Um recente relatório da SonicWall revela que empresas no Reino Unido continuam a operar com sistemas vulneráveis, muitos dos quais possuem falhas conhecidas há mais de uma década. Em 2025, foram registrados 67 milhões de tentativas de ataque, com uma única vulnerabilidade em câmeras IP da Hikvision representando cerca de 20% de todas as intrusões detectadas. Apesar de 80% dos líderes de TI afirmarem que conseguem identificar uma violação em até oito horas, a média real é de 181 dias, evidenciando a ineficácia na detecção de intrusões. Embora o volume de ransomware tenha caído 87%, o número de organizações comprometidas aumentou em 20%, indicando que os atacantes estão se tornando mais precisos em suas ações. As pequenas e médias empresas são as mais afetadas, com 88% das violações envolvendo ransomware. O uso crescente de ferramentas de inteligência artificial tem facilitado a execução de ataques, com bots realizando 36.000 varreduras por segundo. Para mitigar esses riscos, as organizações devem realizar um inventário de dispositivos conectados, priorizar a correção de vulnerabilidades conhecidas e implementar segmentação de rede.

Hackers estão explorando plataformas de e-mail confiáveis, como o Gmail, como uma das formas mais fáceis de contornar a segurança. Um relatório da VIPRE Security Group revela que 46% de todo o spam global é comercial, com 33% vindo de contas comprometidas e 32% de serviços de e-mail gratuitos. Esses ataques não apenas geram incômodo, mas também causam fadiga nos usuários, aumentando a probabilidade de que eles cliquem em links maliciosos. Os atacantes utilizam técnicas sofisticadas, como linhas de assunto enganosas e promoções urgentes, para manipular as emoções dos destinatários. Além disso, a maioria dos links de phishing analisados estava disfarçada de URLs legítimas, dificultando a detecção. A situação é agravada pela falta de incentivo das plataformas de e-mail para filtrar spam comercial, uma vez que isso pode impactar suas métricas de engajamento. Para mitigar esses riscos, as organizações precisam reforçar suas defesas de e-mail e repensar como a confiança é estabelecida em todos os canais de comunicação.

Um novo sistema de resfriamento desenvolvido pela startup Uravu, chamado Tatooine, promete revolucionar o funcionamento de data centers ao transformar o calor residual em água potável. Utilizando um dessicante líquido à base de água do mar, o sistema extrai umidade do ar quente e, ao ser aquecido pelo calor residual dos servidores, libera vapor de água que pode ser condensado e coletado. Este processo não apenas reduz o consumo de energia, mas também permite que os data centers se tornem produtores de água em vez de consumidores. O sistema é capaz de gerar até 30 metros cúbicos de água destilada por dia para cada megawatt de energia consumido, dependendo da umidade ambiente. Além disso, a tecnologia pode reduzir significativamente os custos operacionais, já que consome apenas um quinto da energia de um resfriador a ar convencional. Apesar dos desafios de engenharia, especialmente em relação à introdução de água salgada em ambientes projetados para ar seco, a solução é promissora, especialmente em regiões com escassez hídrica. O sucesso dos testes nos próximos 12 meses será crucial para validar sua eficácia.

Thomasz Szabo, um cidadão romeno de 27 anos, foi condenado a quatro anos de prisão federal por liderar um esquema de swatting que visou mais de 75 autoridades públicas, jornalistas e instituições religiosas nos Estados Unidos. O swatting é uma tática criminosa que envolve fazer falsas denúncias a serviços de emergência, provocando respostas policiais armadas. Szabo, extraditado da Romênia em novembro de 2024, se declarou culpado de conspiração e ameaças envolvendo explosivos em junho de 2025. Ele operava sob vários pseudônimos e incentivou seus seguidores a realizar ataques semelhantes, resultando em uma série de ameaças que custaram mais de 500 mil dólares em recursos públicos. Entre as ameaças, destacam-se uma tentativa de ataque em sinagogas de Nova York e uma ameaça de explosão no Capitólio dos EUA. O FBI destacou que os ataques de Szabo drenaram recursos da polícia e colocaram civis inocentes em risco. A condenação é um passo importante para desestimular a prática do swatting, que muitos ainda consideram uma brincadeira. O caso também envolve um cúmplice sérvio, Nemanja Radovanovic, que enfrenta processos separados.

O Bluekit é um novo kit de phishing que oferece mais de 40 modelos voltados para serviços populares, incluindo e-mails e plataformas de criptomoedas. O diferencial do Bluekit é a presença de um painel de Assistente de IA que utiliza modelos como Llama, GPT-4.1, Claude, Gemini e DeepSeek para ajudar os cibercriminosos a elaborar rascunhos de campanhas de phishing. Apesar de estar em uma fase inicial, a análise da empresa de cibersegurança Varonis revelou que os rascunhos gerados ainda contêm conteúdo genérico e precisam de ajustes antes de serem utilizados. Além da funcionalidade de IA, o Bluekit integra a compra e registro de domínios, configuração de páginas de phishing e gerenciamento de campanhas em uma única interface, permitindo que os operadores tenham controle granular sobre o comportamento das páginas de phishing. Os dados roubados são exfiltrados via Telegram, e a plataforma permite monitorar as sessões das vítimas em tempo real, o que ajuda a refinar os ataques. O Bluekit representa uma evolução nas ferramentas de phishing, tornando-as mais acessíveis e eficientes para cibercriminosos de menor escalão, e está em desenvolvimento ativo, o que pode levar a uma adoção crescente.

Um novo ataque à cadeia de suprimentos de software comprometeu o popular pacote Python Lightning, resultando na publicação de duas versões maliciosas (2.6.2 e 2.6.3) em 30 de abril de 2026. O ataque, que é uma extensão do incidente Mini Shai-Hulud, visa roubo de credenciais. As versões maliciosas contêm um diretório oculto que executa um script Python para baixar e executar um payload JavaScript ofuscado, permitindo o roubo de credenciais, incluindo tokens do GitHub. Esses tokens são validados e utilizados para injetar um payload em até 50 branches de repositórios. Além disso, o malware modifica pacotes npm locais, aumentando o número da versão e repackaging, o que pode levar à disseminação do malware em sistemas de usuários finais. Os administradores do repositório PyPI já isolaram o projeto, e recomenda-se que os desenvolvedores removam as versões afetadas e revertam para a versão 2.6.1. A investigação sobre como a conta do GitHub do projeto foi comprometida ainda está em andamento.

Um novo golpe de cibersegurança, conhecido como CAPTCHA falso, tem enganado usuários ao solicitar o envio de mensagens SMS para números internacionais. Identificado por pesquisadores da Infoblox, esse esquema malicioso está ativo desde junho de 2020 e utiliza engenharia social para induzir as vítimas a enviarem mensagens de texto, resultando em cobranças que podem chegar a R$ 150. O golpe opera através de sites fraudulentos que exibem mensagens pedindo para que o usuário confirme que é humano, levando-o a enviar SMS para múltiplos números. A natureza desse golpe dificulta sua denúncia, uma vez que as cobranças podem demorar semanas para aparecer nas contas telefônicas das vítimas. Além disso, as operadoras de telecomunicações também são impactadas, pois precisam dividir os lucros com os golpistas e lidar com estornos. A Infoblox alerta que nenhum CAPTCHA legítimo exige o envio de mensagens SMS, recomendando que os usuários não respondam a tais solicitações.

Recentemente, um usuário do Reddit, conhecido como NotAGoat3, afirmou ter baixado uma versão antecipada do aguardado jogo Grand Theft Auto 6 (GTA 6). Em uma postagem na comunidade r/GTA6unmoderated, ele se gabou de ter acesso ao jogo, desafiando críticos e negacionistas. No entanto, após a instalação, o usuário enfrentou sérios problemas em seu computador, que começou a apresentar lentidão e comportamentos estranhos, como um prompt de comando que abria e fechava rapidamente. Posteriormente, ele postou na comunidade r/computerviruses, buscando ajuda para resolver os problemas, que indicavam a possível infecção por um malware. Os sintomas relatados sugerem que o computador pode ter sido comprometido por um vírus de acesso remoto ou utilizado para mineração de criptomoedas. Este incidente serve como um alerta para os fãs de jogos: a cautela é essencial ao baixar arquivos da internet, especialmente versões piratas ou não oficiais de jogos ainda não lançados. O caso destaca a importância de se proteger contra ameaças cibernéticas, que podem se disfarçar como conteúdos atraentes, mas que, na verdade, são armadilhas perigosas.

O grupo cibercriminoso Interlock assumiu a responsabilidade por um ataque de ransomware que ocorreu em abril de 2026, afetando o governo local do Condado de Winona, em Minnesota. Em 9 de abril, o condado anunciou que havia retirado seus sistemas do ar após detectar a invasão, alertando os residentes sobre possíveis atrasos nos serviços. Interlock afirmou ter roubado mais de 2 milhões de arquivos e publicou amostras de documentos supostamente extraídos. Até o momento, o condado não confirmou a alegação e não se sabe se um resgate foi pago ou como a rede foi comprometida. Este foi o segundo ataque de ransomware ao Condado de Winona em 2026, sendo que em janeiro o condado já havia declarado estado de emergência devido a um ataque anterior. O grupo Interlock, que começou a reivindicar ataques em 2024, já foi responsável por 16 incidentes em 2026, incluindo ataques a instituições educacionais e organizações sem fins lucrativos. Os ataques de ransomware a entidades governamentais nos EUA têm se tornado cada vez mais frequentes, resultando em sérios riscos de perda de dados e interrupção de serviços essenciais.

A vulnerabilidade crítica CVE-2026-41940, que permite o bypass de autenticação em cPanel, WHM e WP Squared, está sendo ativamente explorada desde o final de fevereiro de 2026. A falha, identificada como uma injeção de Carriage Return Line Feed (CRLF) nos processos de login e carregamento de sessão, permite que atacantes acessem sistemas sem a validação adequada da senha. A empresa KnownHost, que utiliza cPanel, relatou tentativas de exploração já no dia da divulgação da vulnerabilidade. Em resposta, a cPanel lançou um patch em 28 de abril, após pressão de provedores de hospedagem. A vulnerabilidade afeta versões do cPanel a partir da 11.40 e também impacta o WP Squared. A Rapid7 estima que cerca de 1,5 milhão de instâncias do cPanel estão expostas online, embora não haja dados sobre quantas são vulneráveis. Para mitigar riscos, recomenda-se bloquear o acesso externo a portas específicas e reiniciar serviços após a aplicação das correções. A situação é crítica, pois a exploração bem-sucedida pode conceder controle total sobre o sistema cPanel e os sites gerenciados.

Uma nova vulnerabilidade de escalonamento de privilégios local, chamada ‘Copy Fail’ e identificada como CVE-2026-31431, afeta kernels do Linux lançados desde 2017. Descoberta pela empresa de segurança Theori, a falha permite que um atacante local não privilegiado obtenha permissões de root. A vulnerabilidade foi encontrada após uma varredura de uma hora no subsistema criptográfico do Linux utilizando a plataforma de pentesting Xint Code. A falha é causada por um erro lógico no template criptográfico do kernel, que permite a escrita controlada de 4 bytes na cache de página de qualquer arquivo legível. Isso pode alterar o comportamento de binários setuid-root, concedendo privilégios de root ao atacante. A Theori desenvolveu um exploit em Python que funciona em várias distribuições Linux, incluindo Ubuntu, Amazon Linux, RHEL e SUSE. A correção foi disponibilizada rapidamente, revertendo uma otimização problemática introduzida em 2017. Embora as distribuições principais estejam implementando as correções, ainda não há atualizações oficiais para algumas versões. Como mitigação temporária, recomenda-se desabilitar a interface criptográfica vulnerável. A vulnerabilidade é considerada mais prática e portátil do que outras falhas similares, como a ‘Dirty Pipe’.

O artigo de Topher Lyons, da Sprocket Security, destaca a rapidez com que atacantes identificam e exploram novos ativos expostos na internet. Assim que um ativo recebe um endereço IP público, um cronômetro começa a contar, e em minutos, ele já pode estar sendo sondado por scanners automatizados como Shodan e Censys. O processo se desenrola em etapas: em até uma hora, os scanners catalogam portas abertas e informações de serviços; em até seis horas, começa a enumeração ativa, onde ferramentas de ataque realizam tentativas de acesso. Após 12 horas, a probabilidade de comprometimento é alarmante, com 80% dos ativos testados sendo invadidos nesse período. O artigo também enfatiza a importância de ter visibilidade contínua sobre a superfície de ataque externa, destacando que muitos ativos expostos podem ser desconhecidos até mesmo para as equipes de segurança. Um exemplo prático ilustra como uma API oculta foi descoberta em um aplicativo web, expondo dados sensíveis sem autenticação. A Sprocket Security oferece uma solução que permite às organizações identificar e mitigar esses riscos antes que os atacantes o façam.

A atualização de segurança KB5083769, lançada em abril de 2026, está causando falhas em aplicativos de backup de terceiros em sistemas operacionais Windows 11 24H2 e 25H2. O problema, identificado inicialmente pela MVP da Microsoft, Susan Bradley, afeta softwares que utilizam o Volume Shadow Copy Service (VSS), resultando em timeouts do serviço VSS durante a criação de snapshots. O VSS, introduzido no Windows Server 2003, é crucial para a operação conjunta do sistema operacional, softwares de backup e aplicativos empresariais como SQL Server e Exchange. Entre os softwares impactados estão Acronis Cyber Protect Cloud, Macrium Reflect, NinjaOne Backup e UrBackup Server. A Acronis confirmou que a atualização causa erros de backup, especificamente a mensagem “O backup falhou porque o VSS da Microsoft excedeu o tempo limite durante a criação do snapshot”. Como solução temporária, os usuários afetados são orientados a desinstalar a atualização KB5083769 e pausar as atualizações do Windows. A Microsoft ainda não se pronunciou oficialmente sobre o problema. Além disso, a empresa lançou atualizações de emergência para corrigir problemas em sistemas Windows Server que resultaram em loops de reinicialização após a instalação das atualizações de abril de 2026.

O FBI alertou a indústria de transporte e logística sobre um aumento acentuado nos roubos de carga habilitados por ciberataques, com perdas estimadas em quase US$ 725 milhões até 2025, representando um aumento de 60% em relação ao ano anterior. O número de incidentes confirmados de roubo de carga cresceu 18% no último ano, enquanto o valor médio por roubo subiu 36%, alcançando US$ 273.990. Os criminosos têm utilizado táticas de hacking e de falsificação para sequestrar cargas de alto valor, infiltrando-se nos sistemas de corretores e transportadoras por meio de e-mails falsos e links fraudulentos. Uma vez dentro, eles publicam listagens fraudulentas em plataformas digitais, enganando transportadoras legítimas e desviando remessas. O FBI recomenda que as empresas verifiquem todos os pedidos de remessa por canais secundários e implementem autenticação multifatorial. Além disso, as vítimas devem registrar queixas no Internet Crime Complaint Center (IC3) e na polícia local. O relatório de crimes cibernéticos de 2025 do FBI revelou mais de 1 milhão de queixas, totalizando quase US$ 21 bilhões em perdas relacionadas a crimes cibernéticos.

Em março de 2026, o Atos Threat Research Center (TRC) identificou uma campanha maliciosa sofisticada que visa contas profissionais de alto privilégio, como administradores de empresas e engenheiros de DevOps. A operação utiliza técnicas avançadas, como envenenamento de SEO e uma arquitetura de distribuição em duas etapas via GitHub, para enganar as vítimas. Inicialmente, os usuários são direcionados a um repositório ‘fachada’ otimizado para SEO, que parece legítimo, mas redireciona para um segundo repositório que contém o malware disfarçado de ferramentas administrativas populares. Essa estratégia permite que os atacantes mantenham a visibilidade nos resultados de busca, mesmo após possíveis intervenções. Além disso, a campanha implementa um controle de comando e controle descentralizado utilizando contratos inteligentes na blockchain Ethereum, o que aumenta a resiliência da infraestrutura maliciosa. A análise técnica revela que a campanha continua ativa e evoluindo, com variantes do malware sendo identificadas. A complexidade e a persistência dessa ameaça destacam a necessidade de vigilância contínua e medidas de mitigação eficazes por parte das equipes de segurança cibernética.

Pesquisadores de cibersegurança revelaram detalhes sobre um novo framework de backdoor chamado DEEP#DOOR, desenvolvido em Python, que permite acesso persistente e coleta de informações sensíveis de sistemas comprometidos. O ataque se inicia com a execução de um script em lote que desativa controles de segurança do Windows e extrai um payload Python embutido. A distribuição do malware ocorre, principalmente, através de phishing, embora ainda não se saiba a extensão das infecções. O malware se comunica com um serviço de tunelamento, permitindo ao operador executar comandos remotamente e realizar atividades de espionagem, como captura de tela, acesso à webcam e roubo de credenciais. Além disso, DEEP#DOOR possui várias técnicas de evasão de detecção, dificultando a resposta a incidentes. O uso de um serviço de tunelamento público para comando e controle elimina a necessidade de infraestrutura dedicada, tornando a detecção ainda mais desafiadora. A modularidade do framework sugere que diferentes atores de ameaças podem adaptá-lo para diversos fins, o que representa um risco crescente para a segurança cibernética.

A semana trouxe à tona diversas táticas de cibersegurança preocupantes. Autoridades canadenses prenderam três homens por operar um dispositivo SMS blaster, que simula torres de celular para enviar mensagens de phishing a usuários, coletando informações pessoais. Além disso, um ataque à cadeia de suprimentos foi identificado, onde um pacote npm falso, que se passava por TanStack, exfiltrava variáveis de ambiente dos desenvolvedores durante a instalação. Outro ponto alarmante é a venda legal de dados de usuários por extensões de navegador, com 80 extensões coletando e revendendo informações de 6,5 milhões de usuários. A análise também revelou a exposição de 1,8 milhões de servidores RDP e 1,6 milhões de servidores VNC na internet, muitos dos quais estão vulneráveis a ataques. A situação é crítica, com a necessidade de ações imediatas para mitigar riscos e proteger dados sensíveis.

Uma operação conjunta entre autoridades dos EUA e da China resultou na prisão de pelo menos 276 suspeitos e no fechamento de nove centros de fraude em investimentos em criptomoedas. A ação, liderada pela Polícia de Dubai, focou em redes criminosas que operavam esquemas de ‘pig-butchering’, onde golpistas criam laços de confiança com as vítimas através de amizades ou romances falsos, levando-as a plataformas de investimento fraudulentas que esvaziam suas contas. Os documentos judiciais revelam que as vítimas perderam imediatamente o controle dos fundos transferidos, que eram lavados por meio de contas de criptomoedas adicionais. Entre os presos, destaca-se Thet Min Nyi, acusado de ser gerente de uma das operações fraudulentas. A operação também levou à prisão de outros indivíduos ligados a diferentes grupos de fraude. O FBI identificou várias vítimas nos EUA, com perdas que somam milhões de dólares. Em 2025, a fraude em investimentos representou 49% de todos os incidentes relacionados a golpes, resultando em perdas de US$ 8,6 bilhões. A criação da Scam Center Strike Force pelos EUA visa desmantelar redes de fraudes em criptomoedas, refletindo a crescente preocupação com a segurança cibernética nesse setor.

O Google anunciou a correção de uma vulnerabilidade de gravidade máxima no pacote npm ‘@google/gemini-cli’ e no fluxo de trabalho ‘google-github-actions/run-gemini-cli’, que poderia permitir a execução de comandos arbitrários em sistemas host. Segundo a Novee Security, a falha permitia que um atacante externo não privilegiado forçasse o carregamento de conteúdo malicioso como configuração do Gemini, resultando em execução de comandos diretamente no sistema host, antes mesmo da inicialização do sandbox do agente. A vulnerabilidade, que não possui um identificador CVE, apresenta uma pontuação CVSS de 10.0 e afeta versões específicas do Gemini CLI. O Google destacou que o impacto é limitado a fluxos de trabalho que utilizam o Gemini CLI em modo headless, e recomenda que os usuários revisem suas configurações para garantir que apenas pastas confiáveis sejam utilizadas. Além disso, a empresa está implementando medidas para reforçar a lista de permissões de ferramentas quando o Gemini CLI é configurado para rodar em modo –yolo, evitando que entradas não confiáveis possam levar à execução remota de código. O artigo também menciona uma vulnerabilidade no Cursor, uma ferramenta de desenvolvimento, que poderia resultar em execução de código arbitrário devido a uma interação de recursos no Git.

Pesquisadores de cibersegurança revelaram uma vulnerabilidade crítica no Linux, identificada como CVE-2026-31431, que permite a um usuário local não privilegiado obter acesso root ao sistema. Nomeada ‘Copy Fail’, essa falha de escalonamento de privilégios local (LPE) foi descoberta nas versões do kernel Linux desde 2017 e está relacionada a um erro lógico no subsistema criptográfico do kernel, especificamente no módulo algif_aead. A exploração bem-sucedida da vulnerabilidade pode ser realizada através de um simples script Python de 732 bytes, que manipula a cache de páginas de arquivos executáveis setuid. Embora a vulnerabilidade não seja explorável remotamente, ela pode ser utilizada por qualquer usuário local para corromper a cache de página de um binário setuid, afetando potencialmente todas as distribuições Linux, incluindo Amazon Linux, RHEL, SUSE e Ubuntu. A gravidade da falha é elevada, com um CVSS de 7.8, e sua exploração é facilitada pela portabilidade e simplicidade do ataque, que não requer condições de corrida ou offsets de kernel. As distribuições Linux já emitiram avisos sobre a vulnerabilidade, e a comunidade de segurança está em alerta para suas implicações.

Pesquisadores de segurança relataram que múltiplos pacotes npm oficiais da SAP foram comprometidos em um ataque à cadeia de suprimentos, atribuído ao grupo TeamPCP. Os pacotes afetados incluem @cap-js/sqlite, @cap-js/postgres, @cap-js/db-service e mbt, que são utilizados no desenvolvimento de aplicações na nuvem. A modificação maliciosa incluiu um script ‘preinstall’ que, ao ser executado, baixava um runtime JavaScript e executava um payload ofuscado para roubar credenciais e tokens de autenticação de sistemas de desenvolvedores. O malware visava informações sensíveis, como tokens do npm e GitHub, chaves SSH, credenciais de nuvem e segredos de pipelines CI/CD. Além disso, o malware tentava extrair segredos diretamente da memória dos runners de CI, burlando medidas de segurança. Os dados coletados eram criptografados e enviados para repositórios públicos do GitHub, com descrições que remetiam a ataques anteriores. A origem da violação ainda é desconhecida, mas há indícios de que um token npm pode ter sido exposto devido a uma configuração inadequada em um job do CircleCI. Este incidente destaca a vulnerabilidade das cadeias de suprimentos de software e a necessidade de vigilância constante em ambientes de desenvolvimento.

Um novo ataque cibernético tem explorado uma vulnerabilidade crítica no sistema de gerenciamento de conteúdo DotNetNuke (DNN), afetando mais de 750 mil sites globalmente. A falha, identificada como CVE-2026-40321, permite que hackers façam upload de arquivos SVG maliciosos que contêm código JavaScript. Quando um usuário administrador clica nesse arquivo, o código é executado, possibilitando que o invasor escreva um backdoor diretamente no servidor. O ataque se aproveita de uma vulnerabilidade de cross-site scripting (XSS), que não é bloqueada pelos filtros de conteúdo do DNN. Uma vez que o backdoor é instalado, o atacante pode executar comandos, roubar dados ou desativar ferramentas de segurança. A gravidade da situação é acentuada pelo fato de que a defesa tradicional, como antivírus e firewalls, pode não detectar ou bloquear esse tipo de ataque, uma vez que ele utiliza tráfego HTTP legítimo. Embora exista um patch disponível, é crucial que os administradores revisem suas políticas de registro de usuários e considerem desabilitar uploads de arquivos desnecessários para mitigar riscos futuros.

A polícia da Ucrânia prendeu três indivíduos envolvidos em um esquema de hacking que comprometeu mais de 610 mil contas do jogo Roblox, resultando em um lucro de aproximadamente 225 mil dólares. As prisões ocorreram em Lviv, após a realização de dez buscas em locais relacionados aos suspeitos, onde foram apreendidos 35 mil dólares em dinheiro, 37 celulares, 11 computadores de mesa, sete laptops, cinco tablets e quatro pen drives. Embora a polícia não tenha especificado a plataforma de jogo inicialmente, o Escritório do Procurador Geral confirmou que as contas afetadas pertenciam ao Roblox. Os hackers, com idades entre 19 e 22 anos, utilizavam malware disfarçado de ferramenta de aprimoramento de jogos para roubar credenciais de login dos usuários. As contas roubadas eram categorizadas por valor e vendidas em um site russo e em comunidades online fechadas. Os acusados enfrentam penas de até 15 anos de prisão por roubo e interferência não autorizada em sistemas de TI. A investigação continua para identificar outros possíveis cúmplices e vítimas.

Pesquisadores da Snyk alertaram sobre a exploração de duas vulnerabilidades de bypass de autenticação na ferramenta de agendamento de tarefas de código aberto Qinglong. A exploração começou em fevereiro, antes da divulgação pública das falhas, afetando versões 2.20.1 e anteriores. As vulnerabilidades, identificadas como CVE-2026-3965 e CVE-2026-4047, permitem que atacantes contornem a autenticação e executem código remotamente. A primeira falha expõe endpoints administrativos protegidos através de uma regra de reescrita mal configurada, enquanto a segunda permite que caminhos de URL sejam tratados de forma insensível a maiúsculas e minúsculas, possibilitando o acesso não autorizado. Desde 7 de fevereiro, os atacantes têm implantado criptomineradores em servidores expostos, utilizando um processo oculto chamado ‘.fullgc’ para evitar detecções. A Snyk observou que a resposta dos mantenedores do Qinglong foi lenta, com um patch efetivo só sendo disponibilizado em 1º de março. A situação destaca a importância de manter sistemas atualizados e monitorar atividades suspeitas em ambientes de desenvolvimento.

O plugin Quick Page/Post Redirect, utilizado em mais de 70.000 sites WordPress, foi comprometido por um backdoor que permite a injeção de código arbitrário. A vulnerabilidade foi descoberta por Austin Ginder, fundador da provedora de hospedagem WordPress Anchor, após alertas de segurança em 12 sites infectados. O plugin, que serve para criar redirecionamentos, teve versões oficiais (5.2.1 e 5.2.2) que incluíam um mecanismo de autoatualização oculto, apontando para um domínio de terceiros, anadnet[.]com. Embora esse mecanismo tenha sido removido em versões subsequentes, sites que ainda utilizam as versões afetadas receberam silenciosamente uma versão adulterada (5.2.3) que introduziu um backdoor passivo. Esse backdoor é ativado apenas para usuários não logados, dificultando a detecção por administradores. O verdadeiro risco reside na capacidade de execução de código arbitrário, que permanece latente, pois o subdomínio malicioso não está resolvendo atualmente, mas ainda está ativo. A recomendação para os usuários afetados é desinstalar o plugin e aguardar uma versão limpa (5.2.4) do WordPress.org. Ginder também fez um apelo para que os responsáveis pelo backdoor publiquem um manifesto de atualização que force a remoção do código malicioso.

O grupo hacker ShinyHunters anunciou o vazamento de dados de mais de 1,4 milhão de usuários da plataforma de ensino digital Udemy. O incidente ocorreu após a empresa se recusar a negociar com os cibercriminosos, que haviam encontrado uma vulnerabilidade na plataforma. Os dados vazados incluem informações pessoais como nomes, endereços, números de telefone e detalhes de pagamento. Aproximadamente 56% dos e-mails vazados já haviam sido expostos em incidentes anteriores. Com cerca de 77 milhões de usuários cadastrados, o vazamento representa um risco significativo de fraudes e ataques direcionados, como spear-phishing. O ShinyHunters é conhecido por invadir diversas organizações, e a Udemy, que recentemente se uniu à Coursera, agora enfrenta sérias consequências em termos de segurança e reputação. O site Have I Been Pwned (HIBP) já adicionou os e-mails vazados ao seu catálogo, alertando os usuários sobre a exposição de seus dados.

No primeiro trimestre de 2026, foram registrados 120 ataques de ransomware em hospitais e provedores de saúde, além de 81 ataques a empresas do setor, como fabricantes de dispositivos médicos e provedores de tecnologia. Embora os ataques a provedores de saúde tenham diminuído em 15% em relação ao trimestre anterior, os ataques a empresas de saúde aumentaram 35%, refletindo a lucratividade contínua para os hackers. Um ataque significativo ocorreu no University of Mississippi Medical Center, que resultou na paralisação de clínicas por um mês. Dados sensíveis de 131.700 pessoas foram comprometidos em um ataque ao Nippon Medical School Musashi Kosugi Hospital no Japão, e 92.000 pessoas foram notificadas sobre um ataque ao Hospital Caribbean Medical Center em Porto Rico. Os grupos de ransomware mais ativos foram Qilin e The Gentlemen, com Qilin liderando em ataques confirmados. O relatório destaca a necessidade urgente de medidas de segurança robustas no setor de saúde, que continua sendo um alvo atrativo para cibercriminosos.

A Sandhills Medical Foundation, uma rede de clínicas médicas na Carolina do Sul, confirmou um vazamento de dados que afetou 169.017 pessoas em maio de 2025. O incidente comprometeu informações pessoais sensíveis, incluindo números de Seguro Social, identificações fiscais, documentos de identidade emitidos pelo governo, dados financeiros, informações de saúde e datas de nascimento. A situação começou em 8 de maio, quando a instituição relatou interrupções em seus sistemas devido a um problema técnico relacionado a um fornecedor. Posteriormente, o grupo de ransomware chamado Inc reivindicou a responsabilidade pelo ataque em 30 de maio. Embora a Sandhills tenha afirmado que não pagou o resgate, não forneceu detalhes sobre como os atacantes conseguiram acessar sua rede. Como medida de apoio, a instituição está oferecendo 12 meses de monitoramento de crédito gratuito e assistência contra fraudes aos afetados. O grupo Inc, que surgiu em julho de 2023, já foi responsável por 361 ataques de ransomware, sendo 22 deles direcionados a provedores de saúde. O ataque à Sandhills é considerado o maior em termos de registros comprometidos até agora.

Em março de 2026, o GitHub corrigiu uma vulnerabilidade crítica de execução remota de código (CVE-2026-3854) que poderia ter permitido a atacantes acessarem milhões de repositórios privados. A falha foi reportada por pesquisadores da empresa de cibersegurança Wiz, que a identificaram através do programa de recompensas por bugs do GitHub. A equipe de segurança do GitHub reproduziu e confirmou a vulnerabilidade em apenas 40 minutos, implementando uma correção em menos de duas horas após o relatório.

O uso não autorizado de ferramentas de inteligência artificial (IA) nas empresas, especialmente aquelas que utilizam modelos de linguagem, tem gerado preocupações legítimas. Um caso recente, o vazamento na Vercel, exemplifica os riscos associados à integração de aplicativos de IA em plataformas corporativas como Google Workspace. Quando um funcionário conecta um aplicativo de IA, cria-se uma ponte programática entre o ambiente da empresa e um terceiro, que pode ser explorada em caso de comprometimento desse terceiro. No caso da Vercel, um funcionário integrou um aplicativo da Context.ai, que não era cliente registrado, permitindo que, após uma violação de segurança, os atacantes acessassem dados sensíveis da empresa. Além disso, o artigo destaca que o problema não se limita a aplicativos de IA, mas se estende a qualquer integração OAuth não gerenciada, que tem se tornado um alvo frequente para atacantes. Para mitigar esses riscos, recomenda-se que as empresas adotem uma abordagem de consentimento padrão-negativa para integrações, realizem auditorias regulares e busquem visibilidade sobre todas as conexões OAuth em uso.

Autoridades da Áustria e da Albânia desmantelaram uma rede criminosa acusada de operar um esquema de fraude em investimentos em criptomoedas, resultando em perdas estimadas em mais de €50 milhões (cerca de $58,5 milhões) para vítimas em todo o mundo. A ação conjunta, iniciada em junho de 2023 e apoiada pela Europol e Eurojust, culminou na prisão de 10 suspeitos e na realização de buscas em três call centers e nove residências particulares em 17 de abril. Durante a operação, foram apreendidos €891.735 em dinheiro, 443 computadores, 238 celulares, 6 laptops e diversos dispositivos de armazenamento de dados para exame forense.

Uma vulnerabilidade crítica foi identificada no cPanel e no WebHost Manager (WHM), afetando quase todas as versões, exceto as mais recentes. Essa falha de segurança permite que atacantes obtenham acesso ao painel de controle sem autenticação. A empresa responsável, WebPros International, lançou uma atualização de emergência que exige que os administradores executem manualmente um comando para aplicar o patch. O WHM oferece controle a nível de servidor, enquanto o cPanel permite acesso ao backend do site, webmail e bancos de dados. A gravidade da vulnerabilidade levou a Namecheap a bloquear temporariamente o acesso às portas 2083 e 2087, utilizadas por esses serviços, para proteger seus clientes. Embora detalhes técnicos não tenham sido divulgados, a falha é considerada significativa, pois um invasor com acesso ao cPanel pode controlar todos os aspectos da conta de hospedagem, incluindo sites, dados e e-mails. Os administradores devem atualizar para as versões corrigidas o mais rápido possível, pois versões não suportadas não receberão atualizações de segurança.

Em fevereiro de 2026, pesquisadores identificaram uma mudança significativa nas táticas de ciberataques, com criminosos cibernéticos utilizando configurações personalizadas de inteligência artificial (IA) para automatizar ataques diretamente na cadeia de destruição. Essa nova abordagem vai além de e-mails de phishing mais sofisticados; agora, agentes autônomos conseguem mapear o Active Directory e obter credenciais de Administrador de Domínio em questão de minutos. O desafio para as equipes de defesa é evidente: enquanto os atacantes operam em velocidade de máquina, as defesas ainda seguem um fluxo de trabalho tradicional e lento, que envolve múltiplas equipes (CTI, Red Team e Blue Team) e gera atrasos. Para enfrentar essa nova realidade, a Picus Security está promovendo um webinar sobre Validação de Exposição Autônoma, que promete apresentar um novo paradigma defensivo. Os participantes aprenderão sobre a mecânica dos ataques autônomos, como automatizar a ingestão de inteligência de ameaças e simular ataques sem comprometer a rede, além de estratégias para eliminar a fragmentação entre as equipes de segurança. Com a evolução das ferramentas dos atacantes, é crucial que as defesas também se atualizem para garantir a proteção eficaz das organizações.

Pesquisadores de cibersegurança descobriram um código malicioso em um pacote npm chamado ‘@validate-sdk/v2’, que foi introduzido como dependência em um projeto do modelo de linguagem Claude Opus da Anthropic. Este pacote, que deveria funcionar como um kit de desenvolvimento de software para validação e geração aleatória segura, na verdade, tem a capacidade de roubar segredos sensíveis do ambiente comprometido. A campanha de malware, denominada PromptMink, está associada a um ator de ameaças da Coreia do Norte conhecido como Famous Chollima, que já esteve envolvido em outras campanhas fraudulentas. O ataque utiliza uma abordagem em camadas, onde pacotes de primeira camada não contêm código malicioso, mas importam pacotes de segunda camada que realmente executam as funções maliciosas. Isso permite que os atacantes acessem carteiras de criptomoedas dos usuários. Além disso, a campanha evoluiu para atingir o Python Package Index (PyPI) e utiliza técnicas de ofuscação e typosquatting para evitar a detecção. O uso de pacotes legítimos para comunicação de comando e controle também foi observado, aumentando a complexidade e a eficácia das operações maliciosas.

Pesquisadores de cibersegurança alertam sobre uma nova campanha de ataque à cadeia de suprimentos que visa pacotes npm relacionados ao SAP, introduzindo malware que rouba credenciais. A campanha, chamada de mini Shai-Hulud, comprometeu versões específicas dos pacotes @cap-js/db-service, @cap-js/postgres e outros, publicadas em 29 de abril de 2026. Os pacotes afetados incluíam um script de pré-instalação que baixava e executava um binário malicioso, aumentando o risco em ambientes de desenvolvedores e CI/CD. O malware é projetado para coletar credenciais locais, tokens do GitHub e npm, além de segredos de nuvem de plataformas como AWS e Azure. Os dados roubados são criptografados e enviados para repositórios públicos no GitHub, criados nas contas das vítimas. A análise revelou que os atacantes comprometeram contas de desenvolvedores para publicar as versões maliciosas. Em resposta, novas versões seguras dos pacotes foram lançadas para mitigar o problema. Este incidente destaca a vulnerabilidade de configurações de agentes de codificação de IA e a necessidade de vigilância constante em ambientes de desenvolvimento.

Em 2025, o tempo médio entre a invasão de uma rede corporativa e a movimentação do invasor para outra máquina caiu para 29 minutos, uma redução significativa em relação aos 48 minutos de 2024. O relatório da CrowdStrike revela que o caso mais rápido de roubo de dados ocorreu em apenas 27 segundos. Esse intervalo, conhecido como ‘breakout time’, representa o tempo que as equipes de segurança têm para detectar e conter um ataque antes que ele se espalhe pela rede. Além disso, 82% dos ataques em 2025 não utilizaram malware, com os invasores utilizando credenciais legítimas para operar como usuários autorizados. Essa mudança na abordagem dos ataques, que agora se concentram em métodos mais sutis, como o uso de credenciais válidas, torna a detecção mais difícil. A adoção de inteligência artificial por grupos criminosos também aumentou, com um crescimento de 89% nos ataques que utilizam essa tecnologia. O grupo FAMOUS CHOLLIMA, vinculado à Coreia do Norte, destacou-se por sua infiltração em processos seletivos para inserir atacantes dentro das empresas. O relatório alerta para a crescente sofisticação e velocidade dos ataques cibernéticos, exigindo uma resposta mais ágil e eficaz das equipes de segurança.

A Microsoft está lidando com um problema conhecido que impede alguns usuários do Microsoft Teams Free de realizar chamadas e enviar mensagens. O Teams Free, uma versão sem assinatura destinada a indivíduos e pequenos grupos, oferece ferramentas de videoconferência e compartilhamento de arquivos. A empresa atribui os problemas a uma “mudança recente no backend” que fez com que algumas telas de consentimento e integração fossem puladas, tornando os perfis de usuários inacessíveis para outros. Os primeiros relatos sobre a questão surgiram em 8 de abril, e a Microsoft ainda não divulgou quais regiões estão afetadas ou quantos usuários foram impactados. A situação foi classificada como uma “degradação de serviço”, o que indica que, embora o serviço não esteja fora do ar, os usuários estão enfrentando dificuldades significativas. A Microsoft está buscando uma solução e planeja fornecer atualizações adicionais. Além disso, a empresa reconheceu recentemente outro problema que impede usuários do Windows de ingressar em reuniões do Teams devido a um bug introduzido por uma atualização do navegador Microsoft Edge.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu uma ordem para que agências federais protejam seus sistemas Windows contra uma vulnerabilidade crítica, identificada como CVE-2026-32202. Esta falha de segurança, relatada pela empresa de cibersegurança Akamai, é uma vulnerabilidade de ‘zero-click’ que permite o roubo de credenciais sem a necessidade de interação do usuário. A vulnerabilidade foi deixada após um patch incompleto de uma falha anterior de execução remota de código (CVE-2026-21510) em fevereiro. O grupo de ciberespionagem russo APT28 já explorou a falha anterior em ataques direcionados à Ucrânia e países da UE. A CISA incluiu a CVE-2026-32202 em seu Catálogo de Vulnerabilidades Conhecidas (KEV) e ordenou que as agências federais aplicassem patches até 12 de maio. A agência alertou que esse tipo de vulnerabilidade é um vetor frequente de ataque e representa riscos significativos para a segurança federal. Embora a ordem se aplique apenas a agências federais, a CISA incentivou todas as equipes de segurança a priorizarem a correção dessa vulnerabilidade em suas redes.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu duas vulnerabilidades críticas em seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV), com base em evidências de exploração ativa. A primeira, CVE-2024-1708, é uma vulnerabilidade de travessia de caminho no ConnectWise ScreenConnect, com uma pontuação CVSS de 8.4, que permite a execução remota de código e pode comprometer dados confidenciais. Esta falha foi corrigida em fevereiro de 2024. A segunda, CVE-2026-32202, com uma pontuação CVSS de 4.3, é uma falha no mecanismo de proteção do Microsoft Windows Shell, permitindo que atacantes não autorizados realizem spoofing em redes. Essa vulnerabilidade foi corrigida em abril de 2026. A inclusão da CVE-2026-32202 no catálogo ocorreu após a Microsoft reconhecer que a falha estava sendo ativamente explorada, relacionada a um patch incompleto de outra vulnerabilidade. A CVE-2024-1708 tem sido explorada em conjunto com a CVE-2024-1709, uma falha crítica de bypass de autenticação, em ataques associados a grupos de ameaças, incluindo um ator baseado na China. As agências do governo dos EUA têm até 12 de maio de 2026 para aplicar as correções necessárias.

O cPanel lançou atualizações de segurança para corrigir uma vulnerabilidade que afeta diversos caminhos de autenticação, permitindo que atacantes possam obter acesso não autorizado ao software do painel de controle. Essa falha impacta todas as versões atualmente suportadas do cPanel. As versões corrigidas incluem 11.110.0.97, 11.118.0.63, 11.126.0.54, 11.132.0.29 e 11.134.0.20. A empresa Namecheap, que fornece serviços de hospedagem e registro de domínios, revelou que a vulnerabilidade está relacionada a um exploit de login que pode permitir acesso não autorizado ao painel de controle. Como medida de precaução, a Namecheap implementou uma regra de firewall para bloquear o acesso às portas TCP 2083 e 2087, restringindo temporariamente o acesso dos clientes às interfaces do cPanel e WHM até que um patch completo seja aplicado. A equipe da Namecheap está monitorando a situação e aplicará o patch oficial em todos os servidores suportados assim que estiver disponível. Até o momento, a correção foi aplicada em servidores Reseller e Stellar Business.

O Bilibili é uma plataforma de compartilhamento de vídeos muito popular na China, especialmente entre os jovens, oferecendo uma vasta gama de conteúdos que vão desde anime e jogos até documentários e programas de TV. No entanto, o acesso ao Bilibili é restrito geograficamente, o que significa que usuários fora da China não conseguem acessar a plataforma devido a acordos de licenciamento. Para contornar essa limitação, a utilização de uma VPN (Rede Privada Virtual) é recomendada. O artigo sugere o NordVPN como a melhor opção para desbloquear o Bilibili, permitindo que usuários em países como Estados Unidos, Reino Unido, Canadá e Austrália acessem o conteúdo normalmente. O processo para assistir ao Bilibili é simples: basta visitar o site ou baixar o aplicativo, criar uma conta e, se estiver fora da China, usar uma VPN para obter um endereço IP chinês. O Bilibili oferece uma experiência gratuita, mas também disponibiliza uma assinatura premium que proporciona benefícios adicionais, como a remoção de anúncios e acesso a conteúdos em alta definição. Com mais de 36 milhões de usuários pagantes e 4,7 bilhões de interações mensais, a plataforma se destaca como uma importante comunidade de entretenimento na China.

Uma nova vulnerabilidade crítica foi descoberta no pacote Python LiteLLM da BerriAI, com o identificador CVE-2026-42208, que apresenta uma pontuação CVSS de 9.3. Trata-se de uma falha de injeção SQL que permite a atacantes não autenticados modificar o banco de dados subjacente do LiteLLM. A vulnerabilidade foi identificada em uma consulta de banco de dados que misturava valores de chave de API fornecidos pelo chamador na consulta em vez de passá-los como parâmetros separados. Isso possibilita que um atacante envie um cabeçalho de autorização malicioso para qualquer rota da API LLM e acesse dados sensíveis, como credenciais e chaves de provedores de modelos de linguagem. Apesar de a falha ter sido corrigida na versão 1.83.7-stable, lançada em 19 de abril de 2026, a exploração começou apenas uma semana depois, com tentativas registradas em 26 de abril. O ataque visou tabelas específicas que armazenam informações críticas, sugerindo que o invasor tinha conhecimento prévio sobre a estrutura do banco de dados. Os especialistas recomendam que os usuários atualizem suas instâncias ou desativem logs de erro para mitigar a exploração.

O repositório de torrents clandestinos Anna’s Archive foi condenado a pagar R$ 1,6 bilhão após perder um processo judicial movido pelo Spotify, em conjunto com as gravadoras UMG, Sony e Warner. A condenação ocorreu após a administração do site não comparecer a um julgamento em Nova York, onde foram discutidas infrações de direitos autorais relacionadas a 120.000 arquivos de música do Spotify. O valor da multa foi calculado com base em US$ 150 mil por cerca de 50 infrações, além de US$ 2.500 por cada um dos arquivos. O site, que atuava como uma ferramenta de meta-pesquisa para bibliotecas clandestinas, havia anunciado em dezembro de 2025 que obteve acesso ao banco de dados do Spotify, o que desencadeou a ação judicial. Apesar da condenação, a dificuldade em identificar os responsáveis pelo site levanta questões sobre a efetividade da multa, uma vez que não é possível confiscar valores de indivíduos desconhecidos. A situação se complica ainda mais, pois o site já havia removido a listagem de metadados do Spotify, embora algumas músicas tenham sido acidentalmente publicadas. A decisão judicial representa uma vitória simbólica para as gravadoras, mas a aplicação prática da multa permanece incerta.

Em janeiro de 2026, o governo iraniano impôs um apagão de internet em todo o país, bloqueando serviços de VPN, mensagens e telefonia. Para contornar essa censura, a organização sem fins lucrativos NetFreedom Pioneers implementou uma solução inovadora chamada Toosheh, que utiliza sinais de TV via satélite para transmitir dados. Essa tecnologia permite a entrega de até 5 gigabytes de conteúdo, incluindo notícias, tutoriais de primeiros socorros e softwares anti-censura, de forma anônima e sem interação do usuário. Os sinais de TV são não criptografados e podem ser capturados por qualquer pessoa com uma antena e receptor, tornando difícil para o governo bloquear completamente a transmissão. Apesar de sua eficácia, o Toosheh enfrenta desafios financeiros, com custos mensais elevados e a necessidade de doações privadas após o corte de financiamento do governo dos EUA. Embora ofereça uma alternativa viável para a comunicação em tempos de censura, o sistema não permite o envio de mensagens, limitando a interação dos usuários. Essa abordagem destaca a resiliência dos ativistas em encontrar soluções criativas para a liberdade de informação em ambientes opressivos.

Pesquisadores da Universidade de Tecnologia de Brno desenvolveram robôs magnéticos minúsculos capazes de buscar e remover nanoplásticos da água. Esses robôs utilizam atração eletrostática para capturar partículas de plástico, semelhante ao efeito de um balão em cabelos. Com estruturas formadas por bastões hexagonais de estruturas metal-orgânicas à base de ferro, cada bastão tem a largura de um fio de cabelo e apresenta poros que servem como pontos de aderência para os nanoplásticos. A movimentação dos robôs é controlada externamente por campos magnéticos, permitindo que eles se desloquem sem a necessidade de combustíveis ou luz. Em testes de laboratório, os robôs conseguiram capturar 78% das partículas em uma hora, um desempenho 60% superior ao de robôs que permanecem parados. No entanto, a tecnologia enfrenta desafios práticos, como a degradação dos robôs após várias utilizações e a diminuição da eficiência em água do mar e água subterrânea. Embora a inovação seja promissora, sua escalabilidade para resolver a crise de contaminação por nanoplásticos em água potável ainda é questionável.

O grupo cibercriminoso DragonForce reivindicou a responsabilidade por um vazamento de dados ocorrido em março de 2026 na MassDevelopment, a Agência de Financiamento do Desenvolvimento de Massachusetts. O ataque comprometeu informações pessoais sensíveis, incluindo números de Seguro Social, números de carteira de motorista e dados de contas financeiras, totalizando 1,56 TB de dados roubados. Embora a MassDevelopment tenha reconhecido problemas de conectividade em seus sistemas, não confirmou a reivindicação do DragonForce e não ofereceu monitoramento de crédito ou proteção contra roubo de identidade aos afetados. Este é o segundo incidente de segurança envolvendo a agência em dois anos, após um ataque anterior em 2024 que também resultou em vazamento de dados. O DragonForce, que opera um modelo de ransomware como serviço, já reivindicou 158 ataques em 2026, sendo este o primeiro contra uma entidade governamental nos EUA. A situação destaca a crescente ameaça de ataques de ransomware a organizações públicas, com 18 incidentes confirmados em entidades governamentais dos EUA até agora neste ano.

A plataforma de vídeos Vimeo confirmou que dados de alguns de seus usuários foram acessados sem autorização, em decorrência de uma violação de segurança na empresa Anodot, especializada em detecção de anomalias de dados. O ataque resultou na exposição de endereços de e-mail de clientes, além de dados técnicos, títulos de vídeos e metadados. A violação foi reivindicada pelo grupo de extorsão ShinyHunters, que ameaçou divulgar as informações roubadas até 30 de abril, a menos que um resgate fosse pago. Embora a Vimeo tenha assegurado que os dados expostos não incluem conteúdo de vídeo, credenciais de conta ou informações de cartões de pagamento, a empresa desativou todas as credenciais da Anodot e removeu a integração do serviço com seus sistemas. A Vimeo está investigando o incidente com a ajuda de especialistas em segurança e notificou as autoridades competentes. O impacto total da violação ainda não está claro, mas a empresa prometeu atualizações conforme novas informações forem descobertas.

Hackers estão atacando informações sensíveis armazenadas no modelo de linguagem de código aberto LiteLLM, explorando uma vulnerabilidade crítica identificada como CVE-2026-42208. Essa falha, uma injeção SQL, ocorre durante a verificação da chave da API do proxy do LiteLLM, permitindo que um invasor, sem necessidade de autenticação, envie um cabeçalho de autorização malicioso para qualquer rota da API do LLM. Isso possibilita a leitura e modificação de dados no banco de dados do proxy, incluindo chaves de API e credenciais. O mantenedor do projeto lançou uma correção na versão 1.83.7, substituindo a concatenação de strings por consultas parametrizadas. O LiteLLM é amplamente utilizado por desenvolvedores de aplicativos e plataformas de LLM, com 45 mil estrelas e 7,6 mil forks no GitHub. Pesquisadores da Sysdig relataram que a exploração da vulnerabilidade começou cerca de 36 horas após a divulgação pública do bug, com tentativas de exploração direcionadas a tabelas específicas que continham credenciais e dados sensíveis. As instâncias do LiteLLM que ainda estão em versões vulneráveis devem ser consideradas potencialmente comprometidas, e todas as chaves e credenciais devem ser rotacionadas. Para aqueles que não podem atualizar, recomenda-se desativar logs de erro para bloquear a entrada de dados maliciosos.

Pesquisadores alertam sobre uma falha crítica no ransomware VECT 2.0, que pode levar à destruição permanente de arquivos maiores ao invés de criptografá-los. O problema reside na forma como o VECT lida com os nonces de criptografia, onde cada novo nonce sobrescreve o anterior, resultando na perda de partes significativas dos arquivos. Após o processamento, apenas 25% do arquivo é recuperável, enquanto os outros 75% se tornam irrecuperáveis. Isso é especialmente preocupante para empresas, pois muitos arquivos valiosos, como discos de máquinas virtuais e bancos de dados, geralmente excedem 128 KB, o que os classifica como ‘grandes arquivos’ para o ransomware. Além disso, os operadores do VECT, que se associaram ao grupo TeamPCP, têm como objetivo explorar vítimas de ataques de cadeia de suprimentos, o que aumenta o potencial de danos. A falha de manuseio de nonces é comum em todas as variantes do VECT, afetando sistemas Windows, Linux e ESXi, o que amplia o alcance do problema. A Check Point destaca que a situação pode ser catastrófica para a maioria das organizações, pois a perda de dados críticos pode ocorrer sem possibilidade de recuperação.

Um grupo de cibercrime de origem brasileira, conhecido como LofyGang, voltou a atuar após mais de três anos, lançando uma campanha que visa jogadores de Minecraft com um novo malware chamado LofyStealer, disfarçado como um hack do jogo chamado ‘Slinky’. Segundo a empresa de cibersegurança ZenoX, o malware utiliza o ícone oficial do jogo para induzir a execução voluntária, explorando a confiança dos jovens usuários. O LofyGang, ativo desde 2021, já havia sido associado a pacotes maliciosos na plataforma npm, visando roubar dados de cartões de crédito e contas de serviços como Discord Nitro. A nova campanha envolve a execução de um loader em JavaScript que instala o LofyStealer, coletando dados sensíveis de diversos navegadores, como cookies e senhas, que são enviados para um servidor de comando e controle. O uso de plataformas confiáveis como GitHub para disseminar malware destaca um desafio contínuo de segurança, onde os atacantes abusam da confiança social para contornar soluções de segurança tradicionais. Este incidente ressalta a necessidade de vigilância constante e educação sobre segurança digital, especialmente entre os jovens jogadores.