O Google está implementando uma nova funcionalidade de segurança no Android chamada ‘detecção de chamadas falsas’, que visa identificar e sinalizar chamadas em que golpistas utilizam inteligência artificial para se passar por contatos pessoais do usuário. A funcionalidade, que será ativada por padrão, está sendo lançada globalmente para dispositivos com Android 12 e versões posteriores, começando pelos dispositivos Pixel.

Quando um contato faz uma chamada, o dispositivo envia um sinal de confirmação silencioso e criptografado em tempo real para o dispositivo do destinatário. Se esse sinal não for enviado, indicando que a chamada pode ser falsificada, o dispositivo do destinatário verifica com o telefone real do contato. Se a confirmação indicar que o contato não está fazendo uma chamada, o destinatário recebe um alerta na tela para desligar imediatamente.

Agências de segurança da Europa e internacionais realizaram uma operação significativa, denominada “Operação KRATOS 2”, que resultou no desmantelamento de nove grupos de crime organizado e na prisão de 29 suspeitos envolvidos em operações de streaming ilegal. Coordenada pela Bulgária com o apoio da Europol, a operação envolveu autoridades de 13 países, incluindo Estados Unidos e Reino Unido. Durante os sete meses de investigação, foram identificados mais de 18.000 endereços IP e 4.370 domínios associados a serviços ilegais, além de quase 400.000 URLs adicionais que foram sinalizadas para suspensão ou remoção. A ação conjunta levou à remoção de mais de 27.000 URLs de streaming ilegal que distribuíam conteúdo protegido por direitos autorais, como esportes, filmes e programas de televisão. A Europol destacou que os grupos criminosos separam intencionalmente os sites voltados para o cliente dos servidores que hospedam o conteúdo ilegal, dificultando a detecção e a acusação. Além disso, esses serviços representam riscos significativos de cibersegurança para os usuários, incluindo infecções por malware e roubo de dados.

A Acer confirmou a existência de duas vulnerabilidades de alta severidade, conhecidas como zero-day, que afetam seus roteadores mesh Wave 7. As falhas foram reportadas pelo pesquisador de segurança Gergo Pap e impactam roteadores que utilizam a versão de firmware T7c_GBL_1.01.000055 ou anterior. A primeira vulnerabilidade, identificada como CVE-2026-49200, permite que atacantes não autenticados acessem remotamente credenciais em texto claro armazenadas em arquivos de log, como o acer_cgi.log, que contém informações sensíveis de login. A segunda falha, CVE-2026-49201, resulta de uma chave criptográfica embutida que possibilita o acesso persistente de invasores ao sistema, permitindo que eles modifiquem backups do dispositivo. Embora a Acer esteja trabalhando em correções, ainda não há patches disponíveis. A empresa recomenda que os usuários desativem a gestão remota e restrinjam o acesso à Internet até que as atualizações sejam lançadas, previstas para o final de junho de 2026.

Em abril, uma vulnerabilidade em uma VPN resultou em vazamentos de dados em mais de setenta instituições financeiras que utilizam a infraestrutura do software Marquis. Apesar de existir um patch e as instituições terem realizado testes de penetração recentes, a exposição de dados não foi evitada. O relatório Mandiant M-Trends 2026 aponta que o tempo médio de permanência de ameaças em 2025 foi de quatorze dias, com atores de espionagem permanecendo em média 122 dias. A CrowdStrike também destacou que os serviços financeiros estão entre os setores mais visados por intrusões. As regulamentações, como PCI DSS e NYDFS, enfatizam a necessidade de testes de penetração contínuos, não apenas anuais, para lidar com as mudanças frequentes na infraestrutura digital. Um exemplo alarmante foi a descoberta de uma falha em um portal de originação de hipotecas, onde dados de várias instituições eram acessíveis sem autenticação. Essa situação ilustra a necessidade urgente de um modelo de testes contínuos, que responda rapidamente às mudanças na infraestrutura, em vez de esperar por avaliações anuais. A falta de validação durante a maior parte do ano expõe as instituições a riscos significativos, tornando essencial a adoção de práticas de segurança mais dinâmicas e responsivas.

Pesquisadores de cibersegurança identificaram uma nova vulnerabilidade chamada HTTP/2 Bomb, que afeta servidores web amplamente utilizados, como NGINX, Apache HTTPD, Microsoft IIS, Envoy e Cloudflare Pingora. Essa falha permite um ataque de negação de serviço (DoS) remoto, explorando a configuração padrão do HTTP/2. A vulnerabilidade foi descoberta pela Calif, que explicou que o ataque combina duas técnicas conhecidas: uma bomba de compressão e uma técnica de manutenção de conexão semelhante ao Slowloris. O ataque visa o HPACK, o esquema de compressão de cabeçalhos do HTTP/2, onde um único byte pode resultar em uma alocação de cabeçalho completa no servidor, repetida milhares de vezes. Isso pode levar a um consumo excessivo de memória do servidor, tornando-o inacessível rapidamente. Para mitigar a vulnerabilidade, recomenda-se que os usuários do NGINX atualizem para a versão 1.29.8 ou desativem o HTTP/2, enquanto os usuários do Apache HTTPD devem atualizar para a versão 2.0.41 ou desativar o HTTP/2. No entanto, não há patches disponíveis para Microsoft IIS, Envoy e Cloudflare Pingora até o momento.

Pesquisadores em cibersegurança revelaram uma vulnerabilidade não corrigida que pode permitir que atacantes obtenham o hash NTLMv2 de um usuário. O problema, relacionado ao manipulador de URI ‘search:’, é semelhante ao CVE-2026-33829, que afetou a ferramenta Snipping Tool da Microsoft. A vulnerabilidade permite que um invasor induza o usuário a clicar em um link malicioso, que, se aprovado, conecta o computador a um servidor SMB controlado pelo atacante, expondo o hash NTLMv2 do usuário. A Microsoft já havia corrigido uma falha semelhante em abril de 2026, mas optou por não abordar essa nova questão, alegando que apenas casos de severidade ‘Importante’ e ‘Crítico’ são priorizados. Sem uma correção disponível, recomenda-se bloquear o tráfego SMB em hosts desnecessários, aplicar assinatura SMB e desativar o NTLM quando possível. Essa situação representa um risco significativo, pois o hash capturado pode ser utilizado em ataques de retransmissão, permitindo acesso não autorizado a redes.

O gerenciamento de identidade e acesso (IAM) nas empresas está se aproximando de um ponto crítico, com a identidade se tornando cada vez mais fragmentada em milhares de aplicações e sistemas descentralizados. Um estudo da Orchid Security revela que 46% das atividades de identidade empresarial ocorrem fora da visibilidade do IAM centralizado, criando o que é chamado de ‘matéria escura da identidade’. Essa camada oculta inclui aplicações não gerenciadas, contas locais e identidades não humanas com permissões excessivas, ampliadas por ferramentas desconectadas e a ascensão da inteligência artificial autônoma.

Pesquisadores de cibersegurança revelaram uma vulnerabilidade crítica no Microsoft Visual Studio Code (VS Code) que permite a um atacante roubar tokens do GitHub com um simples clique. O problema está relacionado ao uso do GitHub.dev, um editor de código leve que opera no navegador, que utiliza um token OAuth para interagir com repositórios do GitHub. A vulnerabilidade permite que extensões maliciosas sejam instaladas sem a necessidade de confirmação do usuário, explorando um mecanismo de passagem de mensagens entre a janela principal do VS Code e as webviews. Isso possibilita a execução de JavaScript malicioso que simula pressionamentos de tecla, permitindo a instalação de uma extensão controlada pelo atacante que extrai o token OAuth e consulta a API do GitHub para acessar repositórios privados. A Microsoft foi notificada sobre a vulnerabilidade em 2 de junho de 2026 e está trabalhando em uma correção, embora tenha esclarecido que o problema não afeta a versão desktop do VS Code.

O cenário de cibersegurança na área da saúde em 2026 é marcado por um aumento significativo nas violações de dados e ataques cibernéticos, com 275 milhões de registros comprometidos apenas em 2024, mais que o dobro do ano anterior. Os dados indicam que 88% das perdas materiais são atribuídas a engenharia social, como phishing e comprometimento de e-mails empresariais, além de lacunas nos backups e governança de dados. As demandas de extorsão também cresceram, chegando a até US$ 4 milhões em alguns casos, o que representa um risco não apenas financeiro, mas também clínico, dado o impacto na assistência ao paciente.

Uma nova campanha de malware chamada WeedHack está afetando jogadores de Minecraft, com mais de 116 mil sistemas infectados desde janeiro. O malware é distribuído por meio de mods, clientes e cheats maliciosos relacionados ao jogo, promovidos principalmente em vídeos do YouTube e por meio de técnicas de SEO. A operação, que funciona como um serviço de malware (MaaS), permite que os clientes acessem um painel onde podem visualizar credenciais roubadas e informações sobre sistemas comprometidos. Dados da McAfee indicam que a maioria das vítimas está nos Estados Unidos, Alemanha, Índia e Reino Unido. A WeedHack utiliza mais de 240 URLs de distribuição e 3.820 arquivos JAR maliciosos únicos. Os atacantes criam uma falsa sensação de legitimidade ao vincular sites maliciosos a repositórios oficiais do GitHub. O malware é acessível gratuitamente, com uma opção premium que oferece funcionalidades adicionais, como controle remoto e captura de tela. Especialistas recomendam que os jogadores confiem apenas em mods de fontes oficiais e verifiquem os links de download para evitar infecções.

Um pesquisador de segurança divulgou um código de exploração para uma vulnerabilidade zero-day no Visual Studio Code (VS Code), que permite que atacantes roubem tokens de autenticação do GitHub ao induzir usuários a clicarem em links maliciosos. Essa falha, que ainda não possui um patch oficial, permite que extensões maliciosas sejam instaladas, explorando o sistema de mensagens do webview do VS Code. O pesquisador Ammar Askar explicou que, ao interagir com github.dev, um token OAuth é enviado, permitindo acesso total a todos os repositórios privados do usuário. Para se proteger, os usuários devem limpar cookies e dados do site para github.dev em seus navegadores, o que gerará um aviso ao tentar acessar links potencialmente perigosos. Askar optou pela divulgação pública imediata após experiências negativas com o processo de resposta de segurança da Microsoft, que não reconheceu falhas anteriores. Essa vulnerabilidade se junta a uma série de zero-days divulgados por outro pesquisador anônimo, conhecido como Nightmare Eclipse, que criticou a forma como a Microsoft lida com a divulgação de falhas. A Microsoft ainda não comentou sobre a vulnerabilidade do VS Code.

Pesquisadores de cibersegurança identificaram uma nova campanha de malware, chamada Weedhack, que visa jogadores de Minecraft através do YouTube. Desde janeiro de 2026, essa campanha tem utilizado técnicas de SEO poisoning para direcionar usuários a URLs maliciosas que distribuem arquivos JAR infectados. Até o momento, foram encontrados 3.820 arquivos JAR maliciosos e mais de 240 URLs associadas. O malware se disfarça como clientes e mods do Minecraft, permitindo que os atacantes controlem remotamente os sistemas das vítimas. A campanha é facilitada por um painel de controle que permite aos criminosos visualizar credenciais roubadas e informações do sistema. Os atacantes também utilizam um canal no Telegram para promover suas ferramentas e oferecer suporte. O malware pode roubar informações sensíveis, como IDs de sessão do Minecraft e credenciais de diversas plataformas. Além disso, a campanha tem gerado casos de cyberbullying, onde os atacantes ameaçam e monitoram suas vítimas. A maioria das infecções foi registrada nos EUA, seguida por países como Alemanha, Índia e Reino Unido.

Um novo toolkit de ransomware, desenvolvido com o auxílio de inteligência artificial, está sendo utilizado por atores de ameaças para automatizar a descoberta de Active Directory e evadir soluções de detecção de endpoint (EDR). O desenvolvimento das ferramentas e dos payloads contou com a assistência de agentes de IA, que participaram em várias etapas, desde a codificação inicial até a análise e revisão. Testes realizados em ambientes virtuais mostraram que o malware conseguia contornar ferramentas de EDR de grandes fornecedores como Sophos, CrowdStrike e Microsoft. Os pesquisadores da Sophos identificaram atividades suspeitas em um sistema de um cliente, onde arquivos maliciosos foram encontrados, sugerindo um foco em evadir a detecção. O toolkit inclui perfis do Cobalt Strike, um mecanismo de comando e controle baseado em Telegram e scripts em Python para injeção de código malicioso em executáveis legítimos. Embora a pesquisa tenha sido impulsionada por IA, a Sophos afirma que o fluxo de trabalho é totalmente conduzido por humanos. A modularidade do framework permite a geração de payloads personalizados, que são testados contra mais de 70 técnicas de evasão, apresentando uma taxa de sucesso crescente em contornar soluções de segurança. A utilização de IA nesse contexto acelera a implementação de técnicas de ataque, representando um risco significativo para organizações em todo o mundo.

Uma campanha de malware em larga escala, conhecida como WeedHack, está atacando jogadores de Minecraft e já infectou mais de 116 mil sistemas desde janeiro. O malware é distribuído por meio de mods, clientes e cheats maliciosos relacionados ao jogo, promovidos principalmente no YouTube e por meio de técnicas de SEO. A operação funciona como um serviço de malware (MaaS), permitindo que os usuários acessem um painel onde podem visualizar credenciais roubadas e informações de sistemas comprometidos. Dados da McAfee indicam que a maioria das vítimas está nos Estados Unidos, Alemanha, Índia e Reino Unido, com uma média de 2.000 a 3.000 novas infecções diariamente. A campanha utiliza mais de 240 URLs de distribuição e 3.820 arquivos JAR maliciosos únicos. Os atacantes criam uma falsa legitimidade ao vincular sites maliciosos a repositórios legítimos do GitHub. O WeedHack oferece uma camada gratuita que rouba IDs de sessão do Minecraft, cookies e senhas, além de uma versão premium com funcionalidades adicionais. Jogadores são aconselhados a confiar apenas em mods de fontes oficiais e a verificar links de download para evitar infecções.

Uma vulnerabilidade crítica de escalonamento de privilégios, identificada como CVE-2026-8206, foi descoberta no plugin Kirki para WordPress, permitindo que hackers assumam qualquer conta de usuário, incluindo as de administradores. A falha, que afeta versões do plugin até a 6.0.6, foi introduzida na versão 6.0.0 e impacta cerca de 40% da base de usuários do plugin, que está ativo em mais de 500 mil sites. A vulnerabilidade se origina da exposição de um endpoint da API REST para redefinição de senhas, onde o plugin aceita um endereço de e-mail arbitrário durante as solicitações de redefinição. Isso permite que atacantes não autenticados gerem links de redefinição de senha para qualquer usuário registrado, enviando-os para e-mails sob seu controle. A empresa de segurança Wordfence bloqueou mais de 222 tentativas de exploração em apenas 24 horas. A correção foi disponibilizada na versão 6.0.7, lançada em 18 de maio de 2026, e é crucial que os administradores de sites atualizem o plugin ou o desativem para evitar comprometimentos. A vulnerabilidade representa um risco significativo, pois, uma vez que um atacante obtenha acesso administrativo, ele pode instalar plugins maliciosos, modificar conteúdos do site e acessar bancos de dados privados.

A OpenAI anunciou uma atualização significativa para o modelo GPT-5.5 Instant, lançado em 23 de abril de 2026. Essa atualização visa melhorar a qualidade das respostas, tornando-as mais precisas e com um estilo mais natural, semelhante ao de uma conversa humana. Além disso, a empresa está aposentando modelos legados, como o o3, que será desativado em 26 de agosto, e o GPT-4.5, que será retirado em 27 de junho. A OpenAI também introduziu uma nova ferramenta de busca de empregos no ChatGPT, permitindo que os usuários encontrem oportunidades de trabalho relevantes e personalizem seus currículos. Essa funcionalidade busca melhorar a experiência do usuário ao conectar habilidades e experiências a vagas disponíveis em plataformas como Indeed e Upwork. As melhorias estão sendo implementadas gradualmente em todo o mundo, com o objetivo de tornar o ChatGPT mais útil e acessível para tarefas práticas do dia a dia.

Durante a Build 2026, a Microsoft anunciou o lançamento do Coreutils para Windows, que traz uma série de utilitários de linha de comando do Linux como aplicações nativas. Baseado no projeto open-source uutils, que reescreve as GNU coreutils em Rust, o Coreutils visa facilitar a transição de desenvolvedores entre diferentes plataformas, como Linux, macOS e Windows, sem a necessidade de alterar seus fluxos de trabalho. O pacote inclui comandos populares como cat, cp, find, grep, ls, e rm, permitindo que scripts sejam utilizados no Windows sem modificações. A instalação é feita através do WinGet, e a Microsoft criou um único executável coreutils.exe que contém todas as funcionalidades dos comandos. No entanto, alguns comandos do Linux não foram incluídos devido a conflitos com comandos existentes no Windows. A Microsoft também alertou sobre possíveis diferenças de funcionalidade entre os sistemas, como permissões de arquivos e suporte a POSIX. Essa iniciativa faz parte da estratégia da Microsoft para tornar o Windows uma plataforma mais amigável para desenvolvedores.

No início de junho de 2026, o Google lançou patches para 124 vulnerabilidades de segurança no sistema operacional Android, destacando uma falha de alta severidade, identificada como CVE-2025-48595, com um escore CVSS de 8.4. Essa vulnerabilidade, que permite a escalada de privilégios sem interação do usuário, afeta dispositivos que executam as versões 14, 15, 16 e 16 QPR2 do Android. Segundo a descrição da falha, um estouro de inteiro em múltiplos locais pode possibilitar a execução de código, resultando em uma escalada local de privilégios. O Google indicou que há sinais de exploração ativa, embora não tenha fornecido detalhes sobre os responsáveis ou os alvos. Além disso, outras vulnerabilidades foram corrigidas no componente do sistema, algumas das quais também podem levar a escaladas de privilégios. O Google disponibilizou dois conjuntos de patches, com o segundo incluindo correções para componentes de kernel e chipsets de terceiros, como MediaTek e Qualcomm. A situação exige atenção, especialmente considerando que falhas semelhantes têm sido utilizadas por fornecedores de spyware comercial para atacar indivíduos de alto perfil.

A Polícia Federal (PF) deflagrou a Operação Linha Fantasma, focando em fraudes bancárias que utilizam a técnica da ‘falsa central telefônica’. Os golpistas enviam mensagens de texto (SMS) alertando sobre compras suspeitas e fornecem um número 0800 para que as vítimas entrem em contato com o banco. O objetivo é induzir as pessoas a compartilhar dados pessoais ou realizar transferências financeiras, como cancelamento de compras via Pix. A operação resultou em três mandados de busca e apreensão e duas prisões em flagrante em Feira de Santana (BA) e São Paulo (SP). A PF informou que os investigados podem responder por crimes como fraude eletrônica e lavagem de dinheiro. A ação foi desencadeada após denúncias de operadoras de telefonia sobre o envio em massa de mensagens fraudulentas. Para se proteger, a Federação Brasileira de Bancos (Febraban) recomenda não fornecer dados pessoais, não instalar aplicativos solicitados durante ligações e sempre verificar a autenticidade das comunicações com os bancos através de canais oficiais.

Um novo relatório da Check Point Research revela que mais de 5.000 domínios maliciosos relacionados às eleições intermediárias dos EUA, programadas para novembro de 2022, foram identificados desde janeiro deste ano. Esses domínios, que incluem palavras como ’election’ e ‘vote’, são utilizados para criar sites de phishing, portais de doações falsas e campanhas de desinformação. A pesquisa destaca que, enquanto os hackers não estão atacando diretamente as máquinas de contagem de votos, eles visam influenciar os eleitores, dificultando a verificação da verdade. A operação russa chamada Doppelganger tem sido particularmente ativa, clonando sites de notícias de alta autoridade e publicando informações falsas. A Check Point alerta que as organizações envolvidas nas eleições devem estar em alerta máximo para ataques de phishing e impersonificação de marcas, dada a crescente motivação e atenção em torno deste ciclo eleitoral.

A IMA Diligence Services notificou 525.306 pessoas sobre uma violação de dados ocorrida em dezembro de 2025, que comprometeu informações pessoais sensíveis, incluindo números de Seguro Social, dados de saúde, informações financeiras e documentos de identidade. O grupo de cibercriminosos Genesis reivindicou a responsabilidade pelo ataque em janeiro de 2026, alegando ter roubado 700 GB de dados da empresa. A IMA Diligence não confirmou a reivindicação do Genesis e não se sabe como a rede foi comprometida ou se um resgate foi pago. A empresa ofereceu 12 meses de monitoramento de crédito gratuito para as vítimas da violação. O ataque à IMA Diligence é o maior registrado em 2025 no setor financeiro dos EUA, com mais de 2 milhões de registros pessoais comprometidos em 70 ataques confirmados. Genesis, que começou a operar em outubro de 2025, já reivindicou 76 ataques de ransomware, sendo este o primeiro contra uma empresa financeira. O impacto de tais ataques pode resultar em perda de dados permanentes e riscos aumentados de fraudes para os clientes.

Um vazamento de dados na Tulane University, que ocorreu após uma vulnerabilidade zero-day no aplicativo Oracle E-Business Suite, afetou 80.867 pessoas. O grupo de ransomware Clop assumiu a responsabilidade pelo ataque, que se seguiu a um incidente de ransomware em agosto de 2025. Os dados comprometidos incluem números de Seguro Social, informações bancárias e de depósito direto. A universidade informou que, ao descobrir a vulnerabilidade, imediatamente iniciou uma investigação, notificou as autoridades e aplicou os patches fornecidos pela Oracle. Além da Tulane, outras instituições de ensino superior, como Harvard e a Universidade da Pensilvânia, também confirmaram vazamentos de dados relacionados a essa vulnerabilidade. O ataque à Tulane é considerado o terceiro maior incidente de ransomware no setor educacional dos EUA em 2025, com mais de 4 milhões de registros afetados em 54 ataques confirmados ao longo do ano. A universidade está oferecendo acesso gratuito ao serviço de proteção contra roubo de identidade Experian IdentityWorksSM para os afetados.

As equipes de segurança enfrentam dois problemas críticos relacionados à inteligência artificial (IA) no ambiente corporativo. Primeiro, os atacantes estão utilizando IA para aprimorar suas ferramentas de phishing, criando kits e técnicas que evoluem rapidamente, como o phishing por código de dispositivo, que explora fluxos OAuth legítimos para contornar autenticações multifator. Em segundo lugar, a adoção desenfreada de ferramentas de IA pelos funcionários está superando a capacidade das equipes de segurança de monitorar e controlar o uso, resultando em vazamentos de dados sensíveis. A maioria das ameaças ocorre dentro do navegador, onde as atividades maliciosas são difíceis de detectar por ferramentas tradicionais. Para mitigar esses riscos, é essencial que as organizações implementem plataformas que ofereçam visibilidade profunda sobre as sessões do navegador, permitindo o controle tanto sobre as ferramentas de IA utilizadas quanto sobre as tentativas de phishing. A situação é alarmante, com 45% dos funcionários utilizando IA regularmente em dispositivos corporativos, muitas vezes sem supervisão adequada, o que aumenta o potencial de exfiltração de dados e compromissos de segurança.

Recentemente, diversos usuários do Instagram relataram que suas contas foram sequestradas após atacantes conseguirem convencer as ferramentas de suporte da Meta, que utilizam inteligência artificial, de que eram os legítimos proprietários. Muitos dos afetados, incluindo contas de alto valor e raridade, como a do ex-time da Casa Branca de Obama e a pesquisadora Jane Manchun Wong, enfrentaram dificuldades para recuperar o acesso devido à falta de suporte humano. O processo de sequestro envolve o uso de selfies e vídeos gerados por IA para enganar o sistema de verificação. Além disso, os atacantes conseguiram contornar a autenticação de dois fatores (2FA) e utilizaram serviços de VPN para simular a localização dos alvos. Apesar de a Meta afirmar que está tomando medidas para resolver a situação, muitos usuários ainda se sentem frustrados com a incapacidade do suporte automatizado em resolver seus problemas. A situação destaca a vulnerabilidade de sistemas de autenticação baseados em IA e a necessidade de um suporte humano mais eficaz em casos de segurança.

A Microsoft está lidando com um problema de serviço que afeta o fluxo de e-mails do Exchange Online para clientes na América do Norte, na região Ásia-Pacífico (APAC) e na Europa. O incidente, identificado como EX1331830, foi reconhecido pela empresa às 10h33 EDT, após uma série de relatos de usuários nas redes sociais. Os usuários afetados estão enfrentando erros temporários de deferimento SMTP, como mensagens que indicam que o número máximo de conexões concorrentes foi excedido ou que a conexão foi encerrada abruptamente. Isso resulta em atrasos significativos no envio e recebimento de e-mails, com algumas mensagens não sendo entregues por mais de uma hora. A Microsoft está revisando os relatórios para identificar a causa raiz do problema e já classificou a interrupção como um incidente crítico, dada a sua ampla repercussão. Além disso, a empresa já havia enfrentado problemas semelhantes anteriormente, incluindo dificuldades de acesso a caixas de entrada e interrupções em outros serviços como Teams e autenticação multifatorial. A situação continua em investigação, com a Microsoft analisando o backlog de filas de e-mail nas regiões afetadas para entender melhor o cenário atual.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu uma vulnerabilidade de alta severidade no Oracle WebLogic Server em seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV). Identificada como CVE-2024-21182, essa falha possui um escore CVSS de 7.5 e permite que atacantes não autenticados, com acesso à rede, assumam o controle de servidores vulneráveis. A CISA alertou que ataques bem-sucedidos podem resultar em acesso não autorizado a dados críticos. Embora não haja relatos públicos sobre a exploração ativa dessa vulnerabilidade, falhas anteriores no WebLogic foram frequentemente utilizadas para formar botnets, minerar criptomoedas e implantar ransomware. A Oracle lançou um patch para corrigir essa vulnerabilidade em julho de 2024. Diante da exploração ativa, a CISA recomenda que as agências do governo federal dos EUA apliquem as correções necessárias até 4 de junho de 2026 para proteger suas redes.

O grupo de hackers russo Gamaredon está explorando uma vulnerabilidade no WinRAR, identificada como CVE-2025-8088, para disseminar diversas famílias de malware voltadas para o roubo de dados. A empresa de cibersegurança Sekoia observou que, desde janeiro de 2026, o grupo utiliza um payload de Aplicação HTML chamado GammaPhish, que serve para baixar um script em Visual Basic (VBScript) conhecido como GammaLoad. Este último, por sua vez, é responsável por implantar um worm chamado GammaWorm, que se infiltra em sistemas, oculta diretórios legítimos e substitui-os por arquivos de atalho maliciosos, permitindo a execução de código arbitrário. O GammaWorm se comunica com um canal público do Telegram para evitar detecções e garantir operações de espionagem a longo prazo. Além disso, uma família de malware chamada GammaSteel é utilizada para roubar informações e enviar dados para servidores controlados pelos atacantes. O Gamaredon, vinculado ao Serviço Federal de Segurança da Rússia (FSB), tem um histórico de ataques direcionados à Ucrânia, utilizando e-mails de spear-phishing com anexos maliciosos. A arquitetura modular e adaptável do malware sugere que ele pode ser reutilizado em futuras campanhas.

O Google divulgou em junho de 2026 atualizações de segurança para o Android, abordando 124 vulnerabilidades, incluindo uma falha zero-day (CVE-2025-48595) que está sendo explorada em ataques direcionados. Essa vulnerabilidade de alta severidade permite que atacantes locais executem código e elevem privilégios em dispositivos que rodam Android 14 ou versões posteriores. O Google alertou que a exploração dessa falha pode estar em andamento, embora detalhes técnicos ainda não tenham sido divulgados. Além disso, foram corrigidas 18 vulnerabilidades críticas em componentes do sistema e do framework, que poderiam ser utilizadas para causar negação de serviço e elevação de privilégios. As atualizações de segurança foram lançadas em dois pacotes, com dispositivos Google Pixel recebendo as correções imediatamente, enquanto outros fabricantes podem demorar mais para implementá-las. O Google também revisou seus programas de recompensas por vulnerabilidades, oferecendo até US$ 1,5 milhão por exploits do Android, enquanto reduziu os pagamentos para falhas mais fáceis de serem descobertas com inteligência artificial. A empresa não forneceu mais informações sobre os ataques relacionados à CVE-2025-48595.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu uma ordem para que agências governamentais reforcem a segurança de seus sistemas contra uma vulnerabilidade crítica no Oracle WebLogic Server, identificada como CVE-2024-21182. Essa falha, que foi corrigida há dois anos, está sendo ativamente explorada em ataques cibernéticos. O Oracle WebLogic Server é um servidor de aplicações Java utilizado em grandes aplicações distribuídas. A vulnerabilidade permite que atacantes não autenticados comprometam o servidor remotamente, podendo resultar em acesso não autorizado a dados críticos. Atualmente, mais de 1.592 servidores WebLogic estão expostos online e vulneráveis a essa falha. A CISA recomendou que, além das agências federais, todas as organizações, incluindo o setor privado, apliquem os patches de segurança o mais rápido possível. A vulnerabilidade é considerada um vetor de ataque comum e representa riscos significativos para a segurança das informações. A CISA também destacou a importância de seguir as orientações do fornecedor e, se necessário, descontinuar o uso do produto até que as correções sejam aplicadas.

Pesquisadores de cibersegurança revelaram uma campanha de spear-phishing, atribuída ao grupo SideCopy, alinhado ao Paquistão, que visa o Ministério das Finanças do Afeganistão. A operação, chamada de XENOFISCAL, utiliza um trojan de acesso remoto chamado Xeno RAT, disfarçado em um arquivo ZIP que contém um arquivo LNK com um nome em pashto, a língua predominante no governo afegão. Além do Ministério, a campanha também atinge direções provinciais de finanças e funcionários do governo que falam pashto, evidenciando o conhecimento do atacante sobre o ambiente alvo. O Xeno RAT, uma ferramenta poderosa, permite ao invasor executar uma variedade de ações, como capturar teclas, tirar capturas de tela e monitorar dispositivos de áudio e vídeo. A campanha é uma continuação de atividades maliciosas mais amplas direcionadas a entidades da Ásia do Sul, com o SideCopy já tendo sido associado a ataques anteriores na Índia. A execução do malware envolve a utilização de um arquivo de atalho do Windows que, ao ser ativado, baixa um aplicativo HTML remoto, levando à execução de um JavaScript ofuscado. Este cenário destaca a crescente sofisticação das ameaças cibernéticas na região e a necessidade de vigilância constante por parte das entidades governamentais e corporativas.

As organizações estão percebendo que a proteção de endpoints sozinha não é mais suficiente para enfrentar as ameaças cibernéticas modernas. A adoção de soluções de Detecção e Resposta em Endpoints (EDR) cresceu rapidamente, mas muitas empresas, especialmente as de médio porte, ainda enfrentam dificuldades para operacionalizar essas capacidades. Os times de segurança, frequentemente enxutos, são sobrecarregados por um volume excessivo de alertas, o que resulta em investigações demoradas e capacidade de resposta limitada. Além disso, ataques habilitados por inteligência artificial estão se tornando mais comuns, aumentando a pressão sobre as equipes de segurança. Para superar esses desafios, é crucial não apenas ter visibilidade, mas também implementar uma resposta operacional contínua e sustentável. Soluções como o Bitdefender GravityZone PHASR e o Managed Detection and Response (MDR) oferecem abordagens complementares que ajudam a reduzir as oportunidades para os atacantes e a melhorar a capacidade de resposta. Organizações que adotam essas práticas estão alcançando resultados significativos, como a redução do risco de ataques severos e a melhoria na maturidade da segurança. A resiliência cibernética moderna requer uma combinação de prevenção, detecção e resposta integrada, permitindo que as equipes de segurança se concentrem em iniciativas estratégicas em vez de apenas apagar incêndios.

O artigo destaca como a gestão de vulnerabilidades está se tornando cada vez mais desafiadora devido à rápida evolução da exploração impulsionada por inteligência artificial (IA). O tempo entre a divulgação de uma vulnerabilidade e sua exploração efetiva na internet agora é medido em horas, não mais em dias. Embora a solução tradicional tenha sido acelerar o processo de patching, isso não é viável para muitas empresas devido a requisitos de estabilidade e conformidade. O aumento no número de vulnerabilidades, como evidenciado pelo Projeto Glasswing da Anthropic, que identificou mais de 10.000 vulnerabilidades críticas em um único mês, ilustra a necessidade de uma nova abordagem. O artigo sugere um modelo operacional que prioriza a prevenção, validação e mitigação, propondo três etapas: identificar vulnerabilidades mais prováveis de serem exploradas, reagir rapidamente a ameaças emergentes e implementar medidas de mitigação para ganhar tempo para remediação eficaz. A plataforma watchTowr é apresentada como uma solução que ajuda as organizações a se adaptarem a essa nova realidade, permitindo uma resposta mais ágil e eficaz às ameaças.

O gerenciador de senhas Dashlane revelou que menos de 20 usuários de seu plano pessoal tiveram seus cofres criptografados baixados após um ataque de força bruta realizado por um agente externo desconhecido. No dia 31 de maio de 2026, a empresa informou que o ataque visava quebrar as proteções de autenticação de dois fatores (2FA) para permitir o registro de novos dispositivos em contas de usuários existentes. Embora o número exato de contas afetadas não tenha sido divulgado, a alta quantidade de tentativas resultou em suspensões temporárias de contas e problemas de autenticação, devido aos controles de segurança internos da Dashlane. Após a restauração do acesso, a empresa notificou diretamente os usuários impactados, garantindo que, caso não tenham recebido uma mensagem, suas contas não foram afetadas. É importante ressaltar que os dados do cofre não podem ser acessados sem a Senha Mestra, e a Dashlane enfatizou que seus sistemas internos não foram comprometidos. Como medida de precaução, os usuários são aconselhados a revisar os dispositivos registrados em suas contas, ativar a 2FA e utilizar uma Senha Mestra forte e única.

A Polícia Nacional da Espanha prendeu um indivíduo suspeito de vazar informações sensíveis de membros de organizações estatais, incluindo o Instituto Nacional de Cibersegurança (INCIBE). O vazamento, que expôs dados pessoais de figuras-chave como procuradores e membros da polícia, representa riscos à segurança nacional. A investigação começou após a detecção da disseminação em massa de dados, levando a uma operação urgente que culminou na prisão do suspeito e na apreensão de dispositivos eletrônicos que podem conter evidências forenses. O INCIBE já havia alertado sobre operações de doxing, afirmando que não houve comprometimento direto de seus sistemas, mas que dados foram coletados e publicados de forma direcionada. O grupo responsável pelo vazamento, identificado como ‘Police-ESP-Doxed’, utilizou plataformas como o BreachForum para divulgar as informações. Além disso, em março, dados pessoais de centenas de juízes e promotores espanhóis foram publicados em outra plataforma, aumentando as preocupações sobre a segurança de dados sensíveis no país.

Mais de 30 pacotes npm sob o namespace ‘@redhat-cloud-services’ da Red Hat foram comprometidos em um ataque à cadeia de suprimentos, que distribuiu uma nova variante do malware Shai-Hulud, chamada ‘Miasma’. A descoberta foi feita pelas empresas de segurança Aikido e OX Security, que identificaram versões de pacotes com backdoors projetados para roubar credenciais de desenvolvedores, segredos de nuvem, chaves SSH, tokens de CI/CD e outras informações sensíveis. Os pacotes comprometidos recebiam cerca de 117.000 downloads semanais. A Red Hat afirmou que removeu os pacotes afetados assim que tomou conhecimento do incidente e que a violação estava restrita a ferramentas de desenvolvimento internas. A investigação ainda está em andamento, mas até o momento não foram identificados impactos em ambientes de clientes ou sistemas de produção da Red Hat. O ataque foi realizado através da conta do GitHub de um funcionário da Red Hat, onde os invasores inseriram commits maliciosos que abusaram do mecanismo de publicação do npm. Os pacotes comprometidos continham um script ‘preinstall’ que executava um arquivo malicioso para roubar credenciais de serviços como AWS, Google Cloud e Azure. A situação é preocupante, pois 32 pacotes e 96 versões foram afetados, e organizações que instalaram versões comprometidas devem rotacionar imediatamente todas as credenciais e segredos utilizados.

O grupo de cibercriminosos conhecido como DriveSurge tem promovido campanhas de distribuição de malware em larga escala, utilizando técnicas como ClickFix e FakeUpdates em sites comprometidos. Pesquisadores da empresa de cibersegurança SilentPush relataram que milhares de sites foram afetados, redirecionando visitantes para infraestruturas de entrega de malware. A técnica ClickFix engana as vítimas, levando-as a executar comandos maliciosos sob a falsa promessa de resolver problemas técnicos. Já os ataques FakeUpdates simulam atualizações de software, como navegadores, para induzir os usuários a baixar e instalar cargas maliciosas. O DriveSurge atua como um corretor de acesso inicial (IAB) em um modelo de pagamento por instalação (PPI), facilitando ataques subsequentes. Os visitantes dos sites comprometidos são redirecionados por um sistema de distribuição de tráfego (TDS) chamado zTDS, que classifica os usuários e decide qual isca utilizar. O relatório destaca um caso em que uma atualização falsa do Firefox resultou no download de um arquivo ZIP contendo executáveis maliciosos. Os pesquisadores identificaram várias assinaturas técnicas associadas à campanha, incluindo injeções de JavaScript e domínios maliciosos. Recomenda-se que os usuários atualizem seus navegadores apenas por meio dos menus de configuração e evitem executar comandos desconhecidos.

Pesquisadores descobriram um pacote npm malicioso que se disfarçava como uma ferramenta de interface do usuário do Codex, da OpenAI. O pacote, denominado ‘codexui-android’, foi baixado mais de 29.000 vezes antes de ser identificado como uma ameaça. Embora o código no GitHub parecesse legítimo, uma atualização no npm introduziu um código que roubava tokens de autenticação do Codex. Esses tokens, especialmente o refresh token, permitem que atacantes acessem contas da OpenAI sem a necessidade de senhas, possibilitando o uso indevido de créditos de API e acesso a projetos e códigos dos desenvolvedores. Além disso, dois aplicativos Android também foram identificados como parte do ataque, com um deles acumulando mais de 50.000 downloads. A gravidade da situação é acentuada pelo fato de que o refresh token não expira, permitindo acesso contínuo e silencioso às contas comprometidas.

Cerca de 1.980 sites WordPress foram comprometidos por um malware que utiliza comentários de perfis da Steam Community para ocultar dados de comando e controle (C2). Os atacantes empregaram caracteres Unicode invisíveis para codificar um payload que gera uma URL para um script malicioso. Essa técnica permite que os hackers evitem a manutenção de uma infraestrutura C2 separada e contornem métodos tradicionais de detecção. A infecção inicial pode ter ocorrido por meio de logins de administrador roubados, credenciais FTP/SFTP comprometidas ou exploração de temas e plugins vulneráveis. O malware, uma vez instalado, utiliza carregamentos de páginas do WordPress para acessar perfis da Steam e extrair texto que, embora pareça benigno, contém caracteres invisíveis que disfarçam cargas maliciosas. O payload decodificado leva a um URL que injeta código JavaScript em todas as páginas do WordPress. Os pesquisadores da GoDaddy alertam que a defesa deve incluir a verificação de URLs da Steam, injeções de JavaScript suspeitas e conexões inesperadas. A restauração a partir de um backup conhecido é a ação recomendada para mitigar os danos.

Recentemente, vários usuários do serviço de gerenciamento de senhas Dashlane foram temporariamente bloqueados de suas contas devido a ataques de força bruta. Esses ataques, realizados por um agente externo, tentaram logins a partir de locais distantes e dispositivos desconhecidos. Em resposta, a Dashlane implementou uma suspensão automática das contas afetadas como parte de suas medidas de segurança. Jordan Fylolenko, diretor sênior de comunicações corporativas da Dashlane, confirmou que as contas afetadas foram desbloqueadas após a investigação do incidente, que começou em 31 de maio. A empresa assegurou que não há evidências de comprometimento de seus sistemas. Muitos usuários expressaram preocupação ao receber notificações de acessos suspeitos, questionando se se tratava de tentativas de phishing. Embora a Dashlane tenha declarado que o problema foi resolvido, alguns usuários ainda relatam dificuldades para acessar suas contas e mencionam a falta de resposta do suporte. A situação destaca a importância de medidas de segurança robustas, como limitação de taxa e desafios CAPTCHA, para proteger contas contra ataques automatizados.

Uma nova campanha de ataque à cadeia de suprimentos, chamada Miasma, comprometeu pacotes do @redhat-cloud-services, visando roubar credenciais e segredos de máquinas de desenvolvedores, além de entregar um worm autorreplicante. O ataque utiliza táticas conhecidas de execução no momento da instalação, coleta de credenciais e exfiltração criptografada. Os pacotes afetados incluem vulnerabilidades-client, topological-inventory-client e outros. A análise de segurança revelou que os pacotes npm contêm um hook pré-instalado ofuscado, projetado para coletar segredos do GitHub, tokens npm, credenciais de nuvem e chaves SSH. O malware também possui lógica de exfiltração criptografada, transmitindo dados para um endpoint específico e utilizando o GitHub como mecanismo de fallback. Além disso, foi observado que o malware evita a execução em sistemas de língua russa. Acredita-se que a conta do GitHub de um funcionário da Red Hat tenha sido a porta de entrada para injetar o payload malicioso. Recomenda-se isolar os hosts afetados, remover as versões comprometidas e revisar atividades suspeitas no GitHub e npm. A desinstalação do pacote npm não é suficiente para a limpeza, devido à persistência do malware em ferramentas de desenvolvimento.

A Dashlane, um popular gerenciador de senhas, anunciou a suspensão de contas de usuários após detectar tentativas de invasão em larga escala. O incidente, que começou a ser relatado no final de semana, levou a empresa a investigar a situação e a tomar medidas de segurança. Os usuários afetados relataram dificuldades para acessar suas contas, especialmente após tentativas de alterar a senha mestre. A empresa confirmou que as contas foram alvo de ataques de força bruta, onde invasores tentam adivinhar senhas por meio de combinações exaustivas. Embora a Dashlane tenha reativado as contas afetadas, muitos usuários continuam a enfrentar problemas de acesso, gerando críticas sobre a falta de comunicação clara da empresa. A companhia afirmou que não há evidências de comprometimento de seus sistemas e que o monitoramento do caso continua. Este incidente levanta preocupações sobre a segurança de gerenciadores de senhas e a necessidade de transparência nas comunicações com os usuários.

A Norton VPN anunciou a adição de 25 novas localizações de servidores, elevando seu total para mais de 130 em 90 países. Essa expansão inclui locais na América, Europa, Ásia-Pacífico, África e Oriente Médio, visando melhorar a velocidade de conexão e contornar bloqueios geográficos. Uma nova funcionalidade chamada ‘Rotação Manual de IP’ permite que os usuários troquem seus endereços IP virtuais sob demanda, sem desconectar a sessão VPN. Essa ferramenta é especialmente útil para evitar bloqueios temporários de serviços de streaming. Atualmente, a funcionalidade está disponível para Windows e Mac, com suporte para iOS e Android previsto para breve. A expansão da rede de servidores e a introdução da rotação de IP refletem a crescente demanda dos usuários por flexibilidade e controle em suas experiências online. A Norton destaca que essas melhorias visam proporcionar uma navegação mais privada e acessível, mantendo a proteção que a marca oferece.

Com o aumento do trabalho remoto, a qualidade das chamadas de vídeo se tornou essencial. Muitas pessoas enfrentam problemas de conexão, como buffering e lentidão, mesmo com uma velocidade de Wi-Fi aparentemente adequada. Esses problemas podem ser atribuídos a questões de peering entre provedores de internet (ISPs), que afetam a eficiência da conexão. Uma solução viável é o uso de uma VPN, como a ExpressVPN, que promete resolver esses problemas ao redirecionar o tráfego de internet através de seus servidores. Atualmente, a ExpressVPN está oferecendo um desconto significativo em seus planos de longo prazo, com preços a partir de $2,49 por mês. O plano básico permite a conexão de até 10 dispositivos e inclui ferramentas de proteção de e-mail. Além disso, a ExpressVPN é reconhecida por suas credenciais de segurança e políticas rigorosas de privacidade. Embora existam outras opções no mercado, como NordVPN e Surfshark, a ExpressVPN se destaca pela sua confiabilidade e suporte técnico. Para quem trabalha de casa, investir em uma VPN pode ser uma maneira eficaz de garantir uma experiência de trabalho mais fluida e produtiva.

A Microsoft enfrentou um incidente que impediu alguns usuários de configurar a autenticação multifator (MFA) ou acessar a plataforma My Sign-Ins. O problema, identificado como um erro 504 Gateway Timeout, afetou a capacidade de muitos usuários de acessar o site mysignins.microsoft.com. A empresa reconheceu o problema por volta das 5 AM ET e classificou-o como um incidente em andamento, indicando um impacto significativo nos usuários. Para mitigar a situação, a Microsoft implementou uma infraestrutura alternativa e começou a monitorar a saúde do serviço. Após a identificação de uma mudança recente na configuração de cache como a causa do problema, a empresa reverteu as ações de mitigação e restaurou o tráfego para a infraestrutura original. Este incidente destaca a importância da autenticação multifator na segurança digital e a necessidade de monitoramento contínuo para evitar interrupções nos serviços.

O gerenciamento de incidentes de rede pode ser um desafio significativo para as equipes de TI, especialmente quando os atrasos ocorrem após o alerta inicial. O webinar “Do alerta à resolução: Consertando falhas na resposta a incidentes de rede”, promovido pela BleepingComputer em 2 de junho de 2026, abordará como a automação e os fluxos de trabalho assistidos por IA podem ajudar a reduzir esses atrasos, melhorar a coordenação e acelerar a resolução de incidentes. Com o aumento da adoção de ferramentas de monitoramento e infraestrutura, as equipes frequentemente enfrentam a necessidade de coletar informações manualmente, o que pode atrasar a resposta e aumentar o impacto de interrupções nos serviços.

O Centro de Cibersegurança da Bélgica (CCB) alertou que atacantes estão explorando ativamente uma vulnerabilidade crítica no Windows Netlogon, identificada como CVE-2026-41089. Essa falha, que foi corrigida pela Microsoft em maio de 2026, permite que invasores não privilegiados executem código remotamente em controladores de domínio do Windows. O Netlogon é um serviço essencial que autentica usuários e serviços em redes baseadas em domínio. A vulnerabilidade é classificada com um CVSS de 9.8, indicando seu alto potencial de impacto. O CCB recomendou que administradores de sistemas realizem a atualização imediata de seus servidores vulneráveis. Embora a Microsoft tenha identificado a falha, ainda não há informações detalhadas sobre os ataques em andamento. Além disso, a empresa enfrenta desafios com outras vulnerabilidades zero-day, como a YellowKey e a BlueHammer, que também estão sendo exploradas. O alerta do CCB destaca a urgência de ações corretivas para mitigar riscos de segurança em ambientes corporativos.

Um artigo recente destaca uma vulnerabilidade crítica de execução remota de código (RCE) em um aplicativo VPN amplamente utilizado, que não foi detectada a tempo por serviços de alerta de vulnerabilidades. Em menos de 24 horas, atacantes exploraram essa falha, obtendo acesso à rede da empresa, o que foi finalmente identificado por ferramentas internas de monitoramento. O tempo é um fator crucial em cibersegurança, com um aumento de 67% nas novas vulnerabilidades entre 2023 e 2025 e uma redução no tempo médio para exploração de 4,2 meses para apenas 1,6 dias. Isso evidencia a necessidade urgente de um serviço de alerta de vulnerabilidades que forneça orientações de remediação imediatas. O SecAlerts, uma plataforma que oferece alertas instantâneos sobre vulnerabilidades, promete ajudar as empresas a se manterem à frente das ameaças, permitindo que respondam rapidamente antes que as falhas sejam exploradas. A ferramenta é acessível e pode ser utilizada por empresas de todos os tamanhos, oferecendo uma linha de defesa robusta contra ameaças cibernéticas.

A Microsoft está lidando com um incidente que impede usuários de abrir arquivos na plataforma Teams e no Office para a web. A empresa confirmou que o problema afeta diversos aplicativos do Office, incluindo Excel e PowerPoint, e exibe uma mensagem de erro informando que os serviços online do Office não estão disponíveis no momento. A Microsoft está investigando a causa raiz do problema e analisando a telemetria dos serviços. Embora não tenha especificado as regiões afetadas ou um cronograma para a resolução completa, a empresa indicou que a análise inicial sugere um problema de cross-service que impacta a experiência do Office online. Além disso, a Microsoft também enfrentou um incidente relacionado à autenticação multifatorial (MFA), que foi atribuído a uma recente alteração na configuração de cache. Este incidente é considerado crítico, pois afeta uma ferramenta amplamente utilizada por empresas e usuários em todo o mundo, incluindo o Brasil.

Uma vulnerabilidade crítica, identificada como CVE-2026-8732, afeta o plugin WP Maps Pro, utilizado em mais de 15.000 sites WordPress. Este problema de escalonamento de privilégios permite que atacantes não autenticados criem contas de administrador, possibilitando o controle total do site. A falha está relacionada a uma funcionalidade de ‘acesso temporário’ destinada ao suporte técnico, que não possui verificações adequadas de autenticação. A exploração dessa vulnerabilidade foi confirmada, com a Wordfence reportando 2.858 tentativas de ataque em apenas 24 horas. A versão 6.1.1 do plugin já corrige a falha, e é crucial que os proprietários de sites atualizem suas instalações para evitar comprometimentos. A vulnerabilidade possui uma pontuação CVSS de 9.8, indicando seu alto risco. Portanto, a atualização imediata é essencial para garantir a segurança dos sites afetados.

Pesquisadores de cibersegurança revelaram uma nova campanha maliciosa de cadeia de suprimentos que visa desenvolvedores utilizando o OpenAI Codex, através de uma interface web remota que parece legítima. O pacote, denominado codexui-android, está disponível no GitHub e npm, com mais de 29.000 downloads semanais. O código malicioso foi inserido em um pacote funcional que passou por desenvolvimento ativo, permitindo a exfiltração silenciosa de tokens de autenticação do Codex para um servidor controlado por atacantes. O código extrai informações sensíveis, como access_token e refresh_token, armazenadas em um arquivo local. A campanha também se estende a um aplicativo Android que utiliza o mesmo pacote npm, aumentando o alcance da ameaça. A situação é agravada pelo fato de que o refresh_token não expira, permitindo acesso contínuo à conta da vítima. A entidade responsável pela publicação do aplicativo, chamada BrutalStrike, já teve mais de 50.000 downloads. A descoberta destaca a crescente preocupação com a segurança de ferramentas de desenvolvimento de IA e a necessidade de vigilância constante contra ataques de cadeia de suprimentos.