Pesquisadores de segurança cibernética descobriram uma grande campanha de fraude publicitária chamada Trapdoor, que afetou milhões de usuários de Android em todo o mundo. A operação utilizou 455 aplicativos disponíveis no Google Play Store, que pareciam inofensivos, como leitores de PDF, mas que, após a instalação, solicitavam uma atualização falsa. Essa atualização, na verdade, baixava um aplicativo oculto que gerava 659 milhões de solicitações de anúncios fraudulentos diariamente, resultando em perdas significativas para anunciantes e empresas que utilizam redes de anúncios. Os aplicativos maliciosos foram baixados mais de 24 milhões de vezes antes de serem removidos pelo Google após a notificação dos pesquisadores. A campanha destaca a interconexão entre malvertising e fraudes publicitárias, onde cada etapa do processo alimenta a próxima, criando um ciclo vicioso de exploração e lucro para os atacantes. Os usuários devem desinstalar qualquer aplicativo suspeito e manter vigilância sobre suas instalações para evitar serem vítimas dessa fraude.

A Sefas, desenvolvedora de software, notificou 191.848 texanos sobre uma violação de dados ocorrida em dezembro de 2025 no Frost Bank, um de seus clientes. Os dados comprometidos incluem números de Seguro Social, números de identificação fiscal, números de contas e datas de nascimento. O grupo cibercriminoso Everest reivindicou a responsabilidade pela violação em 20 de abril de 2026, alegando ter roubado 250.000 números de Seguro Social do Frost Bank e 3,4 milhões de registros do Citizens Bank no mesmo dia. Embora a Sefas tenha confirmado a atividade não autorizada em seu servidor SFTP, nem Frost Bank nem Citizens Bank reconheceram publicamente as alegações do Everest. A Sefas está oferecendo 12 meses de monitoramento de crédito aos afetados. Desde o início de 2025, 68 ataques de ransomware foram registrados contra instituições financeiras nos EUA, com apenas nove confirmados. Os ataques de ransomware podem causar perda de dados e exigir resgates para a recuperação dos sistemas. O grupo Everest, ativo desde 2020, já atacou diversas organizações, incluindo a NASA e o governo brasileiro.

O serviço de rede privada virtual (VPN) conhecido como ‘First VPN’, utilizado em ataques de ransomware e roubo de dados, foi desativado em uma operação conjunta de aplicação da lei internacional. Autoridades apreenderam dezenas de servidores do First VPN em 27 países, prenderam o administrador e realizaram uma busca domiciliar na Ucrânia. O serviço era promovido em fóruns de cibercrime como uma VPN focada na privacidade, que não registrava dados dos usuários e ignorava solicitações de informações por parte das autoridades. Embora as VPNs sejam usadas legitimamente para proteger a privacidade, contornar censura e permitir trabalho remoto seguro, criminosos também as utilizam para ocultar sua localização. A Europol informou que o nome do serviço foi mencionado em quase todas as investigações de cibercrime que apoiou. A investigação começou em dezembro de 2021 e envolveu a infiltração na infraestrutura da VPN, onde foram coletados dados de usuários e conexões utilizadas em ataques. A operação resultou na apreensão de 33 servidores e na identificação de usuários da plataforma, embora não tenha sido especificado se ações legais serão tomadas contra eles.

A Cisco divulgou atualizações de segurança para corrigir uma vulnerabilidade crítica no Cisco Secure Workload, anteriormente conhecido como Cisco Tetration. Essa falha, identificada como CVE-2026-20223, permite que atacantes não autenticados obtenham privilégios de Site Admin através de APIs REST internas do Secure Workload. A vulnerabilidade decorre de uma validação e autenticação insuficientes ao acessar os endpoints da API, possibilitando que um atacante envie uma solicitação API manipulada para um endpoint afetado. A exploração bem-sucedida dessa falha pode permitir que o invasor leia informações sensíveis e faça alterações de configuração em diferentes inquilinos com os privilégios de um usuário Site Admin. A Cisco não encontrou evidências de que essa vulnerabilidade tenha sido explorada antes da divulgação do aviso. Para mitigar o problema, a empresa lançou atualizações de software para clientes on-premises e já corrigiu a falha na versão SaaS do Cisco Secure Workload. A situação é alarmante, especialmente considerando que a Cisco já havia alertado sobre outra vulnerabilidade crítica em sua plataforma Catalyst SD-WAN, que estava sendo explorada ativamente. Com um histórico de 91 vulnerabilidades da Cisco sendo exploradas nos últimos cinco anos, a necessidade de atenção redobrada por parte das equipes de segurança é evidente.

Uma campanha de ciberespionagem atribuída ao grupo de ameaças Calypso, também conhecido como Red Lamassu, tem como alvo provedores de telecomunicações na Ásia-Pacífico e partes do Oriente Médio desde meados de 2022. Os pesquisadores da Lumen’s Black Lotus Labs e da PwC Threat Intelligence identificaram dois tipos de malware: Showboat, para sistemas Linux, e JFMBackdoor, para Windows. O Showboat é um framework modular que permite a persistência após a infecção inicial, coletando informações do sistema comprometido e enviando-as a um servidor de comando e controle. Uma de suas funcionalidades notáveis é a capacidade de atuar como um proxy SOCKS5, facilitando o movimento lateral na rede interna. Por outro lado, o JFMBackdoor é um implante de espionagem completo para Windows, que permite acesso remoto, gerenciamento de arquivos, manipulação do registro e captura de telas. A infraestrutura dos atacantes sugere um modelo operacional descentralizado, com clusters que compartilham ferramentas e padrões de certificação, mas que visam conjuntos de vítimas distintos. A análise indica que as ferramentas podem ser utilizadas por vários grupos de ameaças alinhados à China, aumentando a preocupação com a segurança em telecomunicações.

Nos últimos anos, as operações de roubo de criptomoedas evoluíram significativamente, passando de páginas de phishing isoladas para uma economia subterrânea estruturada em torno de plataformas conhecidas como ‘Drainer-as-a-Service’ (DaaS). Diferente das operações tradicionais de malware, os draineres utilizam engenharia social para atrair vítimas a sites falsos de criptomoedas, NFTs ou DeFi, onde são induzidas a conectar suas carteiras e aprovar transações maliciosas. Uma análise de dados coletados de fóruns underground revelou que essas operações estão se profissionalizando, com foco em crescimento de afiliados e automação. O modelo DaaS permite que operadores mantenham a infraestrutura de drenagem enquanto afiliados geram tráfego por meio de links de phishing e contas de redes sociais comprometidas. O estudo também destacou a resiliência operacional do Lucifer, um exemplo de DaaS, que se adaptou a banimentos e suspensões de serviços, utilizando descentralização para manter suas operações. A popularidade dos draineres se deve à natureza líquida e rápida das criptomoedas, além da confusão que muitos usuários têm em relação às permissões de carteira, tornando-os alvos fáceis para ataques. Essa situação representa um risco significativo para organizações que lidam com criptomoedas, exigindo atenção especial de equipes de segurança.

A Apple anunciou que bloqueou mais de R$ 11 bilhões em transações fraudulentas na App Store nos últimos seis anos, com mais de R$ 2,2 bilhões apenas em 2025. Em um comunicado à imprensa, a empresa revelou que rejeitou mais de 2 milhões de submissões problemáticas de aplicativos no último ano e bloqueou mais de 1,1 bilhão de criações de contas fraudulentas. Além disso, a Apple encerrou 193 mil contas de desenvolvedores devido a preocupações com fraudes e desativou 40,4 milhões de contas de clientes suspeitas de abuso. Os números de 2025 mostram um aumento significativo em relação aos anos anteriores, com a empresa utilizando tecnologia avançada e revisão humana para detectar e impedir o uso de informações financeiras roubadas. A equipe de revisão de aplicativos da Apple avaliou mais de 9,1 milhões de submissões em 2025, rejeitando um número considerável por violações de privacidade e táticas enganosas. A Apple também processou mais de 1,3 bilhão de avaliações e bloqueou quase 195 milhões de avaliações fraudulentas. A empresa aconselha os usuários a reportarem atividades suspeitas em aplicativos baixados da App Store.

Nesta semana, o cenário de cibersegurança revela uma crescente preocupação com ataques que exploram elementos considerados confiáveis, como atualizações e aplicativos. O evento Pwn2Own Berlin 2026 destacou a descoberta de 47 vulnerabilidades zero-day em produtos amplamente utilizados, resultando em prêmios significativos para pesquisadores de segurança. Além disso, o NCSC do Reino Unido alertou sobre os riscos associados ao uso de inteligência artificial em ambientes corporativos, enfatizando a necessidade de controles de segurança rigorosos. No âmbito internacional, o governo polonês recomendou que seus oficiais deixassem de usar o Signal, devido a ataques de engenharia social, e a polícia holandesa lançou uma campanha para identificar suspeitos de fraudes. O ransomware Gunra também está em ascensão na Coreia do Sul, enquanto a vulnerabilidade no Composer, um gerenciador de dependências PHP, exige atualizações urgentes. Por fim, campanhas de intrusão baseadas em IA estão se intensificando na América Latina, destacando a evolução das táticas de ataque. Esses eventos sublinham a necessidade de vigilância constante e atualização das práticas de segurança.

Pesquisadores de cibersegurança revelaram detalhes sobre um novo malware para Linux chamado Showboat, que tem sido utilizado em uma campanha direcionada a um provedor de telecomunicações no Oriente Médio desde pelo menos meados de 2022. O Showboat é um framework modular de pós-exploração, capaz de criar um shell remoto, transferir arquivos e atuar como um proxy SOCKS5. Acredita-se que o malware esteja associado a grupos de ameaças vinculados à China, com conexões identificadas entre servidores de comando e controle (C2) e endereços IP localizados em Chengdu, na China. Um dos grupos envolvidos é o Calypso, ativo desde 2016, que já atacou instituições estatais em diversos países, incluindo Brasil e Índia. O malware foi classificado como um backdoor sofisticado com capacidades semelhantes a rootkits, e sua entrega ainda não foi determinada. O Showboat é projetado para coletar informações do sistema e se esconder no dispositivo infectado, utilizando um código hospedado no Pastebin. Além disso, a análise da infraestrutura revelou vítimas em Afeganistão e Azerbaijão, além de possíveis compromissos nos EUA e na Ucrânia. A presença de tal malware é um sinal de alerta para problemas de segurança mais amplos nas redes afetadas.

Um aplicativo que imitava o oficial da Receita Federal acumulou mais de 16 mil downloads em lojas não oficiais antes de ser removido. Segundo a INGENI, divisão da Redbelt Security, durante a temporada de Imposto de Renda 2026, foram identificadas 80 páginas falsas, 26 perfis fraudulentos em redes sociais e cerca de 10 aplicativos maliciosos relacionados ao tema fiscal. Wagner Farias, engenheiro de ameaças da INGENI, destaca que o volume de downloads não reflete diretamente o número de vítimas, mas indica a amplitude da campanha. Os criminosos evitam lojas oficiais, como Google Play e App Store, que utilizam inteligência artificial para detectar comportamentos suspeitos. A engenharia social é o principal gatilho do golpe, aproveitando a urgência da entrega da declaração. A inteligência artificial também tem facilitado a criação de aplicativos falsos com alta fidelidade visual. O malware pode atuar como infostealer, roubando credenciais, ou como trojan de acesso remoto, permitindo controle do dispositivo. Para quem caiu no golpe, recomenda-se restaurar o dispositivo e trocar credenciais em outro aparelho. A prevenção envolve desconfiar de domínios que não terminam em gov.br.

A Cardinal Services, Inc. iniciou notificações de violação de dados para 142.323 pessoas após dois incidentes de cibersegurança em 2025, um em junho e outro em agosto. O grupo de ransomware Rhysida reivindicou o primeiro ataque, exigindo um resgate de $940.000, enquanto o segundo ataque foi atribuído ao grupo INC. A empresa tomou medidas imediatas ao descobrir acessos não autorizados em seus sistemas, envolvendo profissionais externos de cibersegurança para investigar e mitigar os danos. Embora os detalhes sobre os dados afetados não sejam claros, a oferta de acesso gratuito ao Epiq Privacy Solutions ID sugere que informações sensíveis, como números de Seguro Social, podem ter sido comprometidas. O grupo Rhysida também adicionou a Cardinal a seu site de vazamento de dados, apresentando provas que incluem capturas de tela de documentos sensíveis. Em setembro, o grupo INC também reivindicou a violação, alegando que 140 GB de dados foram roubados. Até agora, a Cardinal não confirmou as reivindicações de resgate ou se algum pagamento foi feito. Este incidente destaca a crescente ameaça de ataques de ransomware nos Estados Unidos, com 755 ataques confirmados em 2025, afetando mais de 44,6 milhões de registros.

Na quarta-feira, a Microsoft iniciou a distribuição de patches de segurança para duas vulnerabilidades do Microsoft Defender que estão sendo exploradas em ataques zero-day. A primeira, identificada como CVE-2026-41091, é uma falha de escalonamento de privilégios que afeta o Microsoft Malware Protection Engine 1.1.26030.3008 e versões anteriores. Essa vulnerabilidade permite que atacantes obtenham privilégios de SYSTEM devido a uma resolução inadequada de links antes do acesso a arquivos. A segunda vulnerabilidade, CVE-2026-45498, impacta sistemas com a Microsoft Defender Antimalware Platform 4.18.26030.3011 e versões anteriores, permitindo que atores maliciosos provoquem estados de negação de serviço (DoS) em dispositivos Windows não corrigidos. A Microsoft lançou as versões 1.1.26040.8 e 4.18.26040.7 para corrigir essas falhas e recomenda que os usuários verifiquem se as atualizações estão configuradas para instalação automática. A CISA, agência de cibersegurança dos EUA, também emitiu um alerta para que agências governamentais protejam seus sistemas Windows contra essas vulnerabilidades, que estão ativamente sendo exploradas. A CISA incluiu essas falhas em seu catálogo de vulnerabilidades conhecidas exploradas e ordenou que as agências federais tomem medidas de segurança em até duas semanas.

A Flipper Devices, fabricante da ferramenta de pentesting Flipper Zero, está solicitando a colaboração da comunidade para o desenvolvimento do Flipper One, uma plataforma Linux aberta voltada para dispositivos conectados. Diferente do Flipper Zero, que se concentra em controle de acesso offline e tecnologias de rádio, o Flipper One é projetado como um computador portátil ARM Linux de alto desempenho, com capacidade para suportar análise de rádio definida por software (SDR) e modelos de linguagem local (LLMs).

Pesquisadores de cibersegurança revelaram uma vulnerabilidade crítica no kernel do Linux, identificada como CVE-2026-46333, que permaneceu oculta por nove anos. Com uma pontuação CVSS de 5.5, a falha se refere a uma gestão inadequada de privilégios, permitindo que usuários locais não privilegiados acessem arquivos sensíveis e executem comandos como root em distribuições populares como Debian, Fedora e Ubuntu. A vulnerabilidade, conhecida como ssh-keysign-pwn, foi descoberta pela Qualys e está relacionada à função __ptrace_may_access() do kernel, introduzida em novembro de 2016. A exploração bem-sucedida pode permitir a divulgação de arquivos críticos, como /etc/shadow e chaves privadas em /etc/ssh/*_key. A Qualys recomenda que as distribuições Linux apliquem atualizações de kernel imediatamente. Caso não seja possível, sugere-se aumentar o parâmetro “kernel.yama.ptrace_scope” para 2 como uma medida temporária. A situação é agravada pela recente divulgação de um exploit de prova de conceito (PoC) para essa vulnerabilidade, o que aumenta a urgência de ações corretivas. Além disso, um exploit chamado PinTheft, que permite a escalada de privilégios locais em sistemas Arch Linux, foi também mencionado, destacando a necessidade de vigilância contínua em relação a falhas de segurança no Linux.

Um estudo recente destaca como credenciais armazenadas em cache podem se tornar um vetor de ataque significativo em ambientes híbridos. Um exemplo prático revela que uma única chave de acesso em uma máquina Windows poderia permitir que um atacante acessasse até 98% dos recursos críticos de uma empresa na nuvem. A pesquisa enfatiza que a segurança de identidade não deve ser vista apenas como um controle de perímetro, mas como um elemento central na defesa contra invasões. A maioria das ferramentas de segurança atuais falha em mapear como as exposições de identidade se conectam, permitindo que atacantes explorem permissões excessivas e atribuições de funções esquecidas. Dados da Palo Alto mostram que 90% das investigações de incidentes em 2025 foram influenciadas por fraquezas de identidade. Além disso, a crescente utilização de agentes de IA em ambientes corporativos aumenta a vulnerabilidade, uma vez que credenciais não humanas estão se tornando um alvo crescente no crime cibernético. Para mitigar esses riscos, é essencial que as organizações integrem suas ferramentas de segurança para ter uma visão unificada das conexões de identidade e permissões, fechando assim os caminhos de ataque antes que sejam explorados.

A Microsoft revelou que duas vulnerabilidades no Microsoft Defender estão sendo ativamente exploradas. A primeira, classificada como CVE-2026-41091, possui uma pontuação de 7.8 no sistema CVSS e permite que atacantes autorizados elevem seus privilégios a nível de sistema. A segunda, CVE-2026-45498, é uma falha de negação de serviço com uma pontuação de 4.0. Ambas as vulnerabilidades foram corrigidas nas versões mais recentes da plataforma de antimalware da Microsoft. A empresa destacou que sistemas que desativaram o Defender não estão vulneráveis e que as atualizações são automáticas. A CISA dos EUA incluiu essas falhas em seu catálogo de vulnerabilidades conhecidas, exigindo que agências federais apliquem as correções até 3 de junho de 2026. Além disso, a Microsoft já havia relatado outras vulnerabilidades exploradas recentemente, aumentando a preocupação com a segurança de suas soluções. A situação exige atenção, especialmente para organizações que dependem do Defender para proteção contra ameaças cibernéticas.

O GitHub confirmou que hackers acessaram 3.800 repositórios internos por meio de uma versão maliciosa da extensão Nx Console para Visual Studio Code, comprometida durante um ataque à cadeia de suprimentos da TanStack. O grupo de cibercriminosos TeamPCP é o responsável pelo ataque, que começou com a violação de pacotes npm da TanStack e Mistral AI, e se espalhou para outros projetos utilizando credenciais de CI/CD roubadas. O ataque permitiu que os invasores executassem fluxos de trabalho nos repositórios do GitHub como contribuidores. A extensão maliciosa, disponível por um curto período, tinha como objetivo roubar credenciais de diversas plataformas, incluindo npm e AWS. Embora o GitHub tenha tomado medidas para mitigar o incidente, como a rotação de segredos críticos, a equipe de segurança ainda investiga o alcance do ataque. O TeamPCP reivindicou acesso ao código-fonte do GitHub e está pedindo um resgate de pelo menos $50.000 por dados roubados. Este incidente destaca a vulnerabilidade das ferramentas de desenvolvimento e a necessidade de vigilância constante na segurança de extensões de software.

O Drupal divulgou atualizações de segurança para uma vulnerabilidade considerada “altamente crítica” no Drupal Core, identificada como CVE-2026-9082. Essa falha pode ser explorada por atacantes para realizar execução remota de código, escalonamento de privilégios ou divulgação de informações. A vulnerabilidade está relacionada a uma API de abstração de banco de dados utilizada para validar consultas e proteger contra ataques de injeção SQL, afetando especificamente sites que utilizam bancos de dados PostgreSQL. A exploração pode ser realizada por usuários anônimos, o que aumenta o risco. As versões afetadas incluem Drupal 11.3.10, 11.2.12, 11.1.10, 10.6.9, 10.5.10 e 10.4.10, enquanto o Drupal 7 não é impactado. O Drupal também lançou patches manuais para versões 9 e 8, que já atingiram o fim de vida útil. A gravidade da falha justifica a atualização imediata para evitar possíveis ataques, uma vez que versões não suportadas ainda podem conter outras vulnerabilidades conhecidas.

O GitHub confirmou que a violação de seus repositórios internos foi causada pela invasão de um dispositivo de um funcionário, que utilizava uma versão comprometida da extensão Nx Console para o Microsoft Visual Studio Code (VS Code). O ataque, atribuído ao grupo cibercriminoso TeamPCP, resultou na exfiltração de aproximadamente 3.800 repositórios. Apesar da gravidade do incidente, o GitHub assegurou que não há evidências de que informações de clientes fora de seus repositórios internos tenham sido afetadas. A extensão comprometida esteve disponível no Visual Studio Marketplace por apenas 18 minutos, mas foi tempo suficiente para que os atacantes distribuíssem um ladrão de credenciais que poderia coletar dados sensíveis de várias fontes, incluindo 1Password e AWS. Especialistas alertam que a natureza interconectada do software moderno facilita a exploração de vulnerabilidades, permitindo que um ataque inicial leve a compromissos subsequentes. A situação destaca a necessidade urgente de mudanças na segurança das ferramentas de desenvolvimento e na distribuição de código aberto.

A PlayStation Network (PSN) enfrenta uma grave vulnerabilidade que tem impactado usuários, incluindo figuras públicas como Colin Moriarty, que relatou ter sido hackeado. Os ataques ocorrem sem que as vítimas precisem clicar em links suspeitos, bastando que os hackers tenham acesso à ID da conta e a alguns dados de transação. A Sony, por sua vez, tem sido criticada por sua falta de ação e comunicação, limitando-se a remover informações de cartões de crédito e prometer uma análise que pode levar até três semanas. A falha permite que qualquer pessoa solicite a troca de e-mail vinculado à conta e desabilite a autenticação de dois fatores, colocando em risco a segurança de milhares de usuários. Além disso, a PSN já enfrenta problemas recorrentes de quedas e instabilidades, dificultando o acesso à PlayStation Store e ao multiplayer online. A situação levanta preocupações sobre a segurança da plataforma e a proteção dos dados dos usuários, especialmente em um cenário onde o jogo online se torna cada vez mais complexo e caro.

O Japão enfrenta um aumento alarmante de ataques de ursos, com 13 fatalidades e mais de 50 mil avistamentos registrados em 2025. Para lidar com essa situação, a empresa Ohta Seiki, localizada em Hokkaido, lançou o ‘Monster Wolf’, um robô animatrônico projetado para repelir esses animais perigosos. O robô, que custa cerca de US$ 4.000, possui uma estrutura de tubo coberta com pelagem artificial, olhos LED vermelhos e emite mais de 50 tipos de sons, incluindo vozes humanas e rosnados, que podem ser ouvidos a até um quilômetro de distância. A demanda pelo Monster Wolf disparou, com a empresa recebendo cerca de 50 pedidos em um ano, superando sua capacidade de produção habitual. O robô é ativado por um sensor infravermelho que detecta a presença de animais selvagens, acionando seus sons e movimentos. A Ohta Seiki planeja aprimorar o dispositivo, tornando-o autônomo e desenvolvendo uma versão portátil para uso em áreas rurais. Apesar de sua aparência assustadora, o robô se tornou uma solução viável para comunidades que enfrentam ataques de ursos, que estão se tornando cada vez mais frequentes.

Recentemente, a empresa de cibersegurança ReliaQuest identificou um ataque direcionado a dispositivos SonicWall Gen6 SSL-VPN, onde atores de ameaças conseguiram contornar a autenticação multifator (MFA) e acessar redes internas. O ataque, que levou entre 30 a 60 minutos para ser executado, envolveu a força bruta de credenciais VPN e a exploração da vulnerabilidade CVE-2024-12802. Essa falha permite que um invasor com credenciais válidas autentique-se diretamente, ignorando a MFA. Embora muitos dispositivos estivessem com o firmware atualizado, a falta de reconfiguração manual do servidor LDAP deixou as redes vulneráveis. Em um dos incidentes analisados, o invasor conseguiu acessar um servidor de arquivos em menos de meia hora e tentou implantar ferramentas como o Cobalt Strike, mas foi bloqueado por soluções de detecção de endpoint. A SonicWall já emitiu um aviso de segurança, alertando que a simples atualização do firmware não é suficiente para mitigar a vulnerabilidade, sendo necessária uma reconfiguração adicional. Dada a gravidade da situação e a possibilidade de exploração em diversos setores, é crucial que as empresas que utilizam esses dispositivos tomem medidas imediatas para garantir a segurança de suas redes.

A polícia cibernética da Ucrânia, em colaboração com autoridades dos EUA, identificou um homem de 18 anos de Odesa como suspeito de operar um malware infostealer que visava usuários de uma loja online na Califórnia. Entre 2024 e 2025, o suspeito utilizou malware para infectar dispositivos e roubar sessões de navegador e credenciais de contas. Os infostealers são conhecidos por coletar dados sensíveis, como senhas e informações de pagamento, que são enviados a cibercriminosos para roubo de contas e fraudes. Os ataques afetaram 28 mil contas de clientes, resultando em 5.800 compras não autorizadas que totalizaram cerca de 721 mil dólares. A operação causou perdas diretas de 250 mil dólares. A polícia informou que o suspeito gerenciava a infraestrutura online usada para processar e vender os dados roubados, além de realizar transações em criptomoedas com cúmplices. Embora as buscas tenham sido realizadas e dispositivos confiscados, ainda não houve prisão, indicando que as investigações continuam. O caso destaca a crescente ameaça de malware e a importância de medidas de segurança robustas para proteger dados sensíveis.

Com a Copa do Mundo de 2026 se aproximando, golpistas estão explorando a empolgação dos torcedores para aplicar fraudes online. Pesquisadores de segurança digital da Malwarebytes identificaram diversas armadilhas, incluindo criptomoedas temáticas falsas, ingressos inexistentes e sites de apostas fraudulentos. O chefe de pesquisa da Malwarebytes, Shahak Shalev, destaca que os criminosos tratam grandes eventos como oportunidades comerciais, utilizando ferramentas de inteligência artificial para criar sites e materiais de phishing convincentes com maior rapidez e menor custo.

A Microsoft alertou que um grupo de hackers conhecido como Storm-2949 está explorando a funcionalidade de redefinição de senha em seus serviços, como Microsoft 365 e Azure, para sequestrar contas de usuários. O ataque ocorre quando os criminosos identificam suas vítimas, obtêm seus números de telefone e e-mails, e iniciam o processo de redefinição de senha. Em seguida, eles ligam para as vítimas, se passando por técnicos de TI, e convencem-nas a aprovar um prompt de autenticação multifatorial (MFA). Com isso, os hackers conseguem redefinir a senha e acessar informações sensíveis. A Microsoft descreveu essa campanha como metódica e sofisticada, destacando que os atacantes conseguiram baixar milhares de arquivos de contas comprometidas. Para se proteger, a empresa recomenda que os usuários limitem as permissões de controle de acesso baseado em função (RBAC) no Azure e monitorem operações de gerenciamento de alto risco. As medidas de segurança incluem a retenção de logs do Azure Key Vault e a restrição de acesso público a esses cofres, além de opções de proteção de dados no Azure Storage.

O Drupal, um sistema de gerenciamento de conteúdo amplamente utilizado por grandes organizações, incluindo setores governamentais, educacionais e de saúde, anunciou uma atualização de segurança crucial programada para hoje. A equipe de segurança do Drupal alertou que, após a divulgação da vulnerabilidade, é provável que atacantes desenvolvam exploits em questão de horas. Administradores de sites que utilizam as versões 8 ou 9 do Drupal são fortemente aconselhados a atualizar para pelo menos a versão 10.6. A vulnerabilidade afeta o núcleo do Drupal a partir da versão 8, embora nem todas as configurações sejam impactadas. Atualizações de segurança estarão disponíveis para várias versões, incluindo as 11.3.x, 10.6.x e outras, com correções também sendo fornecidas para versões não suportadas devido à gravidade do problema. É importante ressaltar que as versões 8 e 9 não receberão patches, mas arquivos de correção serão disponibilizados para versões específicas. Os administradores devem monitorar o portal de segurança oficial do Drupal para mais informações e aplicar as atualizações assim que estiverem disponíveis, mantendo cautela em relação a informações fraudulentas que possam circular online.

A identidade tem sido um pilar fundamental da cibersegurança, onde a verificação do usuário garante o acesso seguro. No entanto, com a evolução das ameaças, como o uso de inteligência artificial e kits de phishing sofisticados, essa abordagem está se mostrando insuficiente. A autenticação multifatorial (MFA) foi criada para mitigar esses riscos, mas ataques modernos conseguem contornar essa proteção, capturando tokens de sessão mesmo após a autenticação bem-sucedida. O NIST já alertava sobre a necessidade de não confiar implicitamente na segurança após a autenticação inicial, enfatizando a importância de verificar a postura de segurança do dispositivo ao longo de toda a sessão. A maioria das organizações ainda trata a autenticação como um evento único, ignorando que a segurança do dispositivo pode mudar durante a sessão. Para uma abordagem mais robusta, é necessário combinar a verificação contínua do dispositivo com a identidade, garantindo que o acesso permaneça condicionado à saúde do dispositivo, e não apenas à prova de identidade. Isso reduz a eficácia de credenciais roubadas e melhora a segurança geral.

O vazamento de dados da Grafana foi causado por um token de workflow do GitHub que não foi rotacionado após um ataque à cadeia de suprimentos do npm, atribuído ao grupo de hackers TeamPCP. Durante a campanha de malware Shai-Hulud, pacotes do TanStack infectados com código de roubo de credenciais foram publicados no npm, comprometendo ambientes de desenvolvimento, incluindo o da Grafana. Quando o pacote malicioso foi liberado, o workflow de CI/CD da Grafana o consumiu, permitindo que um módulo de roubo de informações executasse no ambiente do GitHub e exfiltrasse tokens de workflow para os atacantes. A Grafana detectou a atividade maliciosa em 1º de maio e implementou um plano de resposta a incidentes, mas um token foi esquecido no processo, permitindo acesso a repositórios privados da empresa. Embora o código-fonte tenha sido roubado, a Grafana assegurou que não houve impacto nos dados dos clientes e que o código baixado durante o incidente é considerado seguro. A investigação continua, e a empresa se comprometeu a notificar os clientes afetados caso novas evidências surjam.

Um novo relatório da Orchid Security revela que, em 2026, os elementos invisíveis e não gerenciados de identidade, denominados ‘dark matter’, superam os elementos visíveis em 57% a 43%. Essa situação se agrava com a crescente adoção de agentes de IA pelas empresas, que, por sua natureza, buscam atalhos para realizar tarefas. Esses agentes podem acessar sistemas de forma não autorizada, utilizando credenciais armazenadas em texto simples ou ‘pegando emprestado’ credenciais de maior privilégio. O relatório destaca três principais preocupações: 1) Dois em cada três contas não humanas são configuradas localmente, tornando-se invisíveis para os programas de gerenciamento de identidade (IAM); 2) 70% das aplicações possuem permissões excessivas, aumentando o risco de acesso indevido; 3) 40% das contas já não têm usuários autorizados, tornando-se alvos fáceis para agentes de ameaças. A gestão eficaz de identidade e acesso é, portanto, crucial para limitar as atividades dos agentes de IA dentro de limites autorizados. O relatório sugere que as organizações devem agir rapidamente para abordar essas questões, especialmente em um cenário onde a transformação digital está em alta.

Pesquisadores de cibersegurança identificaram atividades recentes do grupo de ameaças alinhado à China, conhecido como Webworm, que tem utilizado backdoors personalizados para comunicação de comando e controle (C2) via Discord e Microsoft Graph API. O Webworm, ativo desde pelo menos 2022, tem como alvo agências governamentais e empresas em setores como serviços de TI, aeroespacial e energia elétrica, principalmente na Rússia, Geórgia, Mongólia e outros países asiáticos. Em 2025, o grupo introduziu novas ferramentas, como EchoCreep e GraphWorm, que permitem upload e download de arquivos e execução de comandos. O uso de um repositório do GitHub que se disfarça de um fork do WordPress para distribuir malware é uma tática que visa evitar detecções. Além disso, o grupo tem se afastado de backdoors tradicionais, adotando ferramentas de proxy mais discretas. A análise indica que o Webworm está se expandindo para alvos na Europa e na África do Sul, o que pode representar um risco crescente para organizações em todo o mundo.

A Microsoft anunciou a interrupção de uma operação de malware-signing-as-a-service (MSaaS) que utilizava seu sistema Artifact Signing para distribuir códigos maliciosos, incluindo ransomware. A operação, atribuída ao grupo Fox Tempest, comprometeu milhares de máquinas em todo o mundo desde maio de 2025. A Microsoft, através da operação codinome OpFauxSign, tomou medidas drásticas, como a apreensão do site signspace[.]cloud e a desativação de centenas de máquinas virtuais associadas. O esquema permitia que cibercriminosos disfarçassem malware como software legítimo, utilizando certificados de assinatura fraudulentos válidos por apenas 72 horas. Entre os malwares distribuídos estão o ransomware Rhysida e outras famílias como Oyster e Lumma Stealer. A operação também revelou conexões com grupos de ransomware conhecidos, como INC e BlackByte, que atacaram setores críticos como saúde e finanças em países como EUA, França, Índia e China. A Microsoft destacou que a capacidade de fazer software malicioso parecer legítimo é uma ameaça significativa à segurança cibernética, tornando essencial a interrupção dessa prática.

A Microsoft apresentou duas novas ferramentas open-source, RAMPART e Clarity, para auxiliar desenvolvedores na segurança de agentes de inteligência artificial (IA). O RAMPART, que significa Plataforma de Avaliação e Medição de Risco para Red Teaming de Agentes, é um framework de testes de segurança nativo do Pytest, permitindo a criação e execução de testes que abordam tanto questões adversariais quanto benignas. Os usuários podem desenvolver casos de teste para explorar violações de segurança, como injeções de prompt e regressões comportamentais indesejadas. O Clarity, por sua vez, atua como um parceiro de pensamento para os desenvolvedores, ajudando na clarificação de problemas e na exploração de soluções antes mesmo da codificação. Ambas as ferramentas visam integrar a segurança desde as fases iniciais do desenvolvimento, permitindo que gerentes de produto e engenheiros testem suas suposições de forma eficaz. A Microsoft enfatiza que essas abordagens transformam a segurança da IA em um processo contínuo, ao invés de uma revisão pontual, promovendo um ciclo de aprendizado e mitigação de riscos ao longo do ciclo de vida do software.

O GitHub confirmou que aproximadamente 3.800 repositórios internos foram comprometidos após um de seus funcionários instalar uma extensão maliciosa no Visual Studio Code (VS Code). A empresa removeu a extensão trojanizada do marketplace e isolou o dispositivo afetado. A investigação inicial sugere que a atividade envolveu a exfiltração de repositórios internos do GitHub, sem evidências de que dados de clientes armazenados fora desses repositórios tenham sido afetados. O grupo hacker TeamPCP reivindicou o acesso ao código-fonte do GitHub e à venda de cerca de 4.000 repositórios de código privado, pedindo pelo menos US$ 50.000 pelos dados. Este incidente destaca a vulnerabilidade das extensões do VS Code, que já foram alvo de ataques anteriores, com extensões maliciosas sendo usadas para roubar credenciais de desenvolvedores. O GitHub, que abriga mais de 420 milhões de repositórios de código, é amplamente utilizado por organizações ao redor do mundo, incluindo 90% das empresas da Fortune 100.

Uma nova vulnerabilidade de escalonamento de privilégios no Linux, chamada PinTheft, foi recentemente corrigida, mas agora possui um exploit de prova de conceito (PoC) disponível publicamente. Essa falha, que afeta o kernel Linux, especificamente o módulo RDS (Reliable Datagram Sockets), permite que atacantes locais obtenham privilégios de root em sistemas Arch Linux. O exploit se aproveita de um erro no caminho de envio zerocopy do RDS, onde páginas de usuário são ‘pinned’ uma a uma. Se ocorrer uma falha de página, as páginas já ‘pinned’ são descartadas, permitindo que referências sejam roubadas. Para que a exploração seja bem-sucedida, o módulo RDS deve estar carregado, o que é padrão apenas no Arch Linux entre as distribuições mais comuns. Os usuários são aconselhados a instalar as atualizações do kernel imediatamente, mas uma mitigação temporária também foi sugerida. Essa vulnerabilidade se junta a uma série de outras falhas de escalonamento de privilégios que foram reveladas recentemente, algumas das quais estão sendo ativamente exploradas por agentes de ameaças. A situação é crítica, especialmente para usuários de distribuições Linux afetadas, que devem agir rapidamente para proteger seus sistemas.

A Microsoft divulgou uma mitigação para uma vulnerabilidade crítica no BitLocker, conhecida como YellowKey, que permite a um atacante contornar a proteção de criptografia em dispositivos Windows. A falha, identificada como CVE-2026-45585, possui uma pontuação CVSS de 6.8 e afeta diversas versões do Windows 11 e Windows Server 2025. O problema foi revelado por um pesquisador de segurança e permite que arquivos especialmente manipulados sejam usados para obter acesso não autorizado ao volume protegido pelo BitLocker. Para mitigar o risco, a Microsoft recomenda que os usuários montem a imagem do Windows Recovery Environment (WinRE) em seus dispositivos e realizem modificações específicas no registro do sistema. Além disso, a empresa sugere que os administradores mudem a configuração do BitLocker de ‘TPM-only’ para ‘TPM+PIN’, o que exige um PIN para a descriptografia do disco na inicialização, aumentando a segurança contra ataques do tipo YellowKey. A vulnerabilidade destaca a importância de manter as configurações de segurança atualizadas e de implementar medidas adicionais de autenticação em dispositivos críticos.

O GitHub está investigando uma violação de segurança em seus repositórios internos, após o grupo de hackers TeamPCP afirmar ter acessado cerca de 4.000 repositórios que contêm código privado. A plataforma, que é amplamente utilizada por mais de 4 milhões de organizações e 180 milhões de desenvolvedores, assegurou que, até o momento, não há evidências de que dados de clientes armazenados fora de seus repositórios internos tenham sido afetados. O TeamPCP anunciou a venda do código-fonte e de informações internas do GitHub por pelo menos US$ 50.000, afirmando que não se trata de um resgate, mas de uma venda legítima. O grupo já foi associado a ataques de cadeia de suprimentos em várias plataformas de desenvolvimento de código, incluindo compromissos anteriores que afetaram a segurança de imagens Docker e bibliotecas de código aberto. O GitHub está monitorando sua infraestrutura para atividades subsequentes e notificará os clientes afetados caso alguma evidência de impacto seja descoberta.

A Microsoft anunciou medidas de mitigação para a vulnerabilidade YellowKey, uma falha zero-day no BitLocker do Windows que permite acesso não autorizado a unidades protegidas. A vulnerabilidade foi revelada por um pesquisador anônimo, conhecido como ‘Nightmare Eclipse’, que também publicou um exploit de prova de conceito (PoC). O ataque envolve a colocação de arquivos ‘FsTx’ em um dispositivo USB ou partição EFI, seguido de um reinício no Windows Recovery Environment (WinRE) e a ativação de um shell com acesso irrestrito ao volume protegido pelo BitLocker. A Microsoft classificou a falha como CVE-2026-45585 e recomendou a remoção do executável autofstx.exe do registro do sistema, além de sugerir a configuração do BitLocker para exigir um PIN na inicialização. Essas medidas visam proteger os dispositivos até que uma atualização de segurança seja disponibilizada. A situação é preocupante, pois outras vulnerabilidades, como BlueHammer e RedSun, também foram divulgadas recentemente e estão sendo exploradas em ataques ativos. A empresa enfatiza a importância de seguir as orientações para mitigar os riscos associados a essa falha.

O GitHub anunciou que está investigando um acesso não autorizado a seus repositórios internos, após o grupo de cibercriminosos conhecido como TeamPCP listar o código-fonte da plataforma e informações internas à venda em um fórum de crimes cibernéticos. Embora a empresa não tenha encontrado evidências de que informações de clientes tenham sido comprometidas, está monitorando sua infraestrutura para possíveis atividades subsequentes. O TeamPCP, conhecido por ataques à cadeia de suprimentos de software, está pedindo pelo menos US$ 50.000 pelo acesso a cerca de 4.000 repositórios. O GitHub também revelou que um dispositivo de um funcionário foi comprometido por uma extensão maliciosa do Microsoft Visual Studio Code, levando à rotação de segredos críticos. Além disso, o grupo está por trás da campanha de malware Mini Shai-Hulud, que comprometeu o pacote durabletask, permitindo a exfiltração de credenciais de provedores de nuvem e ferramentas de desenvolvimento. O ataque destaca a vulnerabilidade de ambientes de desenvolvimento e a necessidade de vigilância contínua em relação a ameaças emergentes.

No dia 19 de maio de 2026, a Grafana Labs anunciou que, após investigar uma violação de segurança, não encontrou evidências de que sistemas de produção ou operações de clientes tenham sido comprometidos. O incidente se limitou ao ambiente do GitHub da empresa, que inclui código-fonte público e privado, além de repositórios internos. A violação foi originada de um ataque à cadeia de suprimentos do TanStack npm, realizado pelo grupo TeamPCP, que também afetou outras empresas como OpenAI e Mistral AI. A Grafana detectou a atividade maliciosa em 11 de maio de 2026 e, apesar de ter realizado a rotação de tokens de workflow do GitHub, um token não rotacionado permitiu o acesso dos atacantes aos repositórios. A empresa recebeu uma demanda de extorsão em 16 de maio, mas decidiu não pagar, temendo que os dados roubados não fossem excluídos e que isso pudesse incentivar futuros ataques. Desde então, a Grafana implementou medidas para reforçar sua segurança no GitHub, incluindo a rotação de tokens de automação e auditoria de commits em busca de atividades maliciosas.

O grupo de ameaças conhecido como Storm-2949 está realizando ataques direcionados a ambientes de produção do Microsoft 365 e Azure, utilizando aplicações e recursos administrativos legítimos para roubar dados sensíveis. A Microsoft identificou que o grupo emprega engenharia social para obter credenciais do Microsoft Entra ID de usuários com funções privilegiadas, como pessoal de TI e líderes seniores. Os atacantes abusam do fluxo de Redefinição de Senha de Autoatendimento (SSPR), enganando as vítimas para que aprovem solicitações de autenticação multifator (MFA). Após comprometer as contas, eles utilizam a API Microsoft Graph e scripts em Python para explorar usuários, funções e aplicações, acessando serviços como OneDrive e SharePoint para buscar informações críticas, como configurações de VPN e arquivos operacionais de TI.

O FBI revelou que os americanos perderam mais de US$ 388 milhões em 2025 devido a fraudes envolvendo quiosques de criptomoedas, também conhecidos como ATMs de Bitcoin. Esses terminais eletrônicos permitem a compra e venda de ativos digitais usando dinheiro ou cartões de débito, mas têm sido explorados por cibercriminosos que instruem as vítimas a depositar dinheiro, que é então transferido para carteiras controladas pelos atacantes. O relatório do FBI indica um aumento de quase 60% nas perdas em comparação ao ano anterior, com mais da metade das reclamações vindo de indivíduos com mais de 50 anos. Os estados de Minnesota, Indiana e Tennessee já baniram esses quiosques, enquanto o FBI recomenda medidas de proteção, como não enviar dinheiro a desconhecidos e verificar a autenticidade de solicitações de pagamento. O relatório de crimes cibernéticos do FBI também destacou que, no total, mais de 1 milhão de reclamações foram registradas, resultando em perdas de quase US$ 21 bilhões em crimes cibernéticos em geral.

O Discord anunciou que todas as chamadas de voz e vídeo na plataforma agora são protegidas por criptografia de ponta a ponta (E2EE) por padrão. A implementação foi concluída em março de 2024, após testes em larga escala que garantiram a eficácia do sistema. Com aproximadamente 690 milhões de usuários registrados, o Discord é uma plataforma popular para comunicação entre gamers, criadores e grupos de interesse. A migração para E2EE foi realizada estendendo o protocolo de criptografia de código aberto DAVE, que agora cobre mensagens diretas, grupos, canais de voz e transmissões ao vivo. Apenas os canais de palco não estão incluídos, pois são destinados a transmissões públicas. O protocolo DAVE, desenvolvido com a ajuda da Trail of Bits, utiliza transformações codificadas pelo WebRTC e segurança em camadas para garantir a privacidade dos usuários, minimizando interrupções nas chamadas. Apesar do sucesso na implementação, o Discord não planeja estender a criptografia para mensagens de texto, devido a desafios técnicos significativos. A empresa também destacou a colaboração com a Mozilla para resolver problemas de compatibilidade com o navegador Firefox.

A Microsoft anunciou a interrupção de uma operação de malware-signing-as-a-service (MSaaS) que explorava seu serviço de assinatura de artefatos para gerar certificados de assinatura de código fraudulentos, utilizados por gangues de ransomware e outros cibercriminosos. O grupo, identificado como Fox Tempest, criou mais de 1.000 certificados e centenas de assinaturas na plataforma Azure Artifact Signing, permitindo que malware fosse assinado digitalmente e reconhecido como software legítimo. A operação foi desmantelada em maio de 2026, com a ajuda de parceiros da indústria, e resultou na revogação de mais de mil certificados. A Microsoft também bloqueou o domínio signspace[.]cloud, utilizado para a operação, e tomou medidas contra a infraestrutura que suportava a plataforma criminosa. O malware assinado foi associado a diversas campanhas de ransomware, incluindo Rhysida e BlackByte, e permitiu que os atacantes disfarçassem software malicioso como aplicativos legítimos, como Microsoft Teams e AnyDesk. A operação gerou milhões de dólares em lucros e utilizou identidades roubadas para obter os certificados de assinatura.

Uma vulnerabilidade de gravidade máxima foi identificada na versão mais recente do FastAPI do projeto ChromaDB, permitindo que atacantes não autenticados executem código arbitrário em servidores expostos. A falha, registrada como CVE-2026-45829, foi reportada em 17 de fevereiro e recebeu a pontuação máxima de severidade pela HiddenLayer, a empresa que a descobriu. O ChromaDB, um banco de dados vetorial de código aberto, é amplamente utilizado em aplicações de inteligência artificial, facilitando a recuperação de documentos relevantes durante a inferência de modelos de linguagem. A vulnerabilidade afeta a lógica do servidor API em Python, colocando em risco o pacote PyPI, que conta com quase 14 milhões de downloads mensais. A falha permite que um endpoint de API marcado como autenticado permita que atacantes embutam configurações de modelo antes da verificação de autenticação, possibilitando a execução de modelos maliciosos. Embora uma nova versão tenha sido lançada, não está claro se a vulnerabilidade foi corrigida. A HiddenLayer tentou contatar os desenvolvedores sem sucesso, e cerca de 73% das instâncias expostas na internet estão rodando uma versão vulnerável. Recomenda-se que os usuários evitem expor o servidor Python publicamente ou optem pela interface em Rust até que a situação seja esclarecida.

A Microsoft anunciou uma ação global contra o grupo Fox Tempest, que operava um esquema de ‘Malware Signing-as-a-Service’ (MSaaS). Este grupo ajudava cibercriminosos a distribuir malwares disfarçados de softwares legítimos, utilizando certificados digitais fraudulentos. Esses certificados permitiam que arquivos maliciosos fossem instalados sem levantar suspeitas, burlando sistemas de segurança e aumentando as taxas de infecção. O esquema, que funcionava como uma plataforma clandestina, oferecia suporte via Telegram e tinha um sistema de filas para atendimento, cobrando até US$ 9,5 mil por serviços prioritários. A operação da Microsoft resultou na desativação de cerca de mil contas e na transferência de domínios maliciosos para controle da empresa, em colaboração com o FBI e Europol. O Brasil foi identificado como um dos países mais afetados, ocupando a quinta posição no ranking global de alvos. A ação destaca a evolução do cibercrime, que agora se apresenta como uma economia de serviços digitalizada, exigindo uma colaboração mais estreita entre a indústria e as autoridades para combater essas ameaças.

O grupo cibercriminoso SafePay reivindicou um ataque cibernético ocorrido em 23 de abril de 2026, que afetou os sistemas da Comissão do Condado de Harrison, na Virgínia Ocidental. O ataque resultou na interrupção do atendimento ao público no dia seguinte, quando cidadãos tentaram pagar seus impostos sobre propriedade. Embora a maioria dos sistemas tenha sido restaurada mais de uma semana depois, alguns ainda estavam fora do ar em 6 de maio. SafePay, que utiliza um esquema de extorsão dupla, exigiu um pagamento em resgate em troca da recuperação dos dados e da exclusão das informações roubadas. A Comissão do Condado não confirmou a reivindicação do grupo, e detalhes sobre a quantidade de dados comprometidos ou o valor do resgate permanecem desconhecidos. SafePay é um grupo de ransomware que começou a operar em 2024 e já reivindicou 479 ataques, com 68 confirmados. Em 2026, o grupo já reivindicou 56 ataques, sendo seis confirmados. Este incidente destaca a crescente ameaça de ataques de ransomware a entidades governamentais nos EUA, que podem comprometer dados sensíveis e interromper serviços essenciais.

O Relatório de Vulnerabilidades da Microsoft de 2026 revela que, embora o número total de vulnerabilidades tenha diminuído de 1.360 para 1.273 em 2025, as vulnerabilidades críticas dobraram, passando de 78 para 157. A concentração de falhas em Elevação de Privilégios, que representa 40% de todas as CVEs, e um aumento de 73% em falhas de Divulgação de Informações indicam que os atacantes estão priorizando métodos discretos de exploração. Em ambientes de nuvem, como Microsoft Azure e Dynamics 365, as vulnerabilidades críticas aumentaram drasticamente, o que pode comprometer operações empresariais inteiras. O relatório destaca que a gestão de patches sozinha não é suficiente; as organizações devem focar na redução de privilégios e na visibilidade de identidade. A crescente utilização de agentes de IA também exige uma postura de segurança robusta. O artigo conclui que, se as organizações não reavaliarem suas suposições sobre privilégios e identidade, o impacto de futuras violações pode ser severo, mesmo que os números de vulnerabilidades pareçam estáveis.

A rede de lojas 7-Eleven confirmou que seus sistemas foram comprometidos em um ciberataque atribuído ao grupo de extorsão ShinyHunters. O incidente ocorreu em 8 de abril de 2026, quando um terceiro não autorizado acessou sistemas que armazenam documentos de franqueados, resultando na exposição de informações pessoais de um número não divulgado de indivíduos. O grupo criminoso afirma ter roubado mais de 600.000 registros, incluindo dados corporativos e informações pessoais, após invadir o ambiente Salesforce da empresa. Após a recusa da 7-Eleven em pagar um resgate, os atacantes divulgaram um arquivo de 9,4 GB com documentos na dark web. A 7-Eleven, que opera mais de 86.000 lojas globalmente, já havia enfrentado um ataque de ransomware em 2022, que afetou suas operações na Dinamarca. O FBI aconselhou as vítimas a não ceder às demandas dos extorsionários, ressaltando que o pagamento de resgates não garante a segurança futura dos dados. Este incidente destaca a crescente ameaça de grupos de cibercrime que visam empresas de grande porte, especialmente aquelas que utilizam plataformas populares como Salesforce.

Um novo ataque da campanha Shai-Hulud resultou na publicação de mais de 600 pacotes maliciosos no Node Package Manager (npm), afetando principalmente o ecossistema @antv, que inclui bibliotecas para visualização de gráficos e fluxogramas. O ataque, que ocorreu em uma janela de apenas uma hora, coletou segredos de ambientes de desenvolvedores e CI/CD, exfiltrando-os através da rede Session P2P para dificultar a detecção. Os hackers comprometeram a conta npm de um mantenedor e injetaram um código malicioso em pacotes populares, como echarts-for-react e @antv/g2plot. A exfiltração de dados foi realizada utilizando o GitHub como um mecanismo de fallback, onde dados roubados foram publicados em repositórios sob as contas das vítimas. A nova variante do malware é capaz de gerar atestações de proveniência válidas, fazendo com que pacotes maliciosos pareçam legítimos. Especialistas recomendam que desenvolvedores que baixaram pacotes infectados removam ou revertam para versões seguras e revoguem credenciais expostas. A campanha Shai-Hulud, que começou em setembro do ano passado, continua a afetar diversos ecossistemas de software, incluindo npm, PyPI e Composer.

A Microsoft confirmou que o aplicativo de colaboração Teams está apresentando problemas em alguns sistemas macOS, com prompts de localização não descartáveis. Usuários afetados relataram que, desde 14 de maio de 2026, têm recebido repetidamente solicitações para permitir o uso de sua localização, mesmo após escolherem a opção ‘Não permitir’. A empresa atribuiu o problema a uma atualização de segurança recente do macOS, que não está armazenando as seleções de permissão de localização dos usuários. A Microsoft está trabalhando com a Apple para entender a mudança e buscar uma solução, enquanto investiga uma correção interna para o Teams. Enquanto isso, os usuários são aconselhados a ativar manualmente o acesso à localização nas configurações do macOS. O problema afeta apenas alguns usuários do Teams no Mac que habilitaram o acesso à localização nas configurações do aplicativo. A Microsoft ainda não divulgou quais regiões estão afetadas ou quantos usuários foram impactados, mas os primeiros relatos surgiram em 11 de maio. Este incidente é classificado como um aviso, indicando que o impacto é limitado.