O phishing se tornou uma ameaça crescente para as empresas, especialmente devido à sua capacidade de se disfarçar como comunicações legítimas. Um único clique em um e-mail malicioso pode resultar em exposição de identidade, acesso remoto e comprometimento de dados. A detecção precoce de phishing é crucial para mitigar esses riscos, permitindo que as equipes de segurança cibernética (SOCs) respondam rapidamente a incidentes. O uso de sandboxes interativas é uma estratégia eficaz para analisar e validar o comportamento de links suspeitos, revelando a verdadeira natureza das ameaças. Além disso, a contextualização das ameaças permite que as equipes compreendam se um ataque é isolado ou parte de uma campanha mais ampla, facilitando a priorização das respostas. A integração de inteligência de ameaças em ferramentas de segurança existentes é fundamental para detectar e bloquear atividades relacionadas, reduzindo a exposição operacional. Com a crescente sofisticação dos ataques de phishing, é essencial que as empresas adotem essas práticas para proteger suas operações e dados.

Pesquisadores de cibersegurança identificaram uma nova campanha de ataque à cadeia de suprimentos que comprometeu diversos pacotes npm associados ao ecossistema @antv, parte da onda de ataques Mini Shai-Hulud. O ataque afeta pacotes vinculados à conta de mantenedor npm atool, incluindo o popular echarts-for-react, que possui cerca de 1,1 milhão de downloads semanais. A campanha resultou na publicação de 639 versões maliciosas em 323 pacotes únicos, com um foco em roubo de credenciais de mais de 20 tipos, incluindo AWS, Google Cloud e GitHub. Os dados coletados são criptografados e enviados para um domínio controlado pelos atacantes. Além disso, a campanha utiliza uma lógica de propagação que abusa de tokens npm roubados para injetar cargas maliciosas em pacotes legítimos. O grupo responsável, TeamPCP, agora liberou o código-fonte do seu framework ofensivo, permitindo que outros atores maliciosos adotem suas técnicas. Este incidente destaca a vulnerabilidade das ferramentas de desenvolvimento confiáveis e a necessidade de vigilância constante em ambientes de CI/CD.

Um novo ataque à cadeia de suprimentos de software comprometeu o popular fluxo de trabalho do GitHub Actions, actions-cool/issues-helper, permitindo que atores maliciosos executassem código que coleta credenciais sensíveis e as exfiltra para um servidor controlado por atacantes. Segundo Varun Sharma, pesquisador da StepSecurity, todos os tags existentes no repositório foram redirecionados para um commit falso que não aparece no histórico normal do projeto. Esse commit contém código malicioso que, ao ser executado, baixa o runtime Bun JavaScript, lê a memória do processo Runner.Worker para extrair credenciais e faz uma chamada HTTPS para um domínio controlado por atacantes. Além disso, 15 tags de outra ação do GitHub, actions-cool/maintain-one-comment, também foram comprometidas com a mesma funcionalidade. O GitHub desativou o acesso ao repositório devido a uma violação dos termos de serviço, mas ainda não se sabe o que levou a essa decisão. O domínio de exfiltração observado está relacionado a uma campanha maior, Mini Shai-Hulud, que visa pacotes npm do ecossistema @antv, indicando que as atividades podem estar interligadas. A StepSecurity alerta que qualquer fluxo de trabalho que referencie a ação por versão puxará o código malicioso em sua próxima execução, a menos que esteja fixado em um SHA de commit conhecido como seguro.

O Proton VPN, que conta com uma comunidade ativa de 86.000 apoiadores no Reddit, se destaca como uma das principais opções de VPN disponíveis atualmente. Embora não seja a VPN mais popular do mundo, sua base de fãs fervorosos indica um forte suporte e satisfação entre os usuários. O serviço está oferecendo um desconto de 30% em seu plano Proton Unlimited, reduzindo o preço de $12,99 para $8,99 por mês, uma economia de $48 ao longo de um ano. Este pacote inclui não apenas a VPN, mas também serviços adicionais como e-mail privado, 500 GB de armazenamento online, um gerenciador de senhas e acesso a aplicativos de escritório criptografados. A promoção é limitada e pode não se repetir até 2026. O Proton VPN também oferece uma garantia de devolução do dinheiro em 30 dias, permitindo que novos usuários testem o serviço sem riscos. A comunidade ativa no Reddit é um diferencial, proporcionando suporte e troca de informações entre os usuários, o que pode ser um grande atrativo para quem busca uma solução de privacidade online confiável.

O uso de ferramentas de inteligência artificial (IA) no ambiente corporativo tem crescido exponencialmente, com a maioria dos funcionários utilizando de três a cinco aplicativos de IA diariamente, muitos dos quais não foram aprovados pela equipe de TI. Essa prática, conhecida como Shadow AI, representa um risco significativo, pois muitas dessas ferramentas acessam dados corporativos por meio de tokens OAuth ou sessões de navegador, sem que a equipe de segurança tenha visibilidade sobre isso. Um estudo da Adaptive Security revela que 80% dos funcionários utilizam aplicações de IA generativa não autorizadas, enquanto apenas 12% das empresas possuem uma política formal de governança de IA. Para mitigar esses riscos, o artigo sugere um programa de governança em cinco etapas: 1) identificar todas as ferramentas de IA em uso; 2) elaborar uma política que funcione em conjunto com os funcionários; 3) criar um processo ágil para solicitações de novas ferramentas; 4) implementar monitoramento contínuo; e 5) facilitar comportamentos de segurança adequados. A falta de controle sobre o uso de IA pode levar a exposições de dados sensíveis, tornando essencial que as empresas adotem uma abordagem proativa para gerenciar essas tecnologias emergentes.

Uma nova variante do infostealer SHub, chamada Reaper, foi identificada como uma ameaça significativa para usuários de macOS. Utilizando AppleScript, o malware exibe uma mensagem falsa de atualização de segurança e instala uma backdoor no sistema. Ao contrário das campanhas anteriores que dependiam de táticas de ‘ClickFix’, o Reaper utiliza o esquema de URL applescript:// para lançar o Editor de Script do macOS com um AppleScript malicioso. Essa abordagem contorna as mitig ações introduzidas pela Apple em março de 2023, que bloqueavam comandos potencialmente prejudiciais no Terminal.

Durante a Operação Ramz, a INTERPOL prendeu mais de 200 indivíduos envolvidos em atividades de cibercrime no Oriente Médio e Norte da África. A operação, que abrangeu 13 países, resultou na identificação de 382 suspeitos e na apreensão de 53 servidores utilizados para phishing, malware e fraudes online, afetando pelo menos 3.867 vítimas confirmadas. A INTERPOL destacou que a operação visou neutralizar ameaças de phishing e malware, além de combater fraudes cibernéticas que causam danos significativos à região. Entre as ações realizadas, destaca-se a desarticulação de uma operação de golpe de investimento na Jordânia e o fechamento de uma plataforma de phishing na Argélia. A INTERPOL colaborou com empresas de cibersegurança, como Kaspersky e Group-IB, para rastrear a infraestrutura maliciosa. Esta é a terceira grande operação contra cibercrime realizada pela INTERPOL em 2023, refletindo um aumento na atividade criminosa online e a necessidade de ações coordenadas entre países e setores privados.

A INTERPOL coordenou uma operação inédita de combate ao cibercrime na região do Oriente Médio e Norte da África (MENA), resultando em 201 prisões e a identificação de 382 suspeitos entre outubro de 2025 e fevereiro de 2026. A operação, chamada Ramz, teve como foco a neutralização de ameaças de phishing e malware, além de fraudes cibernéticas que causam prejuízos significativos à região. Durante a ação, 3.867 vítimas foram identificadas e 53 servidores foram apreendidos. As autoridades da Argélia desmantelaram uma infraestrutura de phishing como serviço (PhaaS), enquanto no Marrocos foram confiscados dispositivos com dados bancários. Em Omã, um servidor legítimo foi encontrado com vulnerabilidades críticas e infectado por malware. A operação também revelou que dispositivos comprometidos estavam sendo usados no Catar sem o conhecimento dos proprietários. Além disso, a polícia da Jordânia prendeu 15 indivíduos envolvidos em fraudes financeiras, que eram, na verdade, vítimas de tráfico humano. A operação envolveu 13 países e destacou a importância da colaboração internacional no combate ao cibercrime.

Com o aumento dos vazamentos de dados no Brasil, onde mais de 200 milhões de dados foram expostos apenas no último trimestre de 2025, é crucial que as empresas estejam preparadas para lidar com incidentes de segurança. O planejamento prévio é fundamental, pois a contenção e reparação de um vazamento exigem decisões rápidas. Um plano de resposta a incidentes deve ser formalmente implementado e amplamente disseminado na organização, estabelecendo fluxos claros para identificação, investigação e comunicação de incidentes. A figura do DPO (Encarregado pelo Tratamento de Dados Pessoais) é central nesse processo, coordenando a comunicação entre as áreas e orientando sobre as medidas a serem adotadas. Além disso, a criação de uma cultura organizacional voltada para a proteção de dados é essencial. As empresas devem optar por uma abordagem proativa, minimizando os impactos de um incidente, que pode afetar tanto a reputação quanto a conformidade com a LGPD. A rapidez na resposta e a clareza nas responsabilidades são determinantes para evitar consequências catastróficas.

Linus Torvalds, criador do Linux, expressou preocupações sobre o impacto negativo que os relatórios de bugs gerados por inteligência artificial (IA) estão tendo na lista de segurança do Linux. Ele afirmou que a inundação de relatórios duplicados e irrelevantes tornou a lista ‘quase totalmente inadministrável’. Torvalds destacou que muitos dos bugs detectados por ferramentas de IA não são segredos e que a repetição de relatórios apenas aumenta a confusão. Ele incentivou os pesquisadores a contribuírem de forma mais significativa, sugerindo que, ao invés de apenas enviar relatórios automatizados, eles deveriam ler a documentação e criar patches que realmente agreguem valor. Essa situação não é única do Linux; projetos como curl e a equipe de recompensas de bugs da HackerOne também enfrentaram problemas semelhantes, levando a restrições em seus programas de recompensas. A crescente dependência de ferramentas de IA para identificação de bugs levanta questões sobre a eficácia e a qualidade das contribuições na comunidade de código aberto.

O artigo da TechRadar apresenta cinco dicas valiosas para otimizar o uso de ferramentas de IA, como o ChatGPT. A primeira dica é evitar suposições, sugerindo que os usuários adicionem a frase ‘Faça nenhuma suposição. Pergunte-me por esclarecimentos antes de começar’ ao final de seus prompts. Isso ajuda a garantir respostas mais precisas. A segunda dica envolve pedir ao ChatGPT para criar prompts que o usuário pode utilizar, facilitando a obtenção de informações específicas. A terceira dica é evitar o uso de travessões em respostas, o que pode ser feito com a instrução ‘Lembre-se de nunca usar travessões’. A quarta dica sugere que o usuário peça feedback honesto, começando o prompt com ‘Aja como um mentor brutalmente honesto’, o que pode resultar em críticas construtivas. Por fim, a quinta dica é simplificar conceitos complexos com a frase ‘Explique isso para mim como se eu tivesse cinco anos’, que ajuda a desmistificar temas complicados. Essas abordagens simples podem melhorar significativamente a qualidade das interações com chatbots de IA, tornando-as mais produtivas e informativas.

O grupo cibercriminoso conhecido como DragonForce reivindicou um ataque cibernético à AdvancedHealth, uma empresa que opera centenas de clínicas médicas no Tennessee. Em abril, a Columbia Surgical Partners, uma das clínicas, notificou pacientes sobre uma violação de dados em sua empresa-mãe, a Advanced Diagnostic Imaging. Em 14 de maio, DragonForce anunciou em seu site de vazamento que havia roubado 390 GB de dados da AdvancedHealth, incluindo 2,3 milhões de linhas de dados de pacientes, acordos com parceiros, arquivos de gestão, folha de pagamento e recursos humanos. O grupo ameaçou divulgar 1.000 linhas de dados por dia até que sua demanda de resgate fosse atendida. A AdvancedHealth não comentou sobre a violação e não confirmou a reivindicação do DragonForce. O ataque de ransomware afetou o acesso da Columbia Surgical Partners a registros médicos eletrônicos. DragonForce, que opera um modelo de ransomware como serviço, já reivindicou 167 ataques em 2026, com 14 confirmados. O impacto de ataques de ransomware no setor de saúde é significativo, podendo comprometer a segurança e a privacidade dos pacientes, além de causar interrupções nos serviços médicos.

A Grafana Labs, responsável pela popular plataforma de análise e visualização de dados, confirmou que hackers acessaram seu código-fonte após uma violação em seu ambiente do GitHub, utilizando um token de acesso roubado. O grupo de extorsão conhecido como CoinbaseCartel reivindicou a responsabilidade pelo ataque, embora até o momento não tenha vazado dados. A empresa afirmou que não houve exposição de dados de clientes ou informações pessoais, e que os sistemas dos clientes permaneceram inalterados. Após a investigação, a Grafana invalidou as credenciais comprometidas e implementou medidas de segurança adicionais. O grupo de hackers tentou extorquir a empresa, exigindo pagamento para não publicar o código-fonte roubado, mas a Grafana optou por não ceder à demanda, seguindo as orientações do FBI, que desaconselha o pagamento de resgates. O CoinbaseCartel, que começou suas atividades em setembro do ano passado, já anunciou mais de 100 vítimas em seu portal de vazamento de dados, utilizando técnicas como engenharia social e phishing para obter acesso a redes-alvo. A Grafana planeja divulgar mais detalhes sobre o incidente após a conclusão de sua investigação.

Recentemente, o malware Shai-Hulud, que vazou na semana passada, foi utilizado em novos ataques ao índice do Node Package Manager (npm). Um ator de ameaça, utilizando a conta deadcode09284814, publicou quatro pacotes maliciosos, sendo que um deles continha uma versão não ofuscada do Shai-Hulud, visando credenciais de desenvolvedores, segredos, dados de carteiras de criptomoedas e informações de contas. Os pacotes infectados exfiltravam informações, como credenciais e arquivos de configuração, e um deles transformava o sistema em um bot para atividades de negação de serviço distribuído (DDoS). Pesquisadores da OXsecurity identificaram esses uploads maliciosos e notaram que o ator utilizou nomes com erros de digitação (typosquatting) para enganar usuários do Axios. O pacote chalk-tempalte, que contém um clone do malware, é o primeiro caso documentado de uma cópia do Shai-Hulud implantada no npm. O código malicioso ainda mantém a funcionalidade de publicação no GitHub, o que permite o upload de credenciais roubadas em repositórios públicos. Os pesquisadores recomendam que desenvolvedores que baixaram pacotes infectados os removam imediatamente e rotacionem suas credenciais e chaves de API.

O cenário de cibersegurança apresenta uma série de incidentes preocupantes, incluindo a exploração ativa de uma vulnerabilidade no Microsoft Exchange Server, identificada como CVE-2026-42897, com um CVSS de 8.1. Essa falha, que permite spoofing devido a um erro de cross-site scripting, está sendo explorada, embora detalhes sobre os atacantes e a extensão dos ataques ainda sejam desconhecidos. Além disso, um grupo de ameaças sofisticadas, UAT-8616, está atacando o Cisco Catalyst SD-WAN Controller, utilizando uma falha crítica de bypass de autenticação (CVE-2026-20182) para obter acesso não autorizado e escalar privilégios. Outro ataque significativo foi atribuído ao TeamPCP, que comprometeu pacotes npm, visando a cadeia de suprimentos de software para implantar malware e roubar credenciais. Esses incidentes destacam a importância de uma vigilância constante e de ações rápidas para mitigar riscos. Por fim, a Apple e o Google estão implementando mensagens RCS com criptografia de ponta a ponta, enquanto a Instructure chegou a um acordo com os atacantes do grupo ShinyHunters após um ataque que comprometeu dados de instituições educacionais.

A Microsoft confirmou que a atualização de segurança do Windows 11 de maio de 2026 (KB5089549) está apresentando falhas de instalação em alguns sistemas, resultando em erros 0x800f0922. Esse problema é causado pela falta de espaço livre na Partição do Sistema EFI (ESP), especialmente em dispositivos com 10 MB ou menos disponíveis. A instalação pode avançar nas fases iniciais, mas falha durante a reinicialização, gerando a mensagem ‘Algo não saiu como planejado. Desfazendo alterações.’ Os usuários afetados podem encontrar entradas de log que indicam a insuficiência de espaço na ESP. A Microsoft está trabalhando na resolução do problema e recomenda que os clientes afetados utilizem o recurso Known Issue Rollback para reverter a atualização problemática. Em ambientes corporativos, os administradores de TI podem mitigar a situação instalando e configurando uma Política de Grupo específica. Além disso, a atualização KB5089549 foi lançada juntamente com outras correções e melhorias, incluindo um conserto para um problema que fazia alguns sistemas do Windows 11 inicializarem na recuperação do BitLocker após a instalação das atualizações de segurança de abril de 2026.

A Microsoft anunciou a volta da barra de tarefas redimensionável e do menu Iniciar no Windows 11, disponível na versão de pré-visualização para Insiders. A partir da Build 26300.8493, os usuários podem configurar a barra de tarefas com ícones menores e movê-la para qualquer lado da tela. Diego Baca, diretor de design da Microsoft, destacou que essa era uma das funcionalidades mais solicitadas pelos usuários. Para ajustar a posição da barra, é necessário acessar Configurações > Personalização > Barra de tarefas > Comportamentos da barra de tarefas. Além disso, a Microsoft está permitindo que os usuários personalizem o menu Iniciar, desativando conteúdos recomendados e ajustando seu tamanho. Embora os usuários possam ocultar seu nome e foto de perfil, a lista de aplicativos instalados recentemente será mantida para facilitar a descoberta de novos softwares. A empresa também está testando um novo diálogo de execução do Windows com suporte a modo escuro, que promete ser mais rápido que a versão anterior. Essas mudanças visam melhorar a performance do Windows 11 e a experiência do usuário, com menos notificações e configurações simplificadas.

Uma nova análise do malware fast16, baseado em Lua, confirmou que se trata de uma ferramenta de sabotagem cibernética projetada para interferir em simulações de testes de armas nucleares. De acordo com as equipes da Symantec e Carbon Black, o malware foi desenvolvido para corromper simulações de compressão de urânio, essenciais para o design de armas nucleares. O fast16 atua especificamente em simulações de explosivos de alta potência nos softwares LS-DYNA e AUTODYN, ativando-se apenas quando a densidade do material simulado ultrapassa 30 g/cm³, um valor que só pode ser alcançado sob compressão de choque de um dispositivo de implosão. A pesquisa revela que o fast16 pode ter sido desenvolvido em 2005, dois anos antes do Stuxnet, e possui um conjunto de 101 regras para manipular cálculos matemáticos em programas de engenharia. O malware é projetado para não infectar máquinas com certos produtos de segurança e se espalha automaticamente por outros dispositivos na mesma rede. Essa descoberta indica que a sabotagem industrial por meio de malware é uma prática que pode ter começado há duas décadas, levantando preocupações sobre a segurança cibernética em setores críticos, como o nuclear.

Pesquisadores de cibersegurança identificaram quatro novos pacotes npm que contêm malware projetado para roubar informações. Um dos pacotes, chamado ‘chalk-tempalte’, é uma cópia do worm Shai-Hulud, que foi vazado recentemente. Os pacotes foram publicados por um usuário identificado como ‘deadcode09284814’ e, embora todos contenham cargas maliciosas, suas funcionalidades variam. O pacote ‘axois-utils’ é destinado a criar um botnet de negação de serviço distribuído (DDoS) chamado Phantom Bot, capaz de inundar sites com tráfego. Os outros três pacotes, incluindo ‘chalk-tempalte’, são projetados para extrair credenciais como chaves SSH, variáveis de ambiente e dados de carteiras de criptomoedas. Os pesquisadores alertam que esses ataques estão se tornando mais comuns, especialmente com a disponibilização do código do Shai-Hulud como open source. Os usuários que baixaram esses pacotes devem desinstalá-los imediatamente e tomar medidas para proteger suas credenciais e sistemas. Até o momento, os pacotes ainda estão disponíveis para download no npm.

O pesquisador de segurança Chaotic Eclipse divulgou uma prova de conceito (PoC) para uma vulnerabilidade zero-day no Windows, chamada MiniPlasma, que permite a elevação de privilégios para SYSTEM em sistemas Windows totalmente atualizados. A falha, que afeta o driver ‘cldflt.sys’ (Windows Cloud Files Mini Filter Driver), foi inicialmente reportada ao Microsoft por James Forshaw, do Google Project Zero, em setembro de 2020. Embora a Microsoft tenha supostamente corrigido a vulnerabilidade em dezembro de 2020, Chaotic Eclipse descobriu que o problema persiste sem correção. A PoC original funcionou sem alterações, e o pesquisador conseguiu criar uma versão armada que abre um shell SYSTEM. A vulnerabilidade parece afetar todas as versões do Windows, com testes indicando que funciona de forma confiável em sistemas Windows 11 com as atualizações mais recentes. A Microsoft já havia abordado outra falha de elevação de privilégios no mesmo componente em dezembro de 2025, mas a MiniPlasma continua sem solução. A situação é preocupante, pois a exploração dessa vulnerabilidade pode permitir que atacantes obtenham controle total sobre sistemas vulneráveis.

Recentemente, várias empresas de tecnologia, incluindo Ivanti, Fortinet, SAP e VMware, divulgaram correções para vulnerabilidades críticas que podem ser exploradas por atacantes para contornar autenticações e executar códigos maliciosos. A falha mais grave foi identificada na Ivanti Xtraction (CVE-2026-8043), com uma pontuação CVSS de 9.6, permitindo que um atacante remoto autenticado acesse arquivos sensíveis e escreva HTML arbitrário em diretórios da web. Fortinet também relatou duas vulnerabilidades críticas (CVE-2026-44277 e CVE-2026-26083) que podem permitir a execução de código não autorizado. Além disso, a SAP corrigiu falhas críticas em seu software S/4HANA e na configuração do SAP Commerce Cloud, ambas com pontuação CVSS de 9.6, que podem resultar em injeções SQL e execução de código no servidor. A VMware lançou um patch para uma vulnerabilidade que pode permitir a escalada de privilégios locais. O n8n, uma plataforma de automação, também corrigiu cinco vulnerabilidades críticas que permitem a execução remota de código. As atualizações são essenciais para proteger sistemas e dados sensíveis contra possíveis ataques.

Recentemente, três campanhas de ataque à cadeia de suprimentos atingiram plataformas populares como npm, PyPI e Docker Hub, focando no roubo de credenciais de ambientes de desenvolvedores e pipelines CI/CD. Os atacantes estão utilizando pacotes comprometidos, ferramentas de desenvolvimento vulneráveis e automação para coletar segredos como chaves de API, credenciais de nuvem e tokens. O artigo destaca que a segurança deve se concentrar não apenas em repositórios e ambientes de produção, mas também nas estações de trabalho dos desenvolvedores, que contêm informações sensíveis que podem ser exploradas. A velocidade dos ataques modernos, potencializada por ferramentas de automação e inteligência artificial, exige que as equipes de segurança reavaliem suas estratégias. Perguntas cruciais surgem, como a capacidade de identificar e limitar o uso de credenciais a partir das estações de trabalho dos desenvolvedores, bem como a detecção de materiais sensíveis antes que sejam expostos. O artigo conclui que a proteção das estações de trabalho deve ser vista como uma fronteira crítica na cadeia de suprimentos de software.

O concurso de hacking Pwn2Own Berlin 2026, realizado entre 14 e 16 de maio na OffensiveCon, resultou em prêmios totais de $1,298,250, após a exploração de 47 falhas zero-day. Os pesquisadores de segurança focaram em tecnologias empresariais e inteligência artificial, atacando produtos totalmente atualizados, incluindo navegadores, aplicações empresariais e ambientes de virtualização. No primeiro dia, foram exploradas 24 falhas, gerando $523,000 em recompensas. No segundo, 15 falhas renderam $385,750, e no terceiro, 8 falhas resultaram em $389,500. A equipe DEVCORE se destacou, acumulando 50.5 pontos e $505,000 em prêmios, após comprometer produtos da Microsoft como SharePoint e Exchange. A maior recompensa, de $200,000, foi concedida a Cheng-Da Tsai por uma cadeia de bugs que permitiu execução remota de código no Microsoft Exchange. Após o evento, os fornecedores têm 90 dias para lançar patches de segurança antes que as falhas sejam divulgadas publicamente pela TrendMicro’s Zero Day Initiative.

Uma vulnerabilidade recentemente corrigida no módulo rxgk do kernel Linux, conhecida como DirtyDecrypt ou DirtyCBC, permite que atacantes obtenham acesso root em alguns sistemas Linux. Essa falha de segurança foi identificada e relatada pela equipe de segurança V12, que descobriu que se tratava de uma duplicata de uma vulnerabilidade já corrigida, a CVE-2026-31635, em 25 de abril. Para explorar essa vulnerabilidade, é necessário executar um kernel Linux com a opção de configuração CONFIG_RXGK, que habilita o suporte de segurança RxGK para o cliente do Andrew File System (AFS). Isso limita a superfície de ataque a distribuições Linux que seguem de perto as versões mais recentes do kernel, como Fedora, Arch Linux e openSUSE Tumbleweed. A equipe V12 testou a prova de conceito apenas no Fedora. Os usuários de Linux em distribuições potencialmente afetadas são aconselhados a instalar as atualizações mais recentes do kernel o mais rápido possível. Para aqueles que não podem aplicar o patch imediatamente, uma mitigação temporária é sugerida, embora isso possa afetar VPNs IPsec e sistemas de arquivos distribuídos AFS. A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) alertou sobre a exploração ativa de outras vulnerabilidades semelhantes, como a Copy Fail, que também requer atenção imediata.

Um novo relatório revela que 48 nações insulares dependem de apenas 126 cabos submarinos para sua conectividade com a internet, tornando-as vulneráveis a interrupções. A maioria dos danos a esses cabos ocorre devido a ancoragens acidentais, representando entre 70% e 80% dos casos, enquanto o restante é atribuído a falhas técnicas ou ações maliciosas. Nações como Tuvalu, Nauru e Kiribati estão particularmente em risco, pois dependem de um único cabo submarino, o que significa que qualquer interrupção resulta em um apagão total da internet. O relatório também destaca que tensões geopolíticas estão transformando o fundo do mar em um novo campo de batalha, com países como Irã e Reino Unido monitorando a localização desses cabos. A falta de redundância e a dificuldade de monitoramento tornam essas nações ainda mais expostas a possíveis ataques ou danos acidentais, o que pode levar a uma desconexão total e prolongada. A situação é alarmante, pois a conectividade é crucial para a economia e a comunicação dessas nações.

Um pesquisador de cibersegurança divulgou um exploit de prova de conceito para uma vulnerabilidade zero-day no Windows, chamada MiniPlasma, que permite a atacantes obter privilégios de SYSTEM em sistemas Windows totalmente atualizados. O exploit foi publicado por Chaotic Eclipse, que alega que a Microsoft não corrigiu adequadamente uma vulnerabilidade reportada em 2020, identificada como CVE-2020-17103, que afeta o driver ‘cldflt.sys’. O pesquisador afirma que a falha ainda está presente e pode ser explorada, permitindo a criação de chaves de registro sem as devidas verificações de acesso. Testes realizados confirmaram que o exploit funciona em versões atualizadas do Windows 11, mas não na versão Insider Preview. Chaotic Eclipse também criticou o processo de recompensa por bugs da Microsoft, alegando que sua experiência com a empresa foi negativa. O MiniPlasma é o mais recente de uma série de divulgações de zero-days que incluem outras vulnerabilidades, como BlueHammer e RedSun, que já foram exploradas em ataques. A Microsoft foi contatada para comentar sobre a nova vulnerabilidade, mas ainda não respondeu.

Um novo estudo da F-Secure revela que mais da metade dos consumidores americanos, cerca de 56%, enfrentará tentativas de fraudes online mensalmente em 2025. A pesquisa, que abrangeu 10.000 consumidores, mostra que 52% dos afetados perderão dinheiro em ataques, com o número de vítimas financeiras mais que dobrando em relação ao ano anterior. Embora a exposição a fraudes não esteja aumentando tão rapidamente, a eficácia dos golpistas em monetizar ataques está crescendo. Os criminosos estão se concentrando em fraudes de maior valor, como golpes de faturas falsas e fraudes de investimento. A inteligência artificial (IA) tem sido um fator significativo, permitindo que os golpistas aprimorem suas táticas de ataque, incluindo a criação de e-mails personalizados e a utilização de vozes sintéticas. Além disso, 69% dos consumidores acreditam que podem identificar fraudes, mas 43% deles acabaram se tornando vítimas. O estudo também destaca a crescente importância das redes sociais como vetor de ataque, com um aumento de oito vezes nas perdas financeiras entre 2020 e 2025. A pesquisa sugere que as empresas de telecomunicações devem assumir um papel ativo na proteção dos consumidores, já que 93% dos entrevistados acreditam que essas empresas devem oferecer medidas de segurança.

O kit de phishing Tycoon2FA, que já havia sido interrompido por uma operação internacional de aplicação da lei em março, foi rapidamente reestruturado e voltou a operar em níveis normais. Recentemente, foi identificado em uma campanha que utiliza fluxos de autorização de dispositivo OAuth 2.0 para comprometer contas do Microsoft 365. O ataque de phishing com código de dispositivo envolve o envio de um pedido de autorização de dispositivo ao provedor de serviços, enganando a vítima para que insira um código gerado em uma página de login legítima da Microsoft. Isso permite que o atacante registre um dispositivo malicioso com a conta da vítima, obtendo acesso irrestrito a dados e serviços, como e-mails e armazenamento em nuvem. A Push Security relatou um aumento de 37 vezes nesse tipo de ataque este ano, com suporte de pelo menos dez plataformas de phishing como serviço (PhaaS). O Tycoon2FA também implementou camadas adicionais de ofuscação para dificultar a detecção. Especialistas recomendam desabilitar o fluxo de código de dispositivo OAuth quando não necessário e monitorar logs de autenticação para mitigar esses riscos.

Uma nova vulnerabilidade de segurança, identificada como CVE-2026-42945, afeta as versões do NGINX Plus e NGINX Open, com um alto índice de severidade de 9.2 no CVSS. Essa falha, que se trata de um estouro de buffer na memória, permite que atacantes não autenticados possam causar a queda de processos de trabalho ou até executar código remotamente, especialmente em sistemas onde a proteção Address Space Layout Randomization (ASLR) está desativada. A vulnerabilidade foi introduzida em 2008 e, embora a exploração para execução de código remoto (RCE) não seja trivial em configurações padrão, a possibilidade de causar uma negação de serviço (DoS) é considerada uma preocupação urgente. Pesquisadores de segurança já detectaram tentativas de exploração ativas, e recomenda-se que os usuários apliquem as correções mais recentes da F5 para proteger suas redes. Além disso, foram identificadas falhas críticas em openDCIM, que também estão sendo exploradas, destacando a necessidade de atenção redobrada em relação à segurança de aplicações e infraestrutura.

Uma pesquisa da NordVPN revelou que detalhes de cartões de pagamento roubados estão sendo vendidos em mercados da dark web por preços alarmantemente baixos, em torno de £9 (aproximadamente R$ 60) no Reino Unido. Pacotes completos de identidade digital, que incluem cópias de passaportes e carteiras de motorista, podem ser adquiridos por cerca de £30 (R$ 200). A pesquisa destaca que cidadãos britânicos são alvos valiosos, com seus dados sendo vendidos a preços superiores à média europeia. O CTO da NordVPN, Marijus Briedis, enfatiza que a facilidade com que criminosos podem adquirir informações pessoais, por valores equivalentes a um café, torna a situação ainda mais preocupante. A combinação de pequenos dados vazados pode levar a um roubo de identidade mais silencioso e gradual, dificultando a detecção de ataques. Para ajudar os consumidores a entenderem o valor de seus dados, a NordVPN lançou uma calculadora interativa da dark web. A empresa recomenda o uso de senhas únicas e autenticação em múltiplos fatores como medidas de proteção. A conscientização sobre o valor dos dados pessoais é crucial para a proteção contra fraudes e roubo de identidade.

A Grafana, empresa de tecnologia, revelou que um grupo não autorizado obteve um token que permitiu acesso ao seu ambiente no GitHub, possibilitando o download de sua base de código. A investigação da empresa confirmou que não houve acesso a dados de clientes ou informações pessoais, e que não foram identificados impactos nos sistemas dos clientes. Após a descoberta do incidente, a Grafana iniciou uma análise forense e invalidou as credenciais comprometidas, além de implementar medidas de segurança adicionais. O atacante tentou extorquir a empresa, exigindo pagamento para evitar a divulgação da base de dados roubada, mas a Grafana optou por não ceder à chantagem, seguindo a recomendação do FBI, que desencoraja negociações com criminosos. O ataque foi atribuído ao grupo de cibercrime CoinbaseCartel, que se especializa em extorsão de dados e já possui 170 vítimas em diversos setores. A Grafana não divulgou detalhes sobre a base de código acessada, mas oferece soluções como o Grafana Cloud, uma plataforma de observabilidade gerenciada na nuvem. O incidente destaca a crescente ameaça de grupos de extorsão de dados e a importância de medidas de segurança robustas para proteger informações sensíveis.

O grupo de hackers russo Secret Blizzard aprimorou seu malware Kazuar, transformando-o em uma botnet modular de peer-to-peer (P2P) com foco em persistência a longo prazo, furtividade e coleta de dados. Associado ao serviço de inteligência russo (FSB), o Secret Blizzard tem como alvo organizações governamentais, diplomáticas e sistemas críticos na Europa, Ásia e Ucrânia. Desde 2017, o Kazuar tem sido utilizado em ataques, com uma variante recente operando com três módulos distintos: kernel, bridge e worker. O módulo Kernel coordena as tarefas e controla a comunicação entre os sistemas infectados, enquanto o módulo Bridge atua como um proxy de comunicação externo. O Worker realiza operações de espionagem, como captura de telas e coleta de dados do sistema. A versatilidade do Kazuar é destacada, com 150 opções de configuração que permitem aos operadores ajustar a coleta de dados e contornar medidas de segurança. A Microsoft recomenda que as empresas priorizem a detecção comportamental em vez de assinaturas estáticas, dada a natureza evasiva do malware.

Uma vulnerabilidade crítica no plugin Funnel Builder para WordPress está sendo ativamente explorada para injetar código JavaScript malicioso nas páginas de checkout do WooCommerce, com o objetivo de roubar dados de pagamento. A falha afeta todas as versões do plugin anteriores à 3.15.0.3 e é utilizada em mais de 40.000 lojas WooCommerce. A vulnerabilidade permite que atacantes não autenticados injetem JavaScript arbitrário em cada página de checkout, disfarçando o código malicioso como scripts de análise do Google Tag Manager. Isso resulta na instalação de um skimmer de pagamento que captura números de cartões de crédito, CVVs e endereços de cobrança dos usuários durante a finalização da compra. A empresa responsável pelo plugin, FunnelKit, já lançou um patch para corrigir a falha. Os proprietários de sites são aconselhados a atualizar o plugin e revisar as configurações de scripts externos para remover qualquer código suspeito. A situação é alarmante, pois a injeção de código malicioso em plataformas amplamente utilizadas pode ter um impacto significativo na segurança das transações online.

O artigo da TechRadar destaca o Norton VPN como uma excelente opção para iniciantes em cibersegurança, especialmente para usuários que buscam proteger a privacidade online de familiares, como mães. Com uma avaliação de 4.7/5 no Trustpilot, o Norton VPN é elogiado por sua facilidade de uso, permitindo que usuários se conectem rapidamente com um simples clique no botão ‘Conectar’. Além disso, a TechRadar está oferecendo um cartão-presente de $30 da Amazon para quem assinar um dos planos de dois anos, reduzindo o custo efetivo de $59.99 para $29.99. O artigo sugere que, ao instalar o VPN para um familiar, é recomendável ativar a função de Conexão Automática, garantindo que a proteção esteja sempre ativa ao ligar o dispositivo. No entanto, é aconselhável ter cautela com a ativação do ‘kill switch’, que pode causar confusões ao bloquear o acesso à internet. O Norton VPN também oferece uma garantia de devolução do dinheiro em 60 dias, permitindo que os usuários testem o serviço sem riscos financeiros.

Pesquisadores de segurança descobriram uma falha crítica nos cortadores de grama robóticos Yarbo, que estão expostos online com senhas idênticas de administrador. Essa vulnerabilidade permite que hackers acessem remotamente os dispositivos, controlando suas lâminas e coletando informações sensíveis, como endereços de e-mail e senhas de Wi-Fi. O pesquisador Andreas Makris demonstrou a gravidade do problema ao acessar um cortador de 90 kg em Nova York, mostrando que um invasor pode espionar famílias e potencialmente ativar as lâminas do robô. Os cortadores, que operam em mais de 30 países, utilizam sistemas Linux e estão conectados à internet, funcionando como computadores expostos. Apesar das atualizações de firmware, a falha persiste, pois os dispositivos são redefinidos para as mesmas senhas fracas. A Yarbo, com sede em Nova York e origem na China, reconheceu as falhas e implementou algumas medidas de segurança, mas críticos apontam que a empresa ainda mantém um acesso remoto interno, o que levanta preocupações sobre a segurança de dispositivos inteligentes em geral.

Durante o segundo dia da competição Pwn2Own Berlin 2026, realizada entre 14 e 16 de maio, os participantes arrecadaram $385,750 ao explorar 15 vulnerabilidades zero-day em produtos como Windows 11, Microsoft Exchange e Red Hat Enterprise Linux. O evento, que ocorre na conferência OffensiveCon, foca em tecnologias empresariais e inteligência artificial. Os pesquisadores de segurança podem ganhar prêmios que ultrapassam $1,000,000 ao comprometer produtos totalmente atualizados em diversas categorias, incluindo aplicações empresariais e ambientes de nuvem.

Uma vulnerabilidade crítica no plugin Funnel Builder para WordPress está sendo explorada ativamente para injetar trechos de JavaScript malicioso nas páginas de checkout do WooCommerce. Essa falha, que não possui um identificador oficial, pode ser utilizada sem autenticação e afeta todas as versões do plugin anteriores à 3.15.0.3. O Funnel Builder, desenvolvido pela FunnelKit, é amplamente utilizado em mais de 40.000 sites para personalizar páginas de checkout. A empresa de segurança cibernética Sansec detectou que a carga maliciosa se disfarça como um script do Google Tag Manager/Google Analytics, estabelecendo uma conexão WebSocket com um servidor externo. Um atacante pode explorar essa vulnerabilidade para modificar as configurações globais do plugin, permitindo a injeção de JavaScript arbitrário nas configurações de “Scripts Externos”, resultando na execução de código malicioso em todas as páginas de checkout. Essa técnica permite que os criminosos roubem informações sensíveis, como números de cartões de crédito e endereços de cobrança. A FunnelKit lançou uma atualização para corrigir a vulnerabilidade, recomendando que os administradores de sites atualizem imediatamente para a versão mais recente e verifiquem possíveis scripts maliciosos nas configurações do plugin.

O grupo de hackers russo Turla, vinculado ao serviço de segurança FSB, atualizou seu backdoor Kazuar, transformando-o em uma botnet modular e peer-to-peer (P2P) projetada para acesso furtivo e persistente a sistemas comprometidos. Essa evolução, conforme relatado pela Microsoft, visa garantir acesso de longo prazo para coleta de inteligência, especialmente em setores governamentais e de defesa na Europa e na Ásia Central.

O Kazuar agora possui uma arquitetura modular composta por três tipos de módulos: o Kernel, que coordena as atividades da botnet; o Bridge, que atua como um proxy entre o Kernel e o servidor de comando e controle (C2); e o Worker, responsável por coletar dados e executar tarefas. Essa estrutura modular permite uma configuração flexível e reduz a visibilidade das operações, aumentando a eficácia do malware.

A OpenAI confirmou que dois de seus funcionários foram alvo de um ataque de cadeia de suprimentos, onde a biblioteca open source TanStack foi utilizada como vetor. Em um curto espaço de tempo, hackers distribuíram 84 versões maliciosas do software, resultando na infecção dos dispositivos dos funcionários antes que o problema fosse identificado. O malware tinha como objetivo roubar credenciais e se propagar para outros sistemas. Com as credenciais comprometidas, os invasores conseguiram acessar repositórios internos de código-fonte, embora a OpenAI tenha afirmado que apenas ‘material de credenciais limitado’ foi extraído e não houve acesso a dados de usuários ou alteração de software. Como medida de precaução, a empresa rotacionou os certificados digitais usados para assinar seus produtos e isolou os sistemas afetados. Este incidente destaca a crescente preocupação com ataques à cadeia de suprimentos, que têm se tornado uma tática comum entre hackers, permitindo comprometer múltiplos alvos simultaneamente.

A Fluke Corporation anunciou que notificou 18.517 pessoas sobre um vazamento de dados ocorrido entre agosto e outubro de 2025, que comprometeu números de Seguro Social, datas de nascimento e informações sobre deficiência. O incidente foi causado por uma vulnerabilidade em um aplicativo de terceiros utilizado pela empresa e foi explorado pelo grupo de ransomware Clop, conhecido por atacar software empresarial. O ataque durou dois meses, de 10 de agosto a 7 de outubro de 2025, e foi descoberto pela Fluke em 29 de setembro. A empresa não confirmou se pagou um resgate, mas está oferecendo 24 meses de monitoramento de crédito e seguro contra roubo de identidade aos afetados. O grupo Clop é responsável por uma série de ataques de ransomware, tendo reivindicado 458 ataques em 2025, afetando principalmente organizações que utilizam software vulnerável. O impacto desses ataques pode incluir interrupções significativas nas operações de negócios, além de riscos de fraude para os indivíduos cujos dados foram comprometidos.

A Microsoft anunciou uma nova funcionalidade chamada Cloud-Initiated Driver Recovery, que permitirá a reversão remota de drivers problemáticos do Windows distribuídos via Windows Update. Essa inovação elimina a necessidade de intervenção manual por parte de parceiros de hardware ou usuários finais para corrigir problemas de drivers, que podem afetar a performance dos dispositivos. O processo de recuperação será gerenciado exclusivamente pela Microsoft e será acionado apenas para drivers que foram rejeitados devido a problemas de qualidade durante a avaliação inicial. Atualmente, quando um driver apresenta falhas, a correção depende da submissão de um novo driver pelo parceiro de hardware ou da desinstalação manual pelo usuário, o que pode deixar os dispositivos vulneráveis a problemas por longos períodos. Com a nova funcionalidade, a Microsoft poderá reverter diretamente para uma versão anterior estável do driver, sem a necessidade de novas ferramentas ou ações dos parceiros. A implementação dessa funcionalidade está prevista para começar em setembro de 2026, após testes que ocorrerão entre maio e agosto do mesmo ano. Além disso, a Microsoft está investindo em uma iniciativa de qualidade de drivers para melhorar a confiabilidade e segurança no ecossistema Windows, em colaboração com diversos parceiros de hardware.

Nos últimos meses, o malware REMUS, um novo infostealer, tem chamado a atenção de pesquisadores de segurança e analistas de malware. Com capacidades avançadas de roubo de credenciais e um foco crescente na comercialização, o REMUS se destaca por sua evolução rápida e agressiva. Análises de postagens da operação underground revelam que, desde seu lançamento comercial em fevereiro de 2026, o REMUS tem se posicionado como uma plataforma de malware como serviço (MaaS), com atualizações frequentes e um forte foco na usabilidade. O malware não apenas coleta senhas, mas também cookies e tokens de sessão, permitindo o acesso a contas sem a necessidade de autenticação multifatorial (MFA). Essa mudança reflete uma tendência crescente no mercado underground, onde sessões autenticadas se tornam um ativo valioso. Além disso, o REMUS tem como alvo gerenciadores de senhas, como 1Password e LastPass, aumentando ainda mais seu potencial de dano. A operação sugere que o REMUS não é apenas uma ferramenta de roubo, mas uma plataforma em constante evolução, semelhante a um negócio de software legítimo, o que representa um risco significativo para empresas e usuários.

A Microsoft anunciou uma atualização para o navegador Edge, visando melhorar a segurança ao evitar que senhas salvas sejam carregadas em texto claro na memória do processo durante a inicialização. Essa mudança ocorre após a revelação de um problema por Tom Jøran Sønstebyseter Rønning, que demonstrou que as credenciais armazenadas no gerenciador de senhas do Edge eram descriptografadas no lançamento e mantidas na memória, mesmo quando não estavam em uso. Rønning também apresentou uma ferramenta de prova de conceito (PoC) que permitia a atacantes com privilégios de administrador extrair senhas de outros usuários. Em resposta, a Microsoft inicialmente defendeu que esse comportamento era ‘intencional’, mas agora se comprometeu a implementar mudanças em todas as versões suportadas do Edge, priorizando a redução da exposição de senhas na memória. Essa atualização já está disponível no canal Canary do Edge e será incluída nas próximas versões. A empresa também destacou um compromisso contínuo com a segurança, incluindo a proteção contra extensões maliciosas e a restrição do modo Internet Explorer do Edge após a exploração de vulnerabilidades. Essa atualização é um passo importante na proteção dos dados dos usuários e na mitigação de riscos de segurança.

Duas vulnerabilidades críticas foram identificadas no plugin Avada Builder para WordPress, que possui cerca de um milhão de instalações ativas. A primeira, identificada como CVE-2026-4782, permite que usuários autenticados com nível de acesso de assinante leiam arquivos arbitrários no servidor, incluindo o wp-config.php, que contém credenciais sensíveis do banco de dados. A segunda vulnerabilidade, CVE-2026-4798, é uma injeção SQL que pode ser explorada por atacantes não autenticados, desde que o plugin WooCommerce tenha sido ativado e depois desativado. Essa falha permite a extração de informações sensíveis do banco de dados, como hashes de senhas. Ambas as vulnerabilidades foram descobertas pelo pesquisador de segurança Rafie Muhammad e reportadas ao programa de recompensas da Wordfence. A atualização para a versão 3.15.3 do Avada Builder é altamente recomendada para mitigar esses riscos. O impacto potencial é significativo, pois a exploração dessas falhas pode levar a um comprometimento total do site, afetando a segurança e a privacidade dos dados dos usuários.

Recentemente, hackers injetaram malware que rouba credenciais em versões do pacote node-ipc, uma ferramenta popular para comunicação entre processos no Node.js. Este ataque de cadeia de suprimentos, que afeta o repositório npm, foi detectado por empresas de segurança como Socket e Ox Security, que identificaram três versões maliciosas: node-ipc@9.1.6, node-ipc@9.2.3 e node-ipc@12.0.1. O malware, que se esconde no ponto de entrada CommonJS do pacote, é capaz de coletar informações sensíveis, como credenciais de serviços em nuvem (AWS, Azure, GCP), chaves SSH, tokens de GitHub e arquivos .env. A exfiltração de dados é realizada através de consultas DNS TXT, utilizando um domínio falso para disfarçar o tráfego. O ataque foi atribuído a um ator externo que comprometeu a conta de um mantenedor inativo. Desenvolvedores afetados devem remover as versões comprometidas, rotacionar credenciais expostas e inspecionar arquivos de bloqueio e caches do npm.

Pesquisadores de cibersegurança revelaram quatro vulnerabilidades no OpenClaw, um sistema amplamente utilizado, que podem ser exploradas em cadeia para roubo de dados, escalonamento de privilégios e persistência maliciosa. As falhas, identificadas como CVE-2026-44112, CVE-2026-44113, CVE-2026-44115 e CVE-2026-44118, apresentam pontuações de severidade que variam de 7.7 a 9.6, indicando um alto risco de exploração.

A CVE-2026-44112, por exemplo, permite que atacantes contornem restrições de sandbox, enquanto a CVE-2026-44115 possibilita a execução de comandos não autorizados. A exploração dessas vulnerabilidades pode permitir que um invasor obtenha controle total sobre o ambiente, expondo dados sensíveis e configurando backdoors. A empresa Cyera destacou que a exploração dessas falhas pode parecer comportamento normal do agente, dificultando a detecção por controles tradicionais.

Na quinta-feira, a Microsoft divulgou mitigação para uma vulnerabilidade de alta severidade no Exchange Server, identificada como CVE-2026-42897. Essa falha de segurança, que afeta as versões mais recentes do Exchange Server 2016, 2019 e Subscription Edition, permite que atacantes executem código arbitrário por meio de um ataque de cross-site scripting (XSS) direcionado a usuários do Outlook na web. Embora ainda não existam patches disponíveis, a Microsoft recomenda a ativação do Exchange Emergency Mitigation Service (EEMS), que oferece mitigação automática para servidores on-premises. A vulnerabilidade pode ser explorada ao enviar um e-mail especialmente elaborado para um usuário, que, ao abrir o e-mail no Outlook Web Access, pode ter JavaScript malicioso executado em seu navegador. É importante ressaltar que a aplicação das medidas de mitigação pode causar problemas, como a não exibição correta de imagens e a funcionalidade de impressão do calendário. A Microsoft planeja lançar patches para as versões afetadas, mas estes estarão disponíveis apenas para clientes que participam do programa de suporte estendido. A situação é crítica, especialmente considerando que a CISA e a NSA já emitiram orientações para proteger servidores Exchange contra ataques.

A Microsoft divulgou uma nova vulnerabilidade de segurança que afeta as versões locais do Exchange Server, identificada como CVE-2026-42897, com uma pontuação CVSS de 8.1. Este problema, classificado como um bug de spoofing decorrente de uma falha de cross-site scripting, permite que atacantes não autorizados executem código JavaScript arbitrário no contexto do navegador ao enviar um e-mail malicioso. A vulnerabilidade já está sendo explorada ativamente, e a Microsoft recomenda que os usuários apliquem mitigação imediata através do Exchange Emergency Mitigation Service, que reescreve URLs automaticamente. As versões afetadas incluem Exchange Server 2016, 2019 e Subscription Edition, enquanto o Exchange Online não é impactado. Para aqueles que não podem usar o serviço de mitigação automática, a Microsoft disponibilizou um Mitigation Tool (EOMT) que deve ser aplicado manualmente. A empresa também está ciente de um problema conhecido onde a ferramenta pode indicar que a mitigação é inválida, mas assegura que a aplicação é bem-sucedida se o status mostrar ‘Applied’. Embora não haja informações sobre a identidade dos atacantes ou a escala das explorações, é crucial que as organizações adotem as medidas recomendadas para se protegerem.

A OpenAI revelou que dois dispositivos de seus funcionários foram afetados por um ataque à cadeia de suprimentos, conhecido como Mini Shai-Hulud, que comprometeu o TanStack. Apesar do incidente, a empresa afirmou que não houve comprometimento de dados de usuários, sistemas de produção ou propriedade intelectual. A atividade maliciosa observada incluiu acesso não autorizado e exfiltração de credenciais em um subconjunto limitado de repositórios de código interno. Em resposta, a OpenAI isolou os sistemas afetados, revogou sessões de usuários e rotacionou credenciais. Além disso, a empresa revogou certificados de assinatura para produtos iOS, macOS e Windows, exigindo que usuários de macOS atualizassem seus aplicativos. O ataque destaca uma tendência crescente em que atacantes visam dependências de software compartilhadas, refletindo uma mudança no cenário de ameaças. O grupo TeamPCP, responsável por ataques semelhantes, anunciou um concurso para comprometer pacotes de código aberto, aumentando a preocupação com a segurança na cadeia de suprimentos. A análise técnica revelou que o malware possui um servidor de comando e controle codificado e um mecanismo de fallback que busca URLs alternativas em mensagens de commit do GitHub. O ataque também apresenta comportamentos destrutivos em regiões específicas, como Israel e Irã.

O artigo da The Hacker News destaca que a maior ameaça à segurança nas organizações modernas não é mais o malware, mas sim o uso indevido de ferramentas confiáveis, como PowerShell e WMIC, que são frequentemente utilizadas por administradores de TI. Uma análise da Bitdefender revelou que 84% de 700.000 incidentes de alta severidade envolveram o abuso de ferramentas legítimas. Para ajudar as empresas a lidarem com essa questão, a Bitdefender oferece uma avaliação gratuita chamada Internal Attack Surface Assessment, que identifica e prioriza os riscos associados a usuários, endpoints e ferramentas que podem ser explorados por atacantes.