O Drupal recomenda que todos os administradores atualizem imediatamente para as versões mais recentes de suas ramificações, uma vez que a falha impacta diversas versões do sistema. Além disso, mesmo aqueles que não utilizam PostgreSQL devem realizar a atualização, pois as correções incluem melhorias em dependências críticas como Symfony e Twig. O uso contínuo das versões 8 e 9 do Drupal, que estão no fim de sua vida útil, é considerado arriscado devido a outras vulnerabilidades conhecidas.

A Trend Micro, empresa japonesa de cibersegurança, identificou uma vulnerabilidade zero-day no seu software Apex One, que é uma plataforma de segurança de endpoint para empresas. A falha, classificada como CVE-2026-34926, é uma vulnerabilidade de travessia de diretórios no servidor Apex One (versão local), permitindo que atacantes locais com privilégios administrativos injetem código malicioso. A empresa alertou que, apesar das condições restritivas para exploração, já houve tentativas de ataque na prática. A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu essa vulnerabilidade em sua lista de falhas ativamente exploradas e ordenou que agências federais aplicassem patches até 4 de junho. Além disso, a Trend Micro lançou atualizações de segurança para corrigir outras sete vulnerabilidades de escalonamento de privilégios locais no agente de proteção de endpoint Apex One. Nos últimos anos, a Apex One tem sido alvo frequente de ataques, com várias falhas zero-day sendo exploradas. A CISA atualmente monitora 12 vulnerabilidades da Trend Micro que foram ou ainda estão sendo utilizadas em ataques.

Dois ex-executivos de uma empresa de rastreamento e análise de chamadas, Adam Young e Harrison Gevirtz, se declararam culpados por ocultar um esquema de fraude em suporte técnico que afetou vítimas em todo o mundo. Entre 2017 e 2022, eles operaram a C.A. Cloud Attribution, Ltd., fornecendo serviços a clientes envolvidos em fraudes de telemarketing e suporte técnico. Os golpistas enganavam usuários com anúncios falsos, alegando que seus sistemas estavam infectados, e direcionavam as vítimas a centros de atendimento que cobravam altas quantias por serviços técnicos fictícios, muitas vezes se passando por empresas como Microsoft e Apple. Young e Gevirtz não apenas ignoraram as atividades fraudulentas de seus clientes, mas também aconselharam a utilização de números de telefone rotativos para evitar reclamações. Além disso, eles operaram um call center na Tunísia, onde alguns funcionários participaram de fraudes semelhantes. O FBI relatou que os americanos perderam pelo menos $2,1 bilhões para fraudes de suporte técnico em 2025, destacando a gravidade do problema. Os executivos enfrentam uma pena máxima de três anos de prisão e multas de até $250 mil, com a sentença marcada para 16 de junho.

Investigadores de crimes financeiros na Holanda, conhecidos como FIOD, prenderam dois homens e apreenderam 800 servidores de uma empresa de hospedagem na web, a Stark Industries. A operação, que ocorreu em várias localidades, incluindo Dronten e Schiphol-Rijk, revelou que a empresa estava envolvida em ciberataques, operações de interferência e campanhas de desinformação, apoiando indiretamente entidades russas e bielorrussas sancionadas pela União Europeia. A Stark Industries, fundada em fevereiro de 2022, foi adicionada à lista de entidades sancionadas em maio do ano passado. Após a imposição das sanções, a infraestrutura de hospedagem foi transferida para uma nova empresa, a WorkTitans B.V., que, segundo investigações, atuava como uma fachada para as entidades sancionadas. A WorkTitans é acusada de estar ligada a ataques cibernéticos realizados pelo grupo hacktivista pro-russo NoName057(16), que já realizou ataques DDoS a organizações importantes. A operação destaca a crescente preocupação com o uso de serviços de hospedagem para atividades ilegais e a necessidade de vigilância contínua sobre a infraestrutura digital.

O artigo analisa a interação de drivers em modo kernel do Windows com o modo usuário, mesmo na ausência do hardware para o qual foram desenvolvidos. Essa pesquisa é motivada pela necessidade de avaliar a explorabilidade de vulnerabilidades em drivers, que frequentemente são limitadas por condições de hardware. O foco está na arquitetura Plug and Play do Windows e na superfície de ataque que os drivers representam, especialmente em ataques do tipo BYOVD (Bring Your Own Vulnerable Driver). Esses ataques podem permitir a escalada de privilégios locais e a interrupção de componentes de segurança do sistema, como EDRs. O artigo destaca que a criação de objetos de dispositivo é um vetor de ataque viável, mas que muitos drivers não permitem a exploração sem o hardware correspondente. A análise inclui padrões comuns de criação e manutenção de objetos de dispositivo, além de discutir a lógica de inicialização de drivers compatíveis com PnP. O estudo é relevante para profissionais de cibersegurança, pois fornece insights sobre como vulnerabilidades em drivers podem ser exploradas, mesmo em condições adversas. A pesquisa foi realizada em uma versão específica do Windows 11, e os resultados podem impactar a segurança de sistemas que utilizam esses drivers.

Pesquisadores de cibersegurança revelaram uma nova campanha automatizada chamada Megalodon, que injetou 5.718 commits maliciosos em 5.561 repositórios do GitHub em um intervalo de seis horas. Os atacantes utilizaram contas descartáveis e identidades forjadas para inserir fluxos de trabalho do GitHub Actions que continham payloads em bash codificados em base64. Esses payloads têm a capacidade de exfiltrar segredos de CI, credenciais de nuvem, chaves SSH e outros dados sensíveis para um servidor de comando e controle. Entre os dados coletados estão variáveis de ambiente do CI, credenciais da AWS e do Google Cloud, chaves privadas SSH, tokens OIDC e arquivos de configuração. A campanha foi caracterizada por um uso astuto de nomes de autores e mensagens de commit que imitavam manutenção rotineira. O impacto é significativo, pois uma vez que um repositório é comprometido, o malware pode se espalhar ainda mais, aumentando o risco de roubo de credenciais em larga escala. O grupo TeamPCP, responsável por essa campanha, já comprometeu várias ferramentas de código aberto e parece estar motivado financeiramente, além de ter uma agenda geopolítica, como evidenciado pelo uso de malware destrutivo em máquinas localizadas no Irã e em Israel.

O grupo de ameaças alinhado à Bielorrússia, conhecido como Ghostwriter, tem utilizado iscas relacionadas à plataforma de aprendizado online Prometheus para atacar organizações governamentais na Ucrânia. Desde a primavera de 2026, o grupo tem enviado e-mails de phishing a entidades governamentais, utilizando contas comprometidas. Os e-mails geralmente contêm um anexo PDF que, ao ser clicado, leva ao download de um arquivo ZIP com um script JavaScript chamado OYSTERFRESH. Este script exibe um documento de distração enquanto escreve um payload ofuscado e criptografado, denominado OYSTERBLUES, no Registro do Windows. OYSTERBLUES coleta informações do sistema, como nome do computador e versão do sistema operacional, enviando esses dados para um servidor de comando e controle. O payload final é avaliado como Cobalt Strike, uma ferramenta amplamente utilizada para simulações de adversários e atividades pós-exploração. Para mitigar essa ameaça, o CERT-UA recomenda restringir a execução do wscript.exe para contas de usuários padrão. Além disso, o Conselho de Segurança Nacional e Defesa da Ucrânia revelou que a Rússia tem utilizado ferramentas de inteligência artificial para aprimorar suas operações cibernéticas, destacando a crescente sofisticação das ameaças.

Um estudo da Checkmarx revelou que 75% das organizações reconhecem que frequentemente enviam código vulnerável, uma prática que se tornou comum no setor. A pesquisa destaca que, enquanto em 2018 o tempo médio para explorar uma vulnerabilidade era de 840 dias, atualmente esse prazo caiu para menos de dois dias, e pode chegar a apenas um minuto em um futuro próximo. Essa situação é alarmante, especialmente para setores críticos como a saúde, que já enfrenta um aumento nos ataques de ransomware e pressão regulatória. Além disso, a utilização de aplicativos ‘vibe-coded’, que são desenvolvidos inteiramente por meio de interações com IA, tem exacerbado a exposição a falhas de segurança, resultando em mais de 5.000 aplicativos que expõem dados corporativos e pessoais na web. O cenário atual exige uma revisão urgente das práticas de segurança cibernética das empresas, uma vez que a velocidade de exploração de vulnerabilidades está aumentando rapidamente.

Jacob Butler, um canadense de 23 anos, foi preso em Ottawa sob um mandado de extradição, acusado de operar a botnet KimWolf, que infectou quase dois milhões de dispositivos em todo o mundo. Segundo documentos judiciais, Butler utilizava um modelo de ‘cibercrime como serviço’ para vender acesso a uma vasta rede de sistemas comprometidos, que incluíam desde câmeras de segurança até dispositivos de streaming. A KimWolf foi responsável por mais de 25 mil ataques DDoS, causando perdas financeiras superiores a um milhão de dólares para algumas vítimas. O ataque mais significativo registrado alcançou quase 30 terabits por segundo, tornando-se um dos maiores ataques DDoS já divulgados. Além disso, as autoridades dos EUA também desmantelaram 45 plataformas de DDoS-for-hire, interrompendo operações que colaboravam com a KimWolf. A prisão de Butler é parte de uma operação internacional que visa combater o cibercrime e proteger a infraestrutura digital.

A Ubiquiti divulgou atualizações de segurança para corrigir três vulnerabilidades de gravidade máxima no UniFi OS, que podem ser exploradas por atacantes remotos sem privilégios. O UniFi OS é um sistema operacional unificado que gerencia a infraestrutura de TI, incluindo redes e segurança. A primeira falha (CVE-2026-34908) permite alterações não autorizadas em sistemas, enquanto a segunda (CVE-2026-34909) possibilita o acesso a arquivos do sistema subjacente por meio de uma vulnerabilidade de Path Traversal. A terceira falha (CVE-2026-34910) permite ataques de injeção de comandos após o acesso à rede, explorando uma vulnerabilidade de validação inadequada de entrada. Além disso, a Ubiquiti corrigiu uma segunda falha crítica de injeção de comandos (CVE-2026-33000) e uma de divulgação de informações (CVE-2026-34911). Embora a empresa não tenha confirmado se as vulnerabilidades foram exploradas antes da divulgação, elas podem ser utilizadas em ataques de baixa complexidade. Atualmente, a empresa de inteligência de ameaças Censys rastreia cerca de 100.000 endpoints do UniFi OS expostos na Internet, a maioria localizada nos Estados Unidos. A Ubiquiti já enfrentou ataques de grupos de hackers apoiados por estados e cibercriminosos, o que destaca a importância de mitigar essas vulnerabilidades rapidamente.

O Departamento de Justiça dos EUA anunciou a prisão de Jacob Butler, um canadense de 23 anos, acusado de operar a botnet Kimwolf, uma variante do AISURU. Essa botnet foi projetada para infectar dispositivos normalmente protegidos por firewalls, como câmeras e molduras digitais, e utilizava um modelo de ‘cibercrime como serviço’ para vender acesso a esses dispositivos a outros criminosos. Os dispositivos infectados eram forçados a participar de ataques DDoS, que visavam servidores em todo o mundo, incluindo endereços IP da rede de informações do Departamento de Defesa dos EUA. Butler foi identificado através de registros de IP e mensagens em plataformas como Discord. A operação de desmantelamento da Kimwolf ocorreu em colaboração com autoridades canadenses e alemãs, resultando na interrupção de sua infraestrutura de comando e controle. A botnet é responsável por mais de 25.000 comandos de ataque e por alguns dos maiores ataques DDoS já registrados, com picos de tráfego de 31,4 Terabits por segundo. Butler enfrenta até 10 anos de prisão se condenado por intrusão de computador.

A Cisco lançou atualizações para uma vulnerabilidade de alta severidade no Secure Workload, identificada como CVE-2026-20223, com uma pontuação CVSS de 10.0. Essa falha permite que um atacante remoto e não autenticado acesse dados sensíveis devido à validação e autenticação insuficientes ao acessar endpoints da API REST. Segundo a Cisco, um atacante pode explorar essa vulnerabilidade enviando uma solicitação de API manipulada para um endpoint afetado, o que pode resultar na leitura de informações confidenciais e na realização de alterações de configuração com privilégios de administrador do site. A vulnerabilidade afeta o Cisco Secure Workload Cluster Software em implementações SaaS e locais, independentemente da configuração do dispositivo, e não há soluções alternativas disponíveis. As versões afetadas incluem o Cisco Secure Workload Release 3.9 e anteriores, com correções disponíveis nas versões 3.10.8.3 e 4.0.3.17. A Cisco identificou a falha durante testes internos de segurança e não há evidências de exploração ativa até o momento.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu duas vulnerabilidades críticas em seu catálogo de Vulnerabilidades Conhecidas Exploradas (KEV), afetando o Langflow e o Trend Micro Apex One. A primeira, CVE-2025-34291, com um escore CVSS de 9.4, é uma falha de validação de origem no Langflow que permite a execução de código arbitrário, comprometendo totalmente o sistema. A segunda, CVE-2026-34926, com um escore CVSS de 6.7, é uma vulnerabilidade de travessia de diretório nas versões on-premise do Apex One, que pode ser explorada por um atacante local com credenciais administrativas para injetar código malicioso. Relatórios indicam que a falha no Langflow foi explorada por um grupo de hackers iraniano, MuddyWater, para obter acesso inicial a redes-alvo. A CISA exige que as agências federais apliquem correções até 4 de junho de 2026, dada a gravidade da exploração ativa dessas vulnerabilidades.

Um erro grave no Chromium, que permite que o JavaScript continue a ser executado em segundo plano mesmo após o fechamento do navegador, foi acidentalmente revelado pelo Google. A falha, identificada pela pesquisadora de segurança Lyra Rebane, foi reconhecida em dezembro de 2022 e afeta todos os navegadores baseados em Chromium, como Google Chrome, Microsoft Edge e Brave. Um atacante pode explorar essa vulnerabilidade criando uma página maliciosa que utiliza um Service Worker, permitindo a execução contínua de código JavaScript nos dispositivos dos usuários. Isso pode resultar em ataques de negação de serviço distribuído (DDoS) e redirecionamento de tráfego malicioso. Apesar de a falha ter sido marcada como corrigida em fevereiro de 2023, a pesquisadora constatou que o problema persiste em versões recentes do Chrome e Edge. A exposição das informações sobre a vulnerabilidade pode facilitar a exploração, embora não permita acesso direto a dados pessoais dos usuários. Dada a gravidade da situação, espera-se que o Google trate o problema como urgente e lance correções rapidamente.

Pesquisadores de segurança cibernética descobriram uma grande campanha de fraude publicitária chamada Trapdoor, que afetou milhões de usuários de Android em todo o mundo. A operação utilizou 455 aplicativos disponíveis no Google Play Store, que pareciam inofensivos, como leitores de PDF, mas que, após a instalação, solicitavam uma atualização falsa. Essa atualização, na verdade, baixava um aplicativo oculto que gerava 659 milhões de solicitações de anúncios fraudulentos diariamente, resultando em perdas significativas para anunciantes e empresas que utilizam redes de anúncios. Os aplicativos maliciosos foram baixados mais de 24 milhões de vezes antes de serem removidos pelo Google após a notificação dos pesquisadores. A campanha destaca a interconexão entre malvertising e fraudes publicitárias, onde cada etapa do processo alimenta a próxima, criando um ciclo vicioso de exploração e lucro para os atacantes. Os usuários devem desinstalar qualquer aplicativo suspeito e manter vigilância sobre suas instalações para evitar serem vítimas dessa fraude.

A Sefas, desenvolvedora de software, notificou 191.848 texanos sobre uma violação de dados ocorrida em dezembro de 2025 no Frost Bank, um de seus clientes. Os dados comprometidos incluem números de Seguro Social, números de identificação fiscal, números de contas e datas de nascimento. O grupo cibercriminoso Everest reivindicou a responsabilidade pela violação em 20 de abril de 2026, alegando ter roubado 250.000 números de Seguro Social do Frost Bank e 3,4 milhões de registros do Citizens Bank no mesmo dia. Embora a Sefas tenha confirmado a atividade não autorizada em seu servidor SFTP, nem Frost Bank nem Citizens Bank reconheceram publicamente as alegações do Everest. A Sefas está oferecendo 12 meses de monitoramento de crédito aos afetados. Desde o início de 2025, 68 ataques de ransomware foram registrados contra instituições financeiras nos EUA, com apenas nove confirmados. Os ataques de ransomware podem causar perda de dados e exigir resgates para a recuperação dos sistemas. O grupo Everest, ativo desde 2020, já atacou diversas organizações, incluindo a NASA e o governo brasileiro.

O serviço de rede privada virtual (VPN) conhecido como ‘First VPN’, utilizado em ataques de ransomware e roubo de dados, foi desativado em uma operação conjunta de aplicação da lei internacional. Autoridades apreenderam dezenas de servidores do First VPN em 27 países, prenderam o administrador e realizaram uma busca domiciliar na Ucrânia. O serviço era promovido em fóruns de cibercrime como uma VPN focada na privacidade, que não registrava dados dos usuários e ignorava solicitações de informações por parte das autoridades. Embora as VPNs sejam usadas legitimamente para proteger a privacidade, contornar censura e permitir trabalho remoto seguro, criminosos também as utilizam para ocultar sua localização. A Europol informou que o nome do serviço foi mencionado em quase todas as investigações de cibercrime que apoiou. A investigação começou em dezembro de 2021 e envolveu a infiltração na infraestrutura da VPN, onde foram coletados dados de usuários e conexões utilizadas em ataques. A operação resultou na apreensão de 33 servidores e na identificação de usuários da plataforma, embora não tenha sido especificado se ações legais serão tomadas contra eles.

A Cisco divulgou atualizações de segurança para corrigir uma vulnerabilidade crítica no Cisco Secure Workload, anteriormente conhecido como Cisco Tetration. Essa falha, identificada como CVE-2026-20223, permite que atacantes não autenticados obtenham privilégios de Site Admin através de APIs REST internas do Secure Workload. A vulnerabilidade decorre de uma validação e autenticação insuficientes ao acessar os endpoints da API, possibilitando que um atacante envie uma solicitação API manipulada para um endpoint afetado. A exploração bem-sucedida dessa falha pode permitir que o invasor leia informações sensíveis e faça alterações de configuração em diferentes inquilinos com os privilégios de um usuário Site Admin. A Cisco não encontrou evidências de que essa vulnerabilidade tenha sido explorada antes da divulgação do aviso. Para mitigar o problema, a empresa lançou atualizações de software para clientes on-premises e já corrigiu a falha na versão SaaS do Cisco Secure Workload. A situação é alarmante, especialmente considerando que a Cisco já havia alertado sobre outra vulnerabilidade crítica em sua plataforma Catalyst SD-WAN, que estava sendo explorada ativamente. Com um histórico de 91 vulnerabilidades da Cisco sendo exploradas nos últimos cinco anos, a necessidade de atenção redobrada por parte das equipes de segurança é evidente.

Uma campanha de ciberespionagem atribuída ao grupo de ameaças Calypso, também conhecido como Red Lamassu, tem como alvo provedores de telecomunicações na Ásia-Pacífico e partes do Oriente Médio desde meados de 2022. Os pesquisadores da Lumen’s Black Lotus Labs e da PwC Threat Intelligence identificaram dois tipos de malware: Showboat, para sistemas Linux, e JFMBackdoor, para Windows. O Showboat é um framework modular que permite a persistência após a infecção inicial, coletando informações do sistema comprometido e enviando-as a um servidor de comando e controle. Uma de suas funcionalidades notáveis é a capacidade de atuar como um proxy SOCKS5, facilitando o movimento lateral na rede interna. Por outro lado, o JFMBackdoor é um implante de espionagem completo para Windows, que permite acesso remoto, gerenciamento de arquivos, manipulação do registro e captura de telas. A infraestrutura dos atacantes sugere um modelo operacional descentralizado, com clusters que compartilham ferramentas e padrões de certificação, mas que visam conjuntos de vítimas distintos. A análise indica que as ferramentas podem ser utilizadas por vários grupos de ameaças alinhados à China, aumentando a preocupação com a segurança em telecomunicações.

Nos últimos anos, as operações de roubo de criptomoedas evoluíram significativamente, passando de páginas de phishing isoladas para uma economia subterrânea estruturada em torno de plataformas conhecidas como ‘Drainer-as-a-Service’ (DaaS). Diferente das operações tradicionais de malware, os draineres utilizam engenharia social para atrair vítimas a sites falsos de criptomoedas, NFTs ou DeFi, onde são induzidas a conectar suas carteiras e aprovar transações maliciosas. Uma análise de dados coletados de fóruns underground revelou que essas operações estão se profissionalizando, com foco em crescimento de afiliados e automação. O modelo DaaS permite que operadores mantenham a infraestrutura de drenagem enquanto afiliados geram tráfego por meio de links de phishing e contas de redes sociais comprometidas. O estudo também destacou a resiliência operacional do Lucifer, um exemplo de DaaS, que se adaptou a banimentos e suspensões de serviços, utilizando descentralização para manter suas operações. A popularidade dos draineres se deve à natureza líquida e rápida das criptomoedas, além da confusão que muitos usuários têm em relação às permissões de carteira, tornando-os alvos fáceis para ataques. Essa situação representa um risco significativo para organizações que lidam com criptomoedas, exigindo atenção especial de equipes de segurança.

A Apple anunciou que bloqueou mais de R$ 11 bilhões em transações fraudulentas na App Store nos últimos seis anos, com mais de R$ 2,2 bilhões apenas em 2025. Em um comunicado à imprensa, a empresa revelou que rejeitou mais de 2 milhões de submissões problemáticas de aplicativos no último ano e bloqueou mais de 1,1 bilhão de criações de contas fraudulentas. Além disso, a Apple encerrou 193 mil contas de desenvolvedores devido a preocupações com fraudes e desativou 40,4 milhões de contas de clientes suspeitas de abuso. Os números de 2025 mostram um aumento significativo em relação aos anos anteriores, com a empresa utilizando tecnologia avançada e revisão humana para detectar e impedir o uso de informações financeiras roubadas. A equipe de revisão de aplicativos da Apple avaliou mais de 9,1 milhões de submissões em 2025, rejeitando um número considerável por violações de privacidade e táticas enganosas. A Apple também processou mais de 1,3 bilhão de avaliações e bloqueou quase 195 milhões de avaliações fraudulentas. A empresa aconselha os usuários a reportarem atividades suspeitas em aplicativos baixados da App Store.

Nesta semana, o cenário de cibersegurança revela uma crescente preocupação com ataques que exploram elementos considerados confiáveis, como atualizações e aplicativos. O evento Pwn2Own Berlin 2026 destacou a descoberta de 47 vulnerabilidades zero-day em produtos amplamente utilizados, resultando em prêmios significativos para pesquisadores de segurança. Além disso, o NCSC do Reino Unido alertou sobre os riscos associados ao uso de inteligência artificial em ambientes corporativos, enfatizando a necessidade de controles de segurança rigorosos. No âmbito internacional, o governo polonês recomendou que seus oficiais deixassem de usar o Signal, devido a ataques de engenharia social, e a polícia holandesa lançou uma campanha para identificar suspeitos de fraudes. O ransomware Gunra também está em ascensão na Coreia do Sul, enquanto a vulnerabilidade no Composer, um gerenciador de dependências PHP, exige atualizações urgentes. Por fim, campanhas de intrusão baseadas em IA estão se intensificando na América Latina, destacando a evolução das táticas de ataque. Esses eventos sublinham a necessidade de vigilância constante e atualização das práticas de segurança.

Pesquisadores de cibersegurança revelaram detalhes sobre um novo malware para Linux chamado Showboat, que tem sido utilizado em uma campanha direcionada a um provedor de telecomunicações no Oriente Médio desde pelo menos meados de 2022. O Showboat é um framework modular de pós-exploração, capaz de criar um shell remoto, transferir arquivos e atuar como um proxy SOCKS5. Acredita-se que o malware esteja associado a grupos de ameaças vinculados à China, com conexões identificadas entre servidores de comando e controle (C2) e endereços IP localizados em Chengdu, na China. Um dos grupos envolvidos é o Calypso, ativo desde 2016, que já atacou instituições estatais em diversos países, incluindo Brasil e Índia. O malware foi classificado como um backdoor sofisticado com capacidades semelhantes a rootkits, e sua entrega ainda não foi determinada. O Showboat é projetado para coletar informações do sistema e se esconder no dispositivo infectado, utilizando um código hospedado no Pastebin. Além disso, a análise da infraestrutura revelou vítimas em Afeganistão e Azerbaijão, além de possíveis compromissos nos EUA e na Ucrânia. A presença de tal malware é um sinal de alerta para problemas de segurança mais amplos nas redes afetadas.

Um aplicativo que imitava o oficial da Receita Federal acumulou mais de 16 mil downloads em lojas não oficiais antes de ser removido. Segundo a INGENI, divisão da Redbelt Security, durante a temporada de Imposto de Renda 2026, foram identificadas 80 páginas falsas, 26 perfis fraudulentos em redes sociais e cerca de 10 aplicativos maliciosos relacionados ao tema fiscal. Wagner Farias, engenheiro de ameaças da INGENI, destaca que o volume de downloads não reflete diretamente o número de vítimas, mas indica a amplitude da campanha. Os criminosos evitam lojas oficiais, como Google Play e App Store, que utilizam inteligência artificial para detectar comportamentos suspeitos. A engenharia social é o principal gatilho do golpe, aproveitando a urgência da entrega da declaração. A inteligência artificial também tem facilitado a criação de aplicativos falsos com alta fidelidade visual. O malware pode atuar como infostealer, roubando credenciais, ou como trojan de acesso remoto, permitindo controle do dispositivo. Para quem caiu no golpe, recomenda-se restaurar o dispositivo e trocar credenciais em outro aparelho. A prevenção envolve desconfiar de domínios que não terminam em gov.br.

A Cardinal Services, Inc. iniciou notificações de violação de dados para 142.323 pessoas após dois incidentes de cibersegurança em 2025, um em junho e outro em agosto. O grupo de ransomware Rhysida reivindicou o primeiro ataque, exigindo um resgate de $940.000, enquanto o segundo ataque foi atribuído ao grupo INC. A empresa tomou medidas imediatas ao descobrir acessos não autorizados em seus sistemas, envolvendo profissionais externos de cibersegurança para investigar e mitigar os danos. Embora os detalhes sobre os dados afetados não sejam claros, a oferta de acesso gratuito ao Epiq Privacy Solutions ID sugere que informações sensíveis, como números de Seguro Social, podem ter sido comprometidas. O grupo Rhysida também adicionou a Cardinal a seu site de vazamento de dados, apresentando provas que incluem capturas de tela de documentos sensíveis. Em setembro, o grupo INC também reivindicou a violação, alegando que 140 GB de dados foram roubados. Até agora, a Cardinal não confirmou as reivindicações de resgate ou se algum pagamento foi feito. Este incidente destaca a crescente ameaça de ataques de ransomware nos Estados Unidos, com 755 ataques confirmados em 2025, afetando mais de 44,6 milhões de registros.

Na quarta-feira, a Microsoft iniciou a distribuição de patches de segurança para duas vulnerabilidades do Microsoft Defender que estão sendo exploradas em ataques zero-day. A primeira, identificada como CVE-2026-41091, é uma falha de escalonamento de privilégios que afeta o Microsoft Malware Protection Engine 1.1.26030.3008 e versões anteriores. Essa vulnerabilidade permite que atacantes obtenham privilégios de SYSTEM devido a uma resolução inadequada de links antes do acesso a arquivos. A segunda vulnerabilidade, CVE-2026-45498, impacta sistemas com a Microsoft Defender Antimalware Platform 4.18.26030.3011 e versões anteriores, permitindo que atores maliciosos provoquem estados de negação de serviço (DoS) em dispositivos Windows não corrigidos. A Microsoft lançou as versões 1.1.26040.8 e 4.18.26040.7 para corrigir essas falhas e recomenda que os usuários verifiquem se as atualizações estão configuradas para instalação automática. A CISA, agência de cibersegurança dos EUA, também emitiu um alerta para que agências governamentais protejam seus sistemas Windows contra essas vulnerabilidades, que estão ativamente sendo exploradas. A CISA incluiu essas falhas em seu catálogo de vulnerabilidades conhecidas exploradas e ordenou que as agências federais tomem medidas de segurança em até duas semanas.

A Flipper Devices, fabricante da ferramenta de pentesting Flipper Zero, está solicitando a colaboração da comunidade para o desenvolvimento do Flipper One, uma plataforma Linux aberta voltada para dispositivos conectados. Diferente do Flipper Zero, que se concentra em controle de acesso offline e tecnologias de rádio, o Flipper One é projetado como um computador portátil ARM Linux de alto desempenho, com capacidade para suportar análise de rádio definida por software (SDR) e modelos de linguagem local (LLMs).

Pesquisadores de cibersegurança revelaram uma vulnerabilidade crítica no kernel do Linux, identificada como CVE-2026-46333, que permaneceu oculta por nove anos. Com uma pontuação CVSS de 5.5, a falha se refere a uma gestão inadequada de privilégios, permitindo que usuários locais não privilegiados acessem arquivos sensíveis e executem comandos como root em distribuições populares como Debian, Fedora e Ubuntu. A vulnerabilidade, conhecida como ssh-keysign-pwn, foi descoberta pela Qualys e está relacionada à função __ptrace_may_access() do kernel, introduzida em novembro de 2016. A exploração bem-sucedida pode permitir a divulgação de arquivos críticos, como /etc/shadow e chaves privadas em /etc/ssh/*_key. A Qualys recomenda que as distribuições Linux apliquem atualizações de kernel imediatamente. Caso não seja possível, sugere-se aumentar o parâmetro “kernel.yama.ptrace_scope” para 2 como uma medida temporária. A situação é agravada pela recente divulgação de um exploit de prova de conceito (PoC) para essa vulnerabilidade, o que aumenta a urgência de ações corretivas. Além disso, um exploit chamado PinTheft, que permite a escalada de privilégios locais em sistemas Arch Linux, foi também mencionado, destacando a necessidade de vigilância contínua em relação a falhas de segurança no Linux.

Um estudo recente destaca como credenciais armazenadas em cache podem se tornar um vetor de ataque significativo em ambientes híbridos. Um exemplo prático revela que uma única chave de acesso em uma máquina Windows poderia permitir que um atacante acessasse até 98% dos recursos críticos de uma empresa na nuvem. A pesquisa enfatiza que a segurança de identidade não deve ser vista apenas como um controle de perímetro, mas como um elemento central na defesa contra invasões. A maioria das ferramentas de segurança atuais falha em mapear como as exposições de identidade se conectam, permitindo que atacantes explorem permissões excessivas e atribuições de funções esquecidas. Dados da Palo Alto mostram que 90% das investigações de incidentes em 2025 foram influenciadas por fraquezas de identidade. Além disso, a crescente utilização de agentes de IA em ambientes corporativos aumenta a vulnerabilidade, uma vez que credenciais não humanas estão se tornando um alvo crescente no crime cibernético. Para mitigar esses riscos, é essencial que as organizações integrem suas ferramentas de segurança para ter uma visão unificada das conexões de identidade e permissões, fechando assim os caminhos de ataque antes que sejam explorados.

A Microsoft revelou que duas vulnerabilidades no Microsoft Defender estão sendo ativamente exploradas. A primeira, classificada como CVE-2026-41091, possui uma pontuação de 7.8 no sistema CVSS e permite que atacantes autorizados elevem seus privilégios a nível de sistema. A segunda, CVE-2026-45498, é uma falha de negação de serviço com uma pontuação de 4.0. Ambas as vulnerabilidades foram corrigidas nas versões mais recentes da plataforma de antimalware da Microsoft. A empresa destacou que sistemas que desativaram o Defender não estão vulneráveis e que as atualizações são automáticas. A CISA dos EUA incluiu essas falhas em seu catálogo de vulnerabilidades conhecidas, exigindo que agências federais apliquem as correções até 3 de junho de 2026. Além disso, a Microsoft já havia relatado outras vulnerabilidades exploradas recentemente, aumentando a preocupação com a segurança de suas soluções. A situação exige atenção, especialmente para organizações que dependem do Defender para proteção contra ameaças cibernéticas.

O GitHub confirmou que hackers acessaram 3.800 repositórios internos por meio de uma versão maliciosa da extensão Nx Console para Visual Studio Code, comprometida durante um ataque à cadeia de suprimentos da TanStack. O grupo de cibercriminosos TeamPCP é o responsável pelo ataque, que começou com a violação de pacotes npm da TanStack e Mistral AI, e se espalhou para outros projetos utilizando credenciais de CI/CD roubadas. O ataque permitiu que os invasores executassem fluxos de trabalho nos repositórios do GitHub como contribuidores. A extensão maliciosa, disponível por um curto período, tinha como objetivo roubar credenciais de diversas plataformas, incluindo npm e AWS. Embora o GitHub tenha tomado medidas para mitigar o incidente, como a rotação de segredos críticos, a equipe de segurança ainda investiga o alcance do ataque. O TeamPCP reivindicou acesso ao código-fonte do GitHub e está pedindo um resgate de pelo menos $50.000 por dados roubados. Este incidente destaca a vulnerabilidade das ferramentas de desenvolvimento e a necessidade de vigilância constante na segurança de extensões de software.

O Drupal divulgou atualizações de segurança para uma vulnerabilidade considerada “altamente crítica” no Drupal Core, identificada como CVE-2026-9082. Essa falha pode ser explorada por atacantes para realizar execução remota de código, escalonamento de privilégios ou divulgação de informações. A vulnerabilidade está relacionada a uma API de abstração de banco de dados utilizada para validar consultas e proteger contra ataques de injeção SQL, afetando especificamente sites que utilizam bancos de dados PostgreSQL. A exploração pode ser realizada por usuários anônimos, o que aumenta o risco. As versões afetadas incluem Drupal 11.3.10, 11.2.12, 11.1.10, 10.6.9, 10.5.10 e 10.4.10, enquanto o Drupal 7 não é impactado. O Drupal também lançou patches manuais para versões 9 e 8, que já atingiram o fim de vida útil. A gravidade da falha justifica a atualização imediata para evitar possíveis ataques, uma vez que versões não suportadas ainda podem conter outras vulnerabilidades conhecidas.

O GitHub confirmou que a violação de seus repositórios internos foi causada pela invasão de um dispositivo de um funcionário, que utilizava uma versão comprometida da extensão Nx Console para o Microsoft Visual Studio Code (VS Code). O ataque, atribuído ao grupo cibercriminoso TeamPCP, resultou na exfiltração de aproximadamente 3.800 repositórios. Apesar da gravidade do incidente, o GitHub assegurou que não há evidências de que informações de clientes fora de seus repositórios internos tenham sido afetadas. A extensão comprometida esteve disponível no Visual Studio Marketplace por apenas 18 minutos, mas foi tempo suficiente para que os atacantes distribuíssem um ladrão de credenciais que poderia coletar dados sensíveis de várias fontes, incluindo 1Password e AWS. Especialistas alertam que a natureza interconectada do software moderno facilita a exploração de vulnerabilidades, permitindo que um ataque inicial leve a compromissos subsequentes. A situação destaca a necessidade urgente de mudanças na segurança das ferramentas de desenvolvimento e na distribuição de código aberto.

A PlayStation Network (PSN) enfrenta uma grave vulnerabilidade que tem impactado usuários, incluindo figuras públicas como Colin Moriarty, que relatou ter sido hackeado. Os ataques ocorrem sem que as vítimas precisem clicar em links suspeitos, bastando que os hackers tenham acesso à ID da conta e a alguns dados de transação. A Sony, por sua vez, tem sido criticada por sua falta de ação e comunicação, limitando-se a remover informações de cartões de crédito e prometer uma análise que pode levar até três semanas. A falha permite que qualquer pessoa solicite a troca de e-mail vinculado à conta e desabilite a autenticação de dois fatores, colocando em risco a segurança de milhares de usuários. Além disso, a PSN já enfrenta problemas recorrentes de quedas e instabilidades, dificultando o acesso à PlayStation Store e ao multiplayer online. A situação levanta preocupações sobre a segurança da plataforma e a proteção dos dados dos usuários, especialmente em um cenário onde o jogo online se torna cada vez mais complexo e caro.

O Japão enfrenta um aumento alarmante de ataques de ursos, com 13 fatalidades e mais de 50 mil avistamentos registrados em 2025. Para lidar com essa situação, a empresa Ohta Seiki, localizada em Hokkaido, lançou o ‘Monster Wolf’, um robô animatrônico projetado para repelir esses animais perigosos. O robô, que custa cerca de US$ 4.000, possui uma estrutura de tubo coberta com pelagem artificial, olhos LED vermelhos e emite mais de 50 tipos de sons, incluindo vozes humanas e rosnados, que podem ser ouvidos a até um quilômetro de distância. A demanda pelo Monster Wolf disparou, com a empresa recebendo cerca de 50 pedidos em um ano, superando sua capacidade de produção habitual. O robô é ativado por um sensor infravermelho que detecta a presença de animais selvagens, acionando seus sons e movimentos. A Ohta Seiki planeja aprimorar o dispositivo, tornando-o autônomo e desenvolvendo uma versão portátil para uso em áreas rurais. Apesar de sua aparência assustadora, o robô se tornou uma solução viável para comunidades que enfrentam ataques de ursos, que estão se tornando cada vez mais frequentes.

Recentemente, a empresa de cibersegurança ReliaQuest identificou um ataque direcionado a dispositivos SonicWall Gen6 SSL-VPN, onde atores de ameaças conseguiram contornar a autenticação multifator (MFA) e acessar redes internas. O ataque, que levou entre 30 a 60 minutos para ser executado, envolveu a força bruta de credenciais VPN e a exploração da vulnerabilidade CVE-2024-12802. Essa falha permite que um invasor com credenciais válidas autentique-se diretamente, ignorando a MFA. Embora muitos dispositivos estivessem com o firmware atualizado, a falta de reconfiguração manual do servidor LDAP deixou as redes vulneráveis. Em um dos incidentes analisados, o invasor conseguiu acessar um servidor de arquivos em menos de meia hora e tentou implantar ferramentas como o Cobalt Strike, mas foi bloqueado por soluções de detecção de endpoint. A SonicWall já emitiu um aviso de segurança, alertando que a simples atualização do firmware não é suficiente para mitigar a vulnerabilidade, sendo necessária uma reconfiguração adicional. Dada a gravidade da situação e a possibilidade de exploração em diversos setores, é crucial que as empresas que utilizam esses dispositivos tomem medidas imediatas para garantir a segurança de suas redes.

A polícia cibernética da Ucrânia, em colaboração com autoridades dos EUA, identificou um homem de 18 anos de Odesa como suspeito de operar um malware infostealer que visava usuários de uma loja online na Califórnia. Entre 2024 e 2025, o suspeito utilizou malware para infectar dispositivos e roubar sessões de navegador e credenciais de contas. Os infostealers são conhecidos por coletar dados sensíveis, como senhas e informações de pagamento, que são enviados a cibercriminosos para roubo de contas e fraudes. Os ataques afetaram 28 mil contas de clientes, resultando em 5.800 compras não autorizadas que totalizaram cerca de 721 mil dólares. A operação causou perdas diretas de 250 mil dólares. A polícia informou que o suspeito gerenciava a infraestrutura online usada para processar e vender os dados roubados, além de realizar transações em criptomoedas com cúmplices. Embora as buscas tenham sido realizadas e dispositivos confiscados, ainda não houve prisão, indicando que as investigações continuam. O caso destaca a crescente ameaça de malware e a importância de medidas de segurança robustas para proteger dados sensíveis.

Com a Copa do Mundo de 2026 se aproximando, golpistas estão explorando a empolgação dos torcedores para aplicar fraudes online. Pesquisadores de segurança digital da Malwarebytes identificaram diversas armadilhas, incluindo criptomoedas temáticas falsas, ingressos inexistentes e sites de apostas fraudulentos. O chefe de pesquisa da Malwarebytes, Shahak Shalev, destaca que os criminosos tratam grandes eventos como oportunidades comerciais, utilizando ferramentas de inteligência artificial para criar sites e materiais de phishing convincentes com maior rapidez e menor custo.

A Microsoft alertou que um grupo de hackers conhecido como Storm-2949 está explorando a funcionalidade de redefinição de senha em seus serviços, como Microsoft 365 e Azure, para sequestrar contas de usuários. O ataque ocorre quando os criminosos identificam suas vítimas, obtêm seus números de telefone e e-mails, e iniciam o processo de redefinição de senha. Em seguida, eles ligam para as vítimas, se passando por técnicos de TI, e convencem-nas a aprovar um prompt de autenticação multifatorial (MFA). Com isso, os hackers conseguem redefinir a senha e acessar informações sensíveis. A Microsoft descreveu essa campanha como metódica e sofisticada, destacando que os atacantes conseguiram baixar milhares de arquivos de contas comprometidas. Para se proteger, a empresa recomenda que os usuários limitem as permissões de controle de acesso baseado em função (RBAC) no Azure e monitorem operações de gerenciamento de alto risco. As medidas de segurança incluem a retenção de logs do Azure Key Vault e a restrição de acesso público a esses cofres, além de opções de proteção de dados no Azure Storage.

O Drupal, um sistema de gerenciamento de conteúdo amplamente utilizado por grandes organizações, incluindo setores governamentais, educacionais e de saúde, anunciou uma atualização de segurança crucial programada para hoje. A equipe de segurança do Drupal alertou que, após a divulgação da vulnerabilidade, é provável que atacantes desenvolvam exploits em questão de horas. Administradores de sites que utilizam as versões 8 ou 9 do Drupal são fortemente aconselhados a atualizar para pelo menos a versão 10.6. A vulnerabilidade afeta o núcleo do Drupal a partir da versão 8, embora nem todas as configurações sejam impactadas. Atualizações de segurança estarão disponíveis para várias versões, incluindo as 11.3.x, 10.6.x e outras, com correções também sendo fornecidas para versões não suportadas devido à gravidade do problema. É importante ressaltar que as versões 8 e 9 não receberão patches, mas arquivos de correção serão disponibilizados para versões específicas. Os administradores devem monitorar o portal de segurança oficial do Drupal para mais informações e aplicar as atualizações assim que estiverem disponíveis, mantendo cautela em relação a informações fraudulentas que possam circular online.

A identidade tem sido um pilar fundamental da cibersegurança, onde a verificação do usuário garante o acesso seguro. No entanto, com a evolução das ameaças, como o uso de inteligência artificial e kits de phishing sofisticados, essa abordagem está se mostrando insuficiente. A autenticação multifatorial (MFA) foi criada para mitigar esses riscos, mas ataques modernos conseguem contornar essa proteção, capturando tokens de sessão mesmo após a autenticação bem-sucedida. O NIST já alertava sobre a necessidade de não confiar implicitamente na segurança após a autenticação inicial, enfatizando a importância de verificar a postura de segurança do dispositivo ao longo de toda a sessão. A maioria das organizações ainda trata a autenticação como um evento único, ignorando que a segurança do dispositivo pode mudar durante a sessão. Para uma abordagem mais robusta, é necessário combinar a verificação contínua do dispositivo com a identidade, garantindo que o acesso permaneça condicionado à saúde do dispositivo, e não apenas à prova de identidade. Isso reduz a eficácia de credenciais roubadas e melhora a segurança geral.

O vazamento de dados da Grafana foi causado por um token de workflow do GitHub que não foi rotacionado após um ataque à cadeia de suprimentos do npm, atribuído ao grupo de hackers TeamPCP. Durante a campanha de malware Shai-Hulud, pacotes do TanStack infectados com código de roubo de credenciais foram publicados no npm, comprometendo ambientes de desenvolvimento, incluindo o da Grafana. Quando o pacote malicioso foi liberado, o workflow de CI/CD da Grafana o consumiu, permitindo que um módulo de roubo de informações executasse no ambiente do GitHub e exfiltrasse tokens de workflow para os atacantes. A Grafana detectou a atividade maliciosa em 1º de maio e implementou um plano de resposta a incidentes, mas um token foi esquecido no processo, permitindo acesso a repositórios privados da empresa. Embora o código-fonte tenha sido roubado, a Grafana assegurou que não houve impacto nos dados dos clientes e que o código baixado durante o incidente é considerado seguro. A investigação continua, e a empresa se comprometeu a notificar os clientes afetados caso novas evidências surjam.

Um novo relatório da Orchid Security revela que, em 2026, os elementos invisíveis e não gerenciados de identidade, denominados ‘dark matter’, superam os elementos visíveis em 57% a 43%. Essa situação se agrava com a crescente adoção de agentes de IA pelas empresas, que, por sua natureza, buscam atalhos para realizar tarefas. Esses agentes podem acessar sistemas de forma não autorizada, utilizando credenciais armazenadas em texto simples ou ‘pegando emprestado’ credenciais de maior privilégio. O relatório destaca três principais preocupações: 1) Dois em cada três contas não humanas são configuradas localmente, tornando-se invisíveis para os programas de gerenciamento de identidade (IAM); 2) 70% das aplicações possuem permissões excessivas, aumentando o risco de acesso indevido; 3) 40% das contas já não têm usuários autorizados, tornando-se alvos fáceis para agentes de ameaças. A gestão eficaz de identidade e acesso é, portanto, crucial para limitar as atividades dos agentes de IA dentro de limites autorizados. O relatório sugere que as organizações devem agir rapidamente para abordar essas questões, especialmente em um cenário onde a transformação digital está em alta.

Pesquisadores de cibersegurança identificaram atividades recentes do grupo de ameaças alinhado à China, conhecido como Webworm, que tem utilizado backdoors personalizados para comunicação de comando e controle (C2) via Discord e Microsoft Graph API. O Webworm, ativo desde pelo menos 2022, tem como alvo agências governamentais e empresas em setores como serviços de TI, aeroespacial e energia elétrica, principalmente na Rússia, Geórgia, Mongólia e outros países asiáticos. Em 2025, o grupo introduziu novas ferramentas, como EchoCreep e GraphWorm, que permitem upload e download de arquivos e execução de comandos. O uso de um repositório do GitHub que se disfarça de um fork do WordPress para distribuir malware é uma tática que visa evitar detecções. Além disso, o grupo tem se afastado de backdoors tradicionais, adotando ferramentas de proxy mais discretas. A análise indica que o Webworm está se expandindo para alvos na Europa e na África do Sul, o que pode representar um risco crescente para organizações em todo o mundo.

A Microsoft anunciou a interrupção de uma operação de malware-signing-as-a-service (MSaaS) que utilizava seu sistema Artifact Signing para distribuir códigos maliciosos, incluindo ransomware. A operação, atribuída ao grupo Fox Tempest, comprometeu milhares de máquinas em todo o mundo desde maio de 2025. A Microsoft, através da operação codinome OpFauxSign, tomou medidas drásticas, como a apreensão do site signspace[.]cloud e a desativação de centenas de máquinas virtuais associadas. O esquema permitia que cibercriminosos disfarçassem malware como software legítimo, utilizando certificados de assinatura fraudulentos válidos por apenas 72 horas. Entre os malwares distribuídos estão o ransomware Rhysida e outras famílias como Oyster e Lumma Stealer. A operação também revelou conexões com grupos de ransomware conhecidos, como INC e BlackByte, que atacaram setores críticos como saúde e finanças em países como EUA, França, Índia e China. A Microsoft destacou que a capacidade de fazer software malicioso parecer legítimo é uma ameaça significativa à segurança cibernética, tornando essencial a interrupção dessa prática.

A Microsoft apresentou duas novas ferramentas open-source, RAMPART e Clarity, para auxiliar desenvolvedores na segurança de agentes de inteligência artificial (IA). O RAMPART, que significa Plataforma de Avaliação e Medição de Risco para Red Teaming de Agentes, é um framework de testes de segurança nativo do Pytest, permitindo a criação e execução de testes que abordam tanto questões adversariais quanto benignas. Os usuários podem desenvolver casos de teste para explorar violações de segurança, como injeções de prompt e regressões comportamentais indesejadas. O Clarity, por sua vez, atua como um parceiro de pensamento para os desenvolvedores, ajudando na clarificação de problemas e na exploração de soluções antes mesmo da codificação. Ambas as ferramentas visam integrar a segurança desde as fases iniciais do desenvolvimento, permitindo que gerentes de produto e engenheiros testem suas suposições de forma eficaz. A Microsoft enfatiza que essas abordagens transformam a segurança da IA em um processo contínuo, ao invés de uma revisão pontual, promovendo um ciclo de aprendizado e mitigação de riscos ao longo do ciclo de vida do software.

O GitHub confirmou que aproximadamente 3.800 repositórios internos foram comprometidos após um de seus funcionários instalar uma extensão maliciosa no Visual Studio Code (VS Code). A empresa removeu a extensão trojanizada do marketplace e isolou o dispositivo afetado. A investigação inicial sugere que a atividade envolveu a exfiltração de repositórios internos do GitHub, sem evidências de que dados de clientes armazenados fora desses repositórios tenham sido afetados. O grupo hacker TeamPCP reivindicou o acesso ao código-fonte do GitHub e à venda de cerca de 4.000 repositórios de código privado, pedindo pelo menos US$ 50.000 pelos dados. Este incidente destaca a vulnerabilidade das extensões do VS Code, que já foram alvo de ataques anteriores, com extensões maliciosas sendo usadas para roubar credenciais de desenvolvedores. O GitHub, que abriga mais de 420 milhões de repositórios de código, é amplamente utilizado por organizações ao redor do mundo, incluindo 90% das empresas da Fortune 100.

Uma nova vulnerabilidade de escalonamento de privilégios no Linux, chamada PinTheft, foi recentemente corrigida, mas agora possui um exploit de prova de conceito (PoC) disponível publicamente. Essa falha, que afeta o kernel Linux, especificamente o módulo RDS (Reliable Datagram Sockets), permite que atacantes locais obtenham privilégios de root em sistemas Arch Linux. O exploit se aproveita de um erro no caminho de envio zerocopy do RDS, onde páginas de usuário são ‘pinned’ uma a uma. Se ocorrer uma falha de página, as páginas já ‘pinned’ são descartadas, permitindo que referências sejam roubadas. Para que a exploração seja bem-sucedida, o módulo RDS deve estar carregado, o que é padrão apenas no Arch Linux entre as distribuições mais comuns. Os usuários são aconselhados a instalar as atualizações do kernel imediatamente, mas uma mitigação temporária também foi sugerida. Essa vulnerabilidade se junta a uma série de outras falhas de escalonamento de privilégios que foram reveladas recentemente, algumas das quais estão sendo ativamente exploradas por agentes de ameaças. A situação é crítica, especialmente para usuários de distribuições Linux afetadas, que devem agir rapidamente para proteger seus sistemas.

A Microsoft divulgou uma mitigação para uma vulnerabilidade crítica no BitLocker, conhecida como YellowKey, que permite a um atacante contornar a proteção de criptografia em dispositivos Windows. A falha, identificada como CVE-2026-45585, possui uma pontuação CVSS de 6.8 e afeta diversas versões do Windows 11 e Windows Server 2025. O problema foi revelado por um pesquisador de segurança e permite que arquivos especialmente manipulados sejam usados para obter acesso não autorizado ao volume protegido pelo BitLocker. Para mitigar o risco, a Microsoft recomenda que os usuários montem a imagem do Windows Recovery Environment (WinRE) em seus dispositivos e realizem modificações específicas no registro do sistema. Além disso, a empresa sugere que os administradores mudem a configuração do BitLocker de ‘TPM-only’ para ‘TPM+PIN’, o que exige um PIN para a descriptografia do disco na inicialização, aumentando a segurança contra ataques do tipo YellowKey. A vulnerabilidade destaca a importância de manter as configurações de segurança atualizadas e de implementar medidas adicionais de autenticação em dispositivos críticos.