Ataque

Grupo OceanLotus realiza ataques cibernéticos no Vietnã

O grupo de ameaças cibernéticas OceanLotus, alinhado ao Vietnã, foi responsável por duas campanhas distintas de espionagem cibernética, utilizando um backdoor conhecido como SPECTRALVIPER. As operações visaram uma corporação de construção de infraestrutura e transporte no Vietnã entre meados de 2024 e fevereiro de 2026, além de um ataque à cadeia de suprimentos que explorou o FireAnt Metakit, uma plataforma popular entre investidores de ações no país. A ESET, empresa de cibersegurança, observou uma mudança no foco operacional do grupo, que agora prioriza a espionagem doméstica em vez de alvos externos. O ataque ao FireAnt Metakit, que começou em outubro de 2025, utilizou um URL de atualização legítimo para distribuir SPECTRALVIPER a um subconjunto de investidores. A falta de validação de integridade no arquivo de configuração permitiu que o malware fosse executado como uma atualização legítima. Além disso, OceanLotus manteve acesso a uma empresa de construção até fevereiro de 2026, explorando vulnerabilidades em servidores SQL da Microsoft. A ESET sugere que o grupo adotou uma abordagem mais seletiva após a exposição de sua empresa de fachada em 2020, focando em alvos domésticos e demonstrando táticas agressivas e sofisticadas.

Gangue ShinyHunters ataca servidores Oracle PeopleSoft em roubo de dados

Os servidores Oracle PeopleSoft estão sendo alvo de ataques de roubo de dados pela gangue de extorsão ShinyHunters, que afirma ter comprometido dados de mais de 100 organizações. O PeopleSoft é um software empresarial utilizado por grandes organizações para gerenciar operações como recursos humanos, finanças e administração estudantil. Recentemente, ataques generalizados foram relatados, afetando tanto instâncias em nuvem quanto locais do PeopleSoft. A gangue alega ter explorado uma ‘cadeia de gadgets’ composta por vulnerabilidades antigas e zero-day, embora a eficácia dos ataques dependa da configuração das instâncias. A Universidade de Nottingham foi identificada como uma das vítimas, com dados já publicados no site de vazamento da ShinyHunters. Pesquisadores de segurança encontraram diretórios expostos que revelam detalhes sobre os ataques, incluindo scripts para criar notas de resgate em servidores comprometidos. Especialistas recomendam que organizações que utilizam o PeopleSoft analisem logs para identificar conexões suspeitas e iniciem respostas a incidentes se forem alvo dos ataques. A situação é crítica, e a Oracle ainda não se manifestou oficialmente sobre as vulnerabilidades exploradas.

Microsoft remove repositórios do GitHub após ataque cibernético

Em 5 de junho, a Microsoft retirou 73 repositórios de suas organizações no GitHub, incluindo Azure e MicrosoftDocs, devido a preocupações com a distribuição de ‘conteúdo potencialmente malicioso’. O incidente, que durou apenas 105 segundos, foi resultado de uma campanha de ataque à cadeia de suprimentos chamada Miasma/Shai-Hulud. Pesquisadores confirmaram que o repositório ‘durabletask’ foi comprometido em maio, permitindo que o ator de ameaça retornasse com uma nova violação. Após a remoção, uma mensagem indicou que a ação foi tomada por violação dos termos de serviço do GitHub. O impacto imediato foi a desativação do acesso ao ‘Azure/functions-action’, uma ferramenta utilizada por desenvolvedores para implantar funções no Azure, causando interrupções em fluxos de trabalho. Embora todos os repositórios tenham sido restaurados e considerados seguros, a Microsoft notificou alguns clientes que podem ter baixado conteúdo dos repositórios afetados. A empresa continua a investigar o incidente, que também está ligado a uma campanha que comprometeu pacotes npm da Red Hat. Especialistas recomendam que desenvolvedores adotem medidas de segurança, como bloqueio de dependências de projetos e testes em ambientes isolados.

Hackers comprometem pacotes do PyPI em ataque à cadeia de suprimentos

Um novo ataque à cadeia de suprimentos, denominado Shai-Hulud, comprometeu 19 pacotes populares do PyPI, que foram baixados centenas de milhares de vezes. Entre os pacotes afetados estão ferramentas de bioinformática como Dynamo e Napari-UFISH. A empresa de segurança Socket identificou 37 versões maliciosas que incluíam um arquivo ‘*-setup.pth’ e um payload JavaScript ofuscado chamado ‘_index.js’. Ao iniciar o Python, o arquivo PTH é executado, o que pode levar ao download do runtime JavaScript Bun do GitHub para executar o script malicioso. O ataque visa roubar segredos de desenvolvedores, incluindo tokens do GitHub, credenciais de serviços em nuvem e históricos de shell. A exfiltração de dados é realizada através de repositórios do GitHub e uma API da Anthropic, que serve como camuflagem. A Socket recomenda que as organizações afetadas rotacionem suas credenciais e restauram seus ambientes a partir de backups seguros. Os defensores devem estar atentos a pacotes Python com hooks executáveis e downloads inesperados do Bun.

Ataques Cibernéticos e Vulnerabilidades O Que Aconteceu na Última Semana

Na última semana, o cenário de cibersegurança foi marcado por incidentes significativos, incluindo o ataque do Miasma Worm a 73 repositórios do GitHub da Microsoft, que levou a empresa a desabilitar o acesso a essas áreas. Além disso, a Google lançou patches para 124 vulnerabilidades no Android, incluindo uma falha crítica (CVE-2025-48595) que está sendo ativamente explorada, permitindo escalonamento de privilégios sem interação do usuário. O Departamento de Justiça dos EUA também anunciou a desarticulação de esquemas de fraude cibernética, resultando na remoção de milhões de contas usadas por grupos criminosos. Outro destaque foi a espionagem de um executivo de uma bolsa de valores, que teve seu e-mail monitorado por cinco meses, levantando preocupações sobre a segurança de dados sensíveis. Por fim, um novo grupo de cibercrime ligado à China, TA4922, expandiu suas operações para a Europa e África, utilizando táticas variadas de ataque. Esses eventos ressaltam a necessidade urgente de vigilância e atualização de sistemas de segurança, especialmente em um ambiente onde as ameaças estão se tornando cada vez mais sofisticadas e rápidas.

Homem da Califórnia é condenado por tráfico de drogas no dark web

Darren Hughes, um homem de 39 anos de San Jose, Califórnia, foi condenado a mais de 26 anos de prisão federal por tráfico de fentanil e metanfetamina através do Nemesis Market, um dos maiores mercados ilegais da dark web. Hughes foi preso em junho de 2023 após vender drogas a agentes infiltrados em cinco ocasiões, utilizando criptomoedas como forma de pagamento. Durante a prisão, a polícia encontrou 672 gramas de metanfetamina e uma arma de fogo sem número de série em seu veículo. O Nemesis Market, que operou de 2021 até sua desarticulação em março de 2024, tinha mais de 150 mil contas de usuários e processou centenas de milhares de pedidos de drogas, incluindo opioides. Autoridades de vários países, incluindo os EUA e a Alemanha, colaboraram para fechar o mercado, destacando a crescente preocupação com o tráfico de drogas na internet e a eficácia das forças de segurança em combater esses crimes, mesmo em plataformas que parecem anônimas.

Mais de 900 sistemas de medição de tanques expostos nos EUA

Mais de 900 sistemas automáticos de medição de tanques (ATG) nos Estados Unidos estão expostos na internet e vulneráveis a ataques cibernéticos, conforme alerta da Cybersecurity and Infrastructure Security Agency (CISA) e outras agências federais. Esses sistemas são utilizados para monitorar tanques de armazenamento de combustíveis e produtos químicos, sendo essenciais para a detecção de vazamentos e conformidade regulatória. Os atacantes têm explorado falhas de segurança, como credenciais hardcoded e vulnerabilidades de injeção SQL, para alterar configurações dos sistemas. A CISA alertou que, após compromissos bem-sucedidos, os invasores podem desativar alertas de sistema, aumentando o risco de vazamentos e falhas de equipamentos. A Shadowserver, um grupo de vigilância de segurança, identificou mais de 1.000 sistemas ATG expostos, com a maioria localizada nos EUA. As organizações de infraestrutura crítica são aconselhadas a restringir o acesso remoto e a implementar autenticação multifatorial, além de substituir senhas padrão por credenciais fortes. O alerta surge após relatos de hackers iranianos que comprometeram sistemas ATG em postos de gasolina, manipulando leituras de exibição sem alterar os níveis reais de combustível.

Grupo de espionagem cibernética OP-512 visa servidores IIS da Microsoft

Pesquisadores de cibersegurança identificaram um novo grupo de ameaças, denominado OP-512, que tem como alvo servidores Microsoft Internet Information Services (IIS) para implantar um framework de web shell personalizado. A ReliaQuest, empresa que analisou a atividade, acredita que essa operação de espionagem está ligada à China. O grupo OP-512 é o quarto a focar em servidores IIS nos últimos 12 meses, seguindo outros grupos como CL-STA-0048 e DragonRank. O framework utilizado pelo OP-512 é sofisticado, consistindo em três web shells que permitem acesso remoto ao servidor comprometido, além de técnicas para evitar a detecção e manipular os registros de tempo dos arquivos. Recentemente, o grupo atacou um servidor IIS legado rodando Windows Server 2016, utilizando um processo de trabalho para implantar um dos web shells. A operação foi rápida e eficiente, permitindo que o atacante escalasse privilégios e executasse comandos antes que a defesa pudesse reagir. A ReliaQuest alerta que a combinação de ferramentas personalizadas e a falta de sobreposição com outros grupos conhecidos tornam o OP-512 uma ameaça significativa para organizações que utilizam servidores IIS desatualizados.

Grupo PCPJack cria rede de e-mails maliciosos em servidores de nuvem

O grupo de cibercriminosos conhecido como PCPJack comprometeu servidores em nuvem da Amazon Web Services (AWS), Google Cloud e Microsoft Azure, estabelecendo uma rede clandestina de retransmissão de e-mails SMTP. A Hunt.io, empresa de inteligência em cibersegurança, revelou que servidores de empresas nos EUA, Europa e Ásia foram convertidos em proxies SMTP, sincronizados a cada cinco minutos com um consumidor downstream. Durante a investigação, foram encontrados códigos-fonte, binários compilados e ferramentas de exploração em diretórios abertos de um servidor de comando e controle (C2). O PCPJack foi identificado pela primeira vez em abril de 2026, quando um framework de roubo de credenciais foi detectado. Os proxies SMTP verificados são enriquecidos com informações de IP, país e ASN, e a lista é sincronizada a cada cinco minutos para um servidor separado. O objetivo final da operação ainda é incerto, mas a infraestrutura para entrega em larga escala está claramente em funcionamento, levantando preocupações sobre possíveis usos para spam ou phishing.

Autoridades europeias desmantelam mercado de documentos falsos

Autoridades da França e da Espanha desmantelaram um mercado online que vendia documentos de identidade falsificados, utilizados por redes de tráfico de migrantes na União Europeia. A operação culminou na prisão de um suspeito em Alicante, na Espanha, onde foram apreendidos equipamentos de produção de documentos e cerca de 800 identidades europeias falsas. A investigação começou após a identificação de um site que anunciava esses documentos fraudulentos, levando à localização do suspeito, que residia em Alicante desde 2024. Segundo a Europol, o marketplace facilitava operações de tráfico de migrantes, fornecendo documentos falsos que permitiam a evasão de controles de fronteira e a obtenção fraudulenta de direitos de residência. A Europol destacou que a fraude documental é um dos principais facilitadores da legalização fraudulenta de residências e do tráfico de migrantes na UE. Em março de 2026, a Europol ampliou suas capacidades de combate ao tráfico de migrantes com a criação do Centro Europeu de Combate ao Tráfico de Migrantes (ECAMS), que visa fortalecer a troca de informações e a coordenação entre agências de segurança. A operação em Alicante evidencia a importância da infraestrutura de fraude documental para a manutenção das redes de tráfico de migrantes na Europa.

Ataque de espionagem cibernética compromete caixa de e-mail de executivo

Um ataque cibernético sofisticado comprometeu a caixa de entrada de um executivo sênior de uma importante bolsa de valores global, permitindo que invasores acessassem informações sensíveis por pelo menos cinco meses. De acordo com um relatório da equipe de ameaças da Symantec e Carbon Black, os atacantes utilizaram técnicas de exfiltração disfarçadas, enviando dados por meio de serviços de nuvem como Dropbox e OneDrive, o que dificultou a detecção. A operação começou em outubro de 2025, quando os invasores instalaram dois binários maliciosos que imitavam atualizações do Adobe e do OneDrive. A partir de novembro, eles começaram a extrair dados da caixa de entrada, utilizando uma ferramenta construída com a biblioteca legítima Aspose para converter arquivos OST e PST do Outlook. O ataque foi caracterizado por acessos discretos e programados, evitando chamar a atenção de softwares de segurança. A falta de um CVE específico e a utilização de ferramentas públicas dificultam a atribuição do ataque a um grupo conhecido, mas a natureza da intrusão sugere um foco em espionagem, não em roubo financeiro. O relatório alerta que instituições financeiras e reguladoras devem monitorar atividades incomuns em caixas de entrada e uploads para contas pessoais de nuvem.

Hackers visam sistemas de monitoramento de tanques de combustível nos EUA

Agências de segurança dos EUA, incluindo a CISA e o FBI, alertaram sobre ataques direcionados a sistemas automáticos de medição de tanques (ATG) expostos à internet, utilizados em setores críticos como Energia, Química, Alimentos e Transporte. Os hackers estão explorando vulnerabilidades como bypass de autenticação e credenciais hardcoded para modificar configurações do sistema, o que pode comprometer a segurança operacional. Os ataques podem permitir que invasores alterem volumes de tanques, controles de bombas e desativem alertas, aumentando o risco de vazamentos e falhas de equipamentos. Embora não tenha sido atribuído a um grupo específico, houve relatos anteriores de hackers iranianos envolvidos em atividades semelhantes. As agências recomendam que as organizações restrinjam o acesso remoto e implementem práticas de segurança robustas, como autenticação multifatorial e atualizações de segurança. A situação destaca a necessidade urgente de revisão das medidas de segurança em sistemas ATG, especialmente considerando a crescente interconexão e a vulnerabilidade desses sistemas críticos.

Novo ataque DoS HTTP2 Bomb pode derrubar servidores rapidamente

Um novo ataque de negação de serviço (DoS) conhecido como HTTP/2 Bomb pode ser lançado a partir de uma única máquina, conseguindo derrubar servidores web em questão de segundos. Essa técnica explora configurações padrão do HTTP/2 em servidores amplamente utilizados, como NGINX, Apache, Microsoft IIS, Envoy e Cloudflare Pingora. O ataque combina duas metodologias conhecidas: a amplificação de compressão HPACK e a retenção de recursos ao estilo Slowloris, utilizando o controle de fluxo do HTTP/2. Ao enviar um único byte, um atacante pode forçar o servidor a alocar milhares de bytes de memória, resultando em um consumo extremo de RAM. Por exemplo, um computador doméstico com conexão de 100 Mbps pode tornar um servidor vulnerável inacessível em poucos segundos. Os testes mostraram que o Envoy e o Apache httpd são os mais afetados, consumindo 32 GB de RAM em cerca de 10 e 18 segundos, respectivamente. Embora algumas plataformas já tenham recebido patches, outras, como IIS e Envoy, ainda não têm correções disponíveis. A recomendação é desativar o HTTP/2 onde possível e implementar proxies ou firewalls que limitem o número de cabeçalhos.

Agências de segurança europeias desmantelam grupos de crime organizado

Agências de segurança da Europa e internacionais realizaram uma operação significativa, denominada “Operação KRATOS 2”, que resultou no desmantelamento de nove grupos de crime organizado e na prisão de 29 suspeitos envolvidos em operações de streaming ilegal. Coordenada pela Bulgária com o apoio da Europol, a operação envolveu autoridades de 13 países, incluindo Estados Unidos e Reino Unido. Durante os sete meses de investigação, foram identificados mais de 18.000 endereços IP e 4.370 domínios associados a serviços ilegais, além de quase 400.000 URLs adicionais que foram sinalizadas para suspensão ou remoção. A ação conjunta levou à remoção de mais de 27.000 URLs de streaming ilegal que distribuíam conteúdo protegido por direitos autorais, como esportes, filmes e programas de televisão. A Europol destacou que os grupos criminosos separam intencionalmente os sites voltados para o cliente dos servidores que hospedam o conteúdo ilegal, dificultando a detecção e a acusação. Além disso, esses serviços representam riscos significativos de cibersegurança para os usuários, incluindo infecções por malware e roubo de dados.

Usuários do Instagram têm contas sequestradas por IA da Meta

Recentemente, diversos usuários do Instagram relataram que suas contas foram sequestradas após atacantes conseguirem convencer as ferramentas de suporte da Meta, que utilizam inteligência artificial, de que eram os legítimos proprietários. Muitos dos afetados, incluindo contas de alto valor e raridade, como a do ex-time da Casa Branca de Obama e a pesquisadora Jane Manchun Wong, enfrentaram dificuldades para recuperar o acesso devido à falta de suporte humano. O processo de sequestro envolve o uso de selfies e vídeos gerados por IA para enganar o sistema de verificação. Além disso, os atacantes conseguiram contornar a autenticação de dois fatores (2FA) e utilizaram serviços de VPN para simular a localização dos alvos. Apesar de a Meta afirmar que está tomando medidas para resolver a situação, muitos usuários ainda se sentem frustrados com a incapacidade do suporte automatizado em resolver seus problemas. A situação destaca a vulnerabilidade de sistemas de autenticação baseados em IA e a necessidade de um suporte humano mais eficaz em casos de segurança.

Usuários do Dashlane são bloqueados após ataques de força bruta

Recentemente, vários usuários do serviço de gerenciamento de senhas Dashlane foram temporariamente bloqueados de suas contas devido a ataques de força bruta. Esses ataques, realizados por um agente externo, tentaram logins a partir de locais distantes e dispositivos desconhecidos. Em resposta, a Dashlane implementou uma suspensão automática das contas afetadas como parte de suas medidas de segurança. Jordan Fylolenko, diretor sênior de comunicações corporativas da Dashlane, confirmou que as contas afetadas foram desbloqueadas após a investigação do incidente, que começou em 31 de maio. A empresa assegurou que não há evidências de comprometimento de seus sistemas. Muitos usuários expressaram preocupação ao receber notificações de acessos suspeitos, questionando se se tratava de tentativas de phishing. Embora a Dashlane tenha declarado que o problema foi resolvido, alguns usuários ainda relatam dificuldades para acessar suas contas e mencionam a falta de resposta do suporte. A situação destaca a importância de medidas de segurança robustas, como limitação de taxa e desafios CAPTCHA, para proteger contas contra ataques automatizados.

Campanha de ataque à cadeia de suprimentos compromete pacotes do Red Hat

Uma nova campanha de ataque à cadeia de suprimentos, chamada Miasma, comprometeu pacotes do @redhat-cloud-services, visando roubar credenciais e segredos de máquinas de desenvolvedores, além de entregar um worm autorreplicante. O ataque utiliza táticas conhecidas de execução no momento da instalação, coleta de credenciais e exfiltração criptografada. Os pacotes afetados incluem vulnerabilidades-client, topological-inventory-client e outros. A análise de segurança revelou que os pacotes npm contêm um hook pré-instalado ofuscado, projetado para coletar segredos do GitHub, tokens npm, credenciais de nuvem e chaves SSH. O malware também possui lógica de exfiltração criptografada, transmitindo dados para um endpoint específico e utilizando o GitHub como mecanismo de fallback. Além disso, foi observado que o malware evita a execução em sistemas de língua russa. Acredita-se que a conta do GitHub de um funcionário da Red Hat tenha sido a porta de entrada para injetar o payload malicioso. Recomenda-se isolar os hosts afetados, remover as versões comprometidas e revisar atividades suspeitas no GitHub e npm. A desinstalação do pacote npm não é suficiente para a limpeza, devido à persistência do malware em ferramentas de desenvolvimento.

Dashlane suspende contas após tentativas de invasão em larga escala

A Dashlane, um popular gerenciador de senhas, anunciou a suspensão de contas de usuários após detectar tentativas de invasão em larga escala. O incidente, que começou a ser relatado no final de semana, levou a empresa a investigar a situação e a tomar medidas de segurança. Os usuários afetados relataram dificuldades para acessar suas contas, especialmente após tentativas de alterar a senha mestre. A empresa confirmou que as contas foram alvo de ataques de força bruta, onde invasores tentam adivinhar senhas por meio de combinações exaustivas. Embora a Dashlane tenha reativado as contas afetadas, muitos usuários continuam a enfrentar problemas de acesso, gerando críticas sobre a falta de comunicação clara da empresa. A companhia afirmou que não há evidências de comprometimento de seus sistemas e que o monitoramento do caso continua. Este incidente levanta preocupações sobre a segurança de gerenciadores de senhas e a necessidade de transparência nas comunicações com os usuários.

Campanha maliciosa ataca desenvolvedores do OpenAI Codex

Pesquisadores de cibersegurança revelaram uma nova campanha maliciosa de cadeia de suprimentos que visa desenvolvedores utilizando o OpenAI Codex, através de uma interface web remota que parece legítima. O pacote, denominado codexui-android, está disponível no GitHub e npm, com mais de 29.000 downloads semanais. O código malicioso foi inserido em um pacote funcional que passou por desenvolvimento ativo, permitindo a exfiltração silenciosa de tokens de autenticação do Codex para um servidor controlado por atacantes. O código extrai informações sensíveis, como access_token e refresh_token, armazenadas em um arquivo local. A campanha também se estende a um aplicativo Android que utiliza o mesmo pacote npm, aumentando o alcance da ameaça. A situação é agravada pelo fato de que o refresh_token não expira, permitindo acesso contínuo à conta da vítima. A entidade responsável pela publicação do aplicativo, chamada BrutalStrike, já teve mais de 50.000 downloads. A descoberta destaca a crescente preocupação com a segurança de ferramentas de desenvolvimento de IA e a necessidade de vigilância constante contra ataques de cadeia de suprimentos.

Campanha de espionagem cibernética mira República Tcheca e Taiwan

Uma nova campanha de espionagem cibernética, denominada Operação Dragon Weave, foi identificada como alvo de oficiais e cidadãos na República Tcheca e em Taiwan. A Seqrite Labs relatou que os alvos incluem setores governamentais, de pesquisa, acadêmicos, tecnológicos e serviços financeiros. A campanha utiliza e-mails de spear-phishing com anexos ZIP para iniciar uma cadeia de infecção que emprega um carregador em Rust, resultando na exfiltração de dados e controle remoto. Ao extrair o arquivo ZIP, múltiplos arquivos que aparentam ser legítimos são ativados, mas fazem parte de uma cadeia de infecção estruturada. O ataque pode ser iniciado por um arquivo de atalho malicioso que simula um documento PDF ou diretamente por um binário que atua como um dropper. O malware final, um agente AdaptixC2, se comunica com o armazenamento em nuvem da Microsoft Azure, utilizando um modelo de ‘dead drop’ para troca de dados, evitando comunicação direta. O AdaptixC2 permite uma ampla gama de ações pós-comprometimento, dando ao atacante controle total sobre o endpoint comprometido. A atividade foi atribuída a um grupo de ameaças alinhado à China, que permanece ativo globalmente, com outras operações sendo relatadas em diferentes regiões.

Aumento de ataques físicos a grandes investidores de criptomoedas

Um relatório recente da Bloomberg indica um aumento alarmante de 75% nos ataques físicos, conhecidos como ‘crypto wrench attacks’, direcionados a detentores de criptomoedas, especialmente os chamados ‘whales’, ou grandes investidores. Esses ataques incluem sequestros e agressões físicas, motivados pela transparência inerente ao blockchain, que permite a identificação de grandes detentores de ativos digitais. Os criminosos veem esses alvos como de baixo risco e alta recompensa, especialmente devido à natureza irreversível das transações em criptomoedas. Em resposta, muitas exchanges e investidores estão intensificando suas medidas de segurança, incluindo a contratação de seguranças e a implementação de protocolos de proteção mais rigorosos. Além disso, a cultura de ostentação entre alguns investidores, que se destacam em conferências e redes sociais, também contribui para a exposição a esses riscos. O aumento dos ataques físicos levanta preocupações significativas sobre a segurança no espaço das criptomoedas, especialmente em um cenário onde muitos casos podem não ser reportados, devido ao medo de represálias ou à natureza delicada das perdas financeiras.

Crescimento de Ataques DDoS e o Mercado de Serviços de Ataque

Os ataques de negação de serviço distribuída (DDoS) têm se tornado uma ameaça crescente para serviços online, com um aumento significativo na oferta de serviços DDoS como um produto acessível. O artigo destaca que, em 2025, Cloudflare e Microsoft relataram ataques massivos, com picos de 31,4 Tbps e 15,72 Tbps, respectivamente. A pesquisa da Flare revelou que, entre 2023 e 2026, houve um aumento de 10 vezes nos anúncios de serviços DDoS, com uma mudança de scripts e tutoriais para ofertas mais estruturadas e fáceis de usar. Os atacantes agora podem acessar painéis de controle e escolher alvos com apenas alguns cliques, tornando o DDoS-as-a-service uma opção viável para indivíduos com pouca habilidade técnica. Os preços para esses serviços são alarmantemente baixos, com ataques a partir de US$ 5. Essa evolução no mercado de DDoS representa um risco significativo para organizações, especialmente aquelas que dependem de serviços online, exigindo que as equipes de segurança estejam atentas e preparadas para mitigar esses ataques.

Ameaça de cibersegurança uso de IA em ataque a Marimo

Um ator de ameaça desconhecido utilizou um agente de modelo de linguagem grande (LLM) para realizar ações pós-comprometimento após explorar uma vulnerabilidade crítica no Marimo, uma plataforma de notebooks acessível pela internet. A vulnerabilidade, identificada como CVE-2026-39987, permite a execução remota de comandos arbitrários por atacantes não autenticados. Após comprometer um notebook Marimo, o atacante extraiu credenciais de nuvem e obteve uma chave SSH do AWS Secrets Manager, utilizando-a para acessar um servidor bastião e exfiltrar um banco de dados PostgreSQL interno em menos de dois minutos. O uso do LLM permitiu que o atacante improvisasse ações sem conhecimento prévio do ambiente, demonstrando uma adaptabilidade que torna a defesa mais complexa. A Sysdig, empresa de segurança em nuvem, recomenda que os usuários atualizem para a versão mais recente do Marimo e realizem auditorias em ambientes acessíveis publicamente, além de rotacionar credenciais e chaves de API. Este incidente destaca a necessidade urgente de medidas de segurança robustas em face de ameaças que utilizam inteligência artificial.

Engenheiro da Google é acusado de insider trading com dados confidenciais

Michele Spagnuolo, engenheiro de segurança da Google, foi acusado de insider trading após lucrar US$ 1,2 milhão utilizando informações confidenciais da empresa. Ele teria acessado dados internos do Google, especificamente do relatório ‘Year in Search’, para fazer apostas na plataforma de previsão descentralizada Polymarket. Spagnuolo, que trabalha na Google desde 2014 e reside na Suíça, usou um pseudônimo, ‘AlphaRaccoon’, para realizar suas apostas com uma precisão quase perfeita em cerca de 25 resultados improváveis. Após a divulgação pública dos dados em 4 de dezembro de 2025, ele recebeu aproximadamente US$ 1,2 milhão em ganhos. O FBI rastreou sua conta até um processador de pagamentos registrado em seu nome. As autoridades alegam que ele moveu os lucros ilegais através de serviços de troca de criptomoedas. O caso destaca a seriedade das violações de confidencialidade corporativa e as consequências legais que podem advir, incluindo penas de até 20 anos de prisão por fraude e lavagem de dinheiro.

Pacote NuGet malicioso compromete dados de clientes do Sicoob

Pesquisadores de cibersegurança descobriram um pacote NuGet malicioso que se disfarça como um kit de desenvolvimento de software C# para o Sicoob, um dos maiores sistemas financeiros cooperativos do Brasil. As versões 2.0.0 a 2.0.4 do pacote ‘Sicoob.Sdk’ foram projetadas para exfiltrar informações sensíveis, como IDs de clientes e certificados PFX, que são usados para autenticar empresas na rede bancária do Sicoob. O pacote, que foi baixado quase 500 vezes, captura dados ao instanciar o cliente Sicoob e envia informações para um endpoint Sentry de terceiros. Além disso, o pacote também coleta respostas da API de Boleto, expondo detalhes de transações financeiras. A exploração desses dados pode permitir que atacantes se façam passar pela integração da API bancária do Sicoob. Após a divulgação responsável, o pacote foi bloqueado pelo NuGet, mas o perfil responsável ainda possui outros pacotes com cerca de 6.000 downloads. Este incidente destaca a crescente sofisticação dos ataques à cadeia de suprimentos de software, que podem comprometer a segurança de sistemas financeiros críticos.

Cibersegurança Novas Ameaças e Vulnerabilidades em 2026

O cenário de cibersegurança continua a apresentar desafios significativos, com a descoberta de mais de 1.350 servidores de comando e controle (C2) no Oriente Médio, representando 96,8% das atividades maliciosas na região. A Saudi Telecom Company (STC) é responsável por 72,4% dessa infraestrutura. Além disso, uma falha crítica de escalonamento de privilégios no Azure Backup da Microsoft foi corrigida, permitindo que usuários com permissões mínimas obtivessem acesso total a clusters AKS. Um cidadão romeno foi condenado a 56 meses de prisão por ataques cibernéticos nos EUA, destacando a gravidade das ameaças. A CISA adicionou um ataque à cadeia de suprimentos do software DAEMON Tools ao seu catálogo de vulnerabilidades exploradas, exigindo ações corretivas imediatas. A Apple, por sua vez, lançou implementações de criptografia pós-quântica, enquanto o grupo Silent Ransom Group tem atacado escritórios de advocacia nos EUA, utilizando engenharia social para roubar dados sensíveis. Por fim, campanhas de phishing estão em alta, com a distribuição de malware através de instaladores falsos e e-mails enganosos.

Hackers se disfarçam de suporte técnico para instalar malware, alerta FBI

O FBI emitiu um alerta sobre um novo método de ataque cibernético em que hackers, conhecidos como Silent Ransom Group (SRG), se apresentam como suporte técnico nas empresas para instalar malware e roubar dados. Este grupo, ativo desde 2022, tem como alvo principal escritórios de advocacia nos Estados Unidos. O ataque geralmente começa com uma ligação de ‘vishing’ (phishing por voz), onde tentam convencer a vítima a instalar um software de gerenciamento remoto. Se essa abordagem falhar, os hackers se dirigem fisicamente ao local, portando dispositivos como pen drives e discos externos para realizar a intrusão. Uma vez dentro, eles copiam arquivos sensíveis e instalam malware, escalando privilégios antes de se retirarem. Posteriormente, eles extorquem as vítimas através de e-mails de resgate e chamadas, ameaçando divulgar os dados roubados. O SRG é também conhecido por manter um site de vazamento de dados, onde expõem as vítimas que não pagam o resgate. Este tipo de ataque representa um risco significativo, especialmente para setores que lidam com informações sensíveis, como o jurídico.

Homem canadense é condenado por esquema de sextorsão contra crianças

Um homem canadense, Ramanan Pathmanathan, foi condenado a 33 anos de prisão após se declarar culpado por um esquema de sextorsão que visava mais de 145 crianças nos Estados Unidos, algumas com apenas 6 anos. O crime ocorreu entre março de 2014 e sua prisão em março de 2021, durante o qual ele se passou por um adolescente de Nova Jersey e utilizou contas no Instagram e Facebook Messenger para coagir as vítimas a realizar atos sexuais em vídeo. Pathmanathan gravou essas interações e ameaçou divulgar o material caso as crianças se recusassem a continuar. Além da pena de prisão, ele deve se registrar como agressor sexual e cumprir 10 anos de liberdade supervisionada. O caso destaca a crescente preocupação com a sextorsão, uma forma de chantagem online que tem aumentado significativamente, conforme alertado pelo FBI em setembro de 2021. As autoridades recomendam que as vítimas interrompam toda interação com os criminosos e reportem imediatamente às forças de segurança.

Romeno é condenado a 56 meses por invasão de rede governamental nos EUA

Um cidadão romeno, Catalin Dragomir, foi condenado a 56 meses de prisão federal por invadir a rede de computadores do Departamento de Gestão de Emergências do Oregon e realizar ciberataques a diversas vítimas nos Estados Unidos. Dragomir, de 46 anos, se declarou culpado de roubo de identidade agravado e de obter informações de um computador protegido. As acusações resultaram em uma pena máxima de cinco anos por invasão, além de dois anos adicionais obrigatórios por roubo de identidade, uma multa de $250.000 e a perda de aproximadamente 23 Monero (XMR), avaliados em cerca de $8.500. Durante a invasão, ele acessou informações pessoais identificáveis, como nomes e números de passaporte, que foram vendidas a terceiros. O FBI e o Departamento de Justiça dos EUA coordenaram a prisão de Dragomir na Romênia, resultando em sua extradição para os Estados Unidos em janeiro de 2025. Este caso destaca a crescente preocupação com a segurança cibernética e os riscos associados a invasões de redes governamentais e corporativas.

Polícia Nacional da Holanda prende homem por hackeamento ao Ajax

A Polícia Nacional da Holanda prendeu um homem de 35 anos, suspeito de invadir os sistemas do clube de futebol Ajax Amsterdam em várias ocasiões. A prisão ocorreu em Buren e foi anunciada em um comunicado na terça-feira. O suspeito teria acessado ilegalmente os sistemas do clube, que, em março de 2025, revelou que o atacante explorou vulnerabilidades em sua infraestrutura de TI, comprometendo dados de centenas de indivíduos. O ataque permitiu ao hacker modificar proibições de entrada de torcedores e transferir ingressos comprados. Além disso, ele demonstrou a capacidade de manipular 538 proibições de entrada, 42.000 ingressos de temporada e acessar informações de mais de 300.000 contas. O Ajax já corrigiu as falhas exploradas e notificou a Autoridade de Proteção de Dados da Holanda e a polícia sobre o incidente. Este caso destaca a importância da segurança cibernética em organizações esportivas e a necessidade de vigilância constante contra ataques cibernéticos.

Microsoft testa isolamento automático de endpoints comprometidos

A Microsoft está testando uma nova funcionalidade no Defender for Endpoint que isola automaticamente endpoints comprometidos, visando impedir que atacantes se movam lateralmente pela rede. Disponível em modo de pré-visualização, essa capacidade faz parte da interrupção automática de ataques, uma característica que busca conter incidentes de segurança e limitar seu impacto, permitindo que as equipes de segurança tenham mais tempo para remediação. Quando um dispositivo é suspeito de estar comprometido, ele é desconectado da rede, mas mantém a conectividade com o serviço Microsoft Defender for Endpoint, que continua a monitorar o dispositivo. A funcionalidade de isolamento automático é aplicável apenas a estações de trabalho gerenciadas pelo Defender for Endpoint. Além disso, a Microsoft anunciou que os dispositivos podem ser liberados do isolamento a qualquer momento após a investigação do incidente. A empresa também está testando suporte para isolamento de dispositivos Linux e bloqueio automático de tráfego para endpoints não descobertos, além de permitir agendamento de varreduras antivírus em sistemas Linux. Essas inovações visam fortalecer a segurança das redes corporativas e proteger dados sensíveis contra exfiltração e propagação de ransomware.

Cibersegurança A Nova Era dos Ataques com Inteligência Artificial

A cibersegurança enfrenta um novo desafio com a utilização de ferramentas de Inteligência Artificial (IA) por hackers, que tornam os ataques mais rápidos e eficazes. De acordo com informações recentes do The Hacker News, esses criminosos estão explorando vulnerabilidades em sistemas para realizar ataques DDoS em larga escala, que podem derrubar sites em questão de segundos. A abordagem tradicional de proteção, que incluía firewalls e atualizações de software, já não é suficiente, pois os ataques assistidos por IA são capazes de identificar pontos fracos e adaptar suas estratégias rapidamente.

Grupo de hackers iraniano MuddyWater ataca organizações globais

O grupo de hackers iraniano MuddyWater está vinculado a uma nova campanha de espionagem cibernética que afetou pelo menos nove organizações em quatro continentes no primeiro trimestre de 2026. Os alvos incluem setores de manufatura industrial e eletrônica, educação, serviços públicos, serviços financeiros e profissionais. Um dos ataques mais significativos ocorreu contra um grande fabricante de eletrônicos da Coreia do Sul, onde os invasores permaneceram na rede por uma semana. Os hackers utilizaram técnicas de DLL side-loading, empregando binários legítimos para executar códigos maliciosos, o que lhes permitiu contornar detecções de segurança. Além disso, foram utilizados scripts Node.js para lançar códigos PowerShell que realizavam operações de reconhecimento e coleta de informações. A campanha também está associada a um aumento nas operações de higiene cibernética do grupo, que agora opera de forma mais discreta e disciplinada. O artigo destaca a importância de monitorar e proteger redes contra essas táticas, especialmente considerando as sanções impostas pela União Europeia a uma empresa iraniana envolvida em atividades de hacking.

Investigadores na Holanda prendem homens por crimes cibernéticos

Investigadores de crimes financeiros na Holanda, conhecidos como FIOD, prenderam dois homens e apreenderam 800 servidores de uma empresa de hospedagem na web, a Stark Industries. A operação, que ocorreu em várias localidades, incluindo Dronten e Schiphol-Rijk, revelou que a empresa estava envolvida em ciberataques, operações de interferência e campanhas de desinformação, apoiando indiretamente entidades russas e bielorrussas sancionadas pela União Europeia. A Stark Industries, fundada em fevereiro de 2022, foi adicionada à lista de entidades sancionadas em maio do ano passado. Após a imposição das sanções, a infraestrutura de hospedagem foi transferida para uma nova empresa, a WorkTitans B.V., que, segundo investigações, atuava como uma fachada para as entidades sancionadas. A WorkTitans é acusada de estar ligada a ataques cibernéticos realizados pelo grupo hacktivista pro-russo NoName057(16), que já realizou ataques DDoS a organizações importantes. A operação destaca a crescente preocupação com o uso de serviços de hospedagem para atividades ilegais e a necessidade de vigilância contínua sobre a infraestrutura digital.

Autoridades dos EUA e Canadá prendem operador de botnet KimWolf

Jacob Butler, um canadense de 23 anos, foi preso em Ottawa sob um mandado de extradição, acusado de operar a botnet KimWolf, que infectou quase dois milhões de dispositivos em todo o mundo. Segundo documentos judiciais, Butler utilizava um modelo de ‘cibercrime como serviço’ para vender acesso a uma vasta rede de sistemas comprometidos, que incluíam desde câmeras de segurança até dispositivos de streaming. A KimWolf foi responsável por mais de 25 mil ataques DDoS, causando perdas financeiras superiores a um milhão de dólares para algumas vítimas. O ataque mais significativo registrado alcançou quase 30 terabits por segundo, tornando-se um dos maiores ataques DDoS já divulgados. Além disso, as autoridades dos EUA também desmantelaram 45 plataformas de DDoS-for-hire, interrompendo operações que colaboravam com a KimWolf. A prisão de Butler é parte de uma operação internacional que visa combater o cibercrime e proteger a infraestrutura digital.

Homem canadense é preso por operar botnet DDoS Kimwolf

O Departamento de Justiça dos EUA anunciou a prisão de Jacob Butler, um canadense de 23 anos, acusado de operar a botnet Kimwolf, uma variante do AISURU. Essa botnet foi projetada para infectar dispositivos normalmente protegidos por firewalls, como câmeras e molduras digitais, e utilizava um modelo de ‘cibercrime como serviço’ para vender acesso a esses dispositivos a outros criminosos. Os dispositivos infectados eram forçados a participar de ataques DDoS, que visavam servidores em todo o mundo, incluindo endereços IP da rede de informações do Departamento de Defesa dos EUA. Butler foi identificado através de registros de IP e mensagens em plataformas como Discord. A operação de desmantelamento da Kimwolf ocorreu em colaboração com autoridades canadenses e alemãs, resultando na interrupção de sua infraestrutura de comando e controle. A botnet é responsável por mais de 25.000 comandos de ataque e por alguns dos maiores ataques DDoS já registrados, com picos de tráfego de 31,4 Terabits por segundo. Butler enfrenta até 10 anos de prisão se condenado por intrusão de computador.

Ataques Cibernéticos A Nova Realidade das Ameaças Digitais

Nesta semana, o cenário de cibersegurança revela uma crescente preocupação com ataques que exploram elementos considerados confiáveis, como atualizações e aplicativos. O evento Pwn2Own Berlin 2026 destacou a descoberta de 47 vulnerabilidades zero-day em produtos amplamente utilizados, resultando em prêmios significativos para pesquisadores de segurança. Além disso, o NCSC do Reino Unido alertou sobre os riscos associados ao uso de inteligência artificial em ambientes corporativos, enfatizando a necessidade de controles de segurança rigorosos. No âmbito internacional, o governo polonês recomendou que seus oficiais deixassem de usar o Signal, devido a ataques de engenharia social, e a polícia holandesa lançou uma campanha para identificar suspeitos de fraudes. O ransomware Gunra também está em ascensão na Coreia do Sul, enquanto a vulnerabilidade no Composer, um gerenciador de dependências PHP, exige atualizações urgentes. Por fim, campanhas de intrusão baseadas em IA estão se intensificando na América Latina, destacando a evolução das táticas de ataque. Esses eventos sublinham a necessidade de vigilância constante e atualização das práticas de segurança.

Segurança de Identidade O Caminho para Ataques em Ambientes Híbridos

Um estudo recente destaca como credenciais armazenadas em cache podem se tornar um vetor de ataque significativo em ambientes híbridos. Um exemplo prático revela que uma única chave de acesso em uma máquina Windows poderia permitir que um atacante acessasse até 98% dos recursos críticos de uma empresa na nuvem. A pesquisa enfatiza que a segurança de identidade não deve ser vista apenas como um controle de perímetro, mas como um elemento central na defesa contra invasões. A maioria das ferramentas de segurança atuais falha em mapear como as exposições de identidade se conectam, permitindo que atacantes explorem permissões excessivas e atribuições de funções esquecidas. Dados da Palo Alto mostram que 90% das investigações de incidentes em 2025 foram influenciadas por fraquezas de identidade. Além disso, a crescente utilização de agentes de IA em ambientes corporativos aumenta a vulnerabilidade, uma vez que credenciais não humanas estão se tornando um alvo crescente no crime cibernético. Para mitigar esses riscos, é essencial que as organizações integrem suas ferramentas de segurança para ter uma visão unificada das conexões de identidade e permissões, fechando assim os caminhos de ataque antes que sejam explorados.

Ataque à cadeia de suprimentos compromete repositórios do GitHub

O GitHub confirmou que a violação de seus repositórios internos foi causada pela invasão de um dispositivo de um funcionário, que utilizava uma versão comprometida da extensão Nx Console para o Microsoft Visual Studio Code (VS Code). O ataque, atribuído ao grupo cibercriminoso TeamPCP, resultou na exfiltração de aproximadamente 3.800 repositórios. Apesar da gravidade do incidente, o GitHub assegurou que não há evidências de que informações de clientes fora de seus repositórios internos tenham sido afetadas. A extensão comprometida esteve disponível no Visual Studio Marketplace por apenas 18 minutos, mas foi tempo suficiente para que os atacantes distribuíssem um ladrão de credenciais que poderia coletar dados sensíveis de várias fontes, incluindo 1Password e AWS. Especialistas alertam que a natureza interconectada do software moderno facilita a exploração de vulnerabilidades, permitindo que um ataque inicial leve a compromissos subsequentes. A situação destaca a necessidade urgente de mudanças na segurança das ferramentas de desenvolvimento e na distribuição de código aberto.

Microsoft alerta sobre hackers que exploram redefinições de senha

A Microsoft alertou que um grupo de hackers conhecido como Storm-2949 está explorando a funcionalidade de redefinição de senha em seus serviços, como Microsoft 365 e Azure, para sequestrar contas de usuários. O ataque ocorre quando os criminosos identificam suas vítimas, obtêm seus números de telefone e e-mails, e iniciam o processo de redefinição de senha. Em seguida, eles ligam para as vítimas, se passando por técnicos de TI, e convencem-nas a aprovar um prompt de autenticação multifatorial (MFA). Com isso, os hackers conseguem redefinir a senha e acessar informações sensíveis. A Microsoft descreveu essa campanha como metódica e sofisticada, destacando que os atacantes conseguiram baixar milhares de arquivos de contas comprometidas. Para se proteger, a empresa recomenda que os usuários limitem as permissões de controle de acesso baseado em função (RBAC) no Azure e monitorem operações de gerenciamento de alto risco. As medidas de segurança incluem a retenção de logs do Azure Key Vault e a restrição de acesso público a esses cofres, além de opções de proteção de dados no Azure Storage.

Grupo de ameaças Storm-2949 ataca ambientes Microsoft 365 e Azure

O grupo de ameaças conhecido como Storm-2949 está realizando ataques direcionados a ambientes de produção do Microsoft 365 e Azure, utilizando aplicações e recursos administrativos legítimos para roubar dados sensíveis. A Microsoft identificou que o grupo emprega engenharia social para obter credenciais do Microsoft Entra ID de usuários com funções privilegiadas, como pessoal de TI e líderes seniores. Os atacantes abusam do fluxo de Redefinição de Senha de Autoatendimento (SSPR), enganando as vítimas para que aprovem solicitações de autenticação multifator (MFA). Após comprometer as contas, eles utilizam a API Microsoft Graph e scripts em Python para explorar usuários, funções e aplicações, acessando serviços como OneDrive e SharePoint para buscar informações críticas, como configurações de VPN e arquivos operacionais de TI.

Ataque à Cadeia de Suprimentos Extensão Nx Console Comprometida

Pesquisadores de cibersegurança alertaram sobre uma versão comprometida da extensão Nx Console, publicada no Marketplace do Microsoft Visual Studio Code (VS Code). A extensão rwl.angular-console (versão 18.95.0), que possui mais de 2,2 milhões de instalações, foi afetada por um ataque que permitiu a execução silenciosa de um payload ofuscado assim que um desenvolvedor abria qualquer espaço de trabalho. Esse payload, descrito como um ‘stealer de credenciais multi-estágio’, coleta segredos de desenvolvedores e os exfiltra via HTTPS, API do GitHub e tunelamento DNS. Além disso, instala um backdoor em sistemas macOS. O ataque foi possibilitado por credenciais de um desenvolvedor que foram comprometidas em um incidente anterior. Os mantenedores da extensão alertaram que alguns usuários foram comprometidos e recomendaram a atualização para a versão 18.100.0 ou superior. O incidente destaca a vulnerabilidade das cadeias de suprimentos de software e a necessidade de vigilância constante contra ataques semelhantes, especialmente em um cenário onde pacotes maliciosos têm se proliferado em repositórios de código aberto.

Ataque à cadeia de suprimentos compromete GitHub Actions

Um novo ataque à cadeia de suprimentos de software comprometeu o popular fluxo de trabalho do GitHub Actions, actions-cool/issues-helper, permitindo que atores maliciosos executassem código que coleta credenciais sensíveis e as exfiltra para um servidor controlado por atacantes. Segundo Varun Sharma, pesquisador da StepSecurity, todos os tags existentes no repositório foram redirecionados para um commit falso que não aparece no histórico normal do projeto. Esse commit contém código malicioso que, ao ser executado, baixa o runtime Bun JavaScript, lê a memória do processo Runner.Worker para extrair credenciais e faz uma chamada HTTPS para um domínio controlado por atacantes. Além disso, 15 tags de outra ação do GitHub, actions-cool/maintain-one-comment, também foram comprometidas com a mesma funcionalidade. O GitHub desativou o acesso ao repositório devido a uma violação dos termos de serviço, mas ainda não se sabe o que levou a essa decisão. O domínio de exfiltração observado está relacionado a uma campanha maior, Mini Shai-Hulud, que visa pacotes npm do ecossistema @antv, indicando que as atividades podem estar interligadas. A StepSecurity alerta que qualquer fluxo de trabalho que referencie a ação por versão puxará o código malicioso em sua próxima execução, a menos que esteja fixado em um SHA de commit conhecido como seguro.

Ataques à cadeia de suprimentos visam roubo de credenciais

Recentemente, três campanhas de ataque à cadeia de suprimentos atingiram plataformas populares como npm, PyPI e Docker Hub, focando no roubo de credenciais de ambientes de desenvolvedores e pipelines CI/CD. Os atacantes estão utilizando pacotes comprometidos, ferramentas de desenvolvimento vulneráveis e automação para coletar segredos como chaves de API, credenciais de nuvem e tokens. O artigo destaca que a segurança deve se concentrar não apenas em repositórios e ambientes de produção, mas também nas estações de trabalho dos desenvolvedores, que contêm informações sensíveis que podem ser exploradas. A velocidade dos ataques modernos, potencializada por ferramentas de automação e inteligência artificial, exige que as equipes de segurança reavaliem suas estratégias. Perguntas cruciais surgem, como a capacidade de identificar e limitar o uso de credenciais a partir das estações de trabalho dos desenvolvedores, bem como a detecção de materiais sensíveis antes que sejam expostos. O artigo conclui que a proteção das estações de trabalho deve ser vista como uma fronteira crítica na cadeia de suprimentos de software.

Funcionários da OpenAI têm dados roubados em ataque hacker

A OpenAI confirmou que dois de seus funcionários foram alvo de um ataque de cadeia de suprimentos, onde a biblioteca open source TanStack foi utilizada como vetor. Em um curto espaço de tempo, hackers distribuíram 84 versões maliciosas do software, resultando na infecção dos dispositivos dos funcionários antes que o problema fosse identificado. O malware tinha como objetivo roubar credenciais e se propagar para outros sistemas. Com as credenciais comprometidas, os invasores conseguiram acessar repositórios internos de código-fonte, embora a OpenAI tenha afirmado que apenas ‘material de credenciais limitado’ foi extraído e não houve acesso a dados de usuários ou alteração de software. Como medida de precaução, a empresa rotacionou os certificados digitais usados para assinar seus produtos e isolou os sistemas afetados. Este incidente destaca a crescente preocupação com ataques à cadeia de suprimentos, que têm se tornado uma tática comum entre hackers, permitindo comprometer múltiplos alvos simultaneamente.

Ataque à Cadeia de Suprimentos Impacta Dispositivos da OpenAI

A OpenAI revelou que dois dispositivos de seus funcionários foram afetados por um ataque à cadeia de suprimentos, conhecido como Mini Shai-Hulud, que comprometeu o TanStack. Apesar do incidente, a empresa afirmou que não houve comprometimento de dados de usuários, sistemas de produção ou propriedade intelectual. A atividade maliciosa observada incluiu acesso não autorizado e exfiltração de credenciais em um subconjunto limitado de repositórios de código interno. Em resposta, a OpenAI isolou os sistemas afetados, revogou sessões de usuários e rotacionou credenciais. Além disso, a empresa revogou certificados de assinatura para produtos iOS, macOS e Windows, exigindo que usuários de macOS atualizassem seus aplicativos. O ataque destaca uma tendência crescente em que atacantes visam dependências de software compartilhadas, refletindo uma mudança no cenário de ameaças. O grupo TeamPCP, responsável por ataques semelhantes, anunciou um concurso para comprometer pacotes de código aberto, aumentando a preocupação com a segurança na cadeia de suprimentos. A análise técnica revelou que o malware possui um servidor de comando e controle codificado e um mecanismo de fallback que busca URLs alternativas em mensagens de commit do GitHub. O ataque também apresenta comportamentos destrutivos em regiões específicas, como Israel e Irã.

OpenAI sofre ataque na cadeia de suprimentos e troca certificados

A OpenAI confirmou que dispositivos de dois de seus funcionários foram comprometidos em um recente ataque à cadeia de suprimentos, conhecido como TanStack, que afetou centenas de pacotes do npm e PyPI. Apesar da gravidade do incidente, a empresa assegurou que não houve impacto em dados de clientes, sistemas de produção ou propriedade intelectual. O ataque está associado à campanha de extorsão ‘Mini Shai-Hulud’, que introduziu atualizações maliciosas em pacotes de software confiáveis. A OpenAI observou atividades de malware, incluindo acesso não autorizado e exfiltração de credenciais, em um subconjunto limitado de repositórios de código interno. Embora algumas credenciais tenham sido roubadas, não há evidências de que tenham sido utilizadas em ataques adicionais. Como medida de precaução, a OpenAI isolou os sistemas afetados, revogou sessões e rotacionou credenciais. A empresa também está trocando certificados de assinatura de código, exigindo que usuários do macOS atualizem seus aplicativos até junho de 2026. O ataque destaca uma tendência crescente de atacantes visando a cadeia de suprimentos de software, o que pode ter um impacto amplo e rápido nas organizações.

Grupo Ghostwriter intensifica ataques cibernéticos na Ucrânia

O grupo de ameaças alinhado à Bielorrússia, conhecido como Ghostwriter, está realizando uma nova onda de ataques direcionados a organizações governamentais na Ucrânia. Desde 2016, o grupo tem sido associado a operações de espionagem cibernética e influência, especialmente em países vizinhos. Recentemente, foram identificados ataques que utilizam um malware chamado PicassoLoader, que serve como um canal para o Cobalt Strike Beacon e njRAT. Em 2023, o Ghostwriter explorou uma vulnerabilidade no WinRAR (CVE-2023-38831) para implantar seu malware. Além disso, uma campanha de phishing em 2024 utilizou uma falha no Roundcube (CVE-2024-42009) para capturar credenciais de e-mail. Os ataques mais recentes, iniciados em março de 2026, envolvem o envio de PDFs maliciosos que disfarçam links para arquivos RAR contendo um payload JavaScript, visando entidades governamentais ucranianas. O grupo também implementou técnicas de anti-análise, como verificação de geolocalização, para evitar detecções. A atividade do Ghostwriter é uma preocupação crescente, especialmente para setores críticos como defesa e governo na Ucrânia, mas também pode ter implicações para organizações no Brasil, dada a natureza global das ameaças cibernéticas.

Administrador do Dream Market é indiciado por lavagem de dinheiro

O principal administrador do Dream Market, Owe Martin Andresen, foi indiciado nos Estados Unidos por lavagem de dinheiro, enfrentando até 20 anos de prisão por cada uma das 12 acusações. Arrestado na Alemanha, ele é acusado de movimentar milhões de dólares de carteiras de criptomoedas do mercado, que operou entre 2013 e 2019, facilitando a venda de substâncias ilegais como cocaína e fentanil. A investigação revelou que, entre agosto de 2023 e abril de 2025, Andresen teria lavado mais de 2 milhões de dólares, utilizando um serviço de criptomoedas para comprar barras de ouro, que foram enviadas para sua residência na Alemanha. As autoridades alemãs também encontraram 1,7 milhão de dólares em barras de ouro e 23 mil dólares em dinheiro durante buscas em sua casa. O Dream Market, que chegou a ter cerca de 100 mil anúncios, foi um dos maiores mercados da dark web, especialmente após o fechamento de concorrentes como Hansa e AlphaBay.

Grupo de hackers MuddyWater lança campanha de ciberespionagem

O grupo de hackers MuddyWater, vinculado ao Irã, iniciou uma ampla campanha de ciberespionagem que afetou pelo menos nove organizações de destaque em diversos setores e países. Entre as vítimas estão um importante fabricante de eletrônicos da Coreia do Sul, agências governamentais, um aeroporto internacional no Oriente Médio, fabricantes industriais na Ásia e instituições educacionais. Pesquisadores da Symantec relataram que os atacantes permaneceram na rede do fabricante sul-coreano por uma semana em fevereiro de 2026, focando no roubo de propriedade intelectual e espionagem governamental. A campanha utilizou técnicas como o DLL sideloading, onde softwares legítimos carregam DLLs maliciosas, e ferramentas como ChromElevator para roubo de dados de navegadores Chrome. O ataque incluiu a captura de credenciais através de prompts falsos do Windows e modificações no registro para garantir persistência. A exfiltração de dados foi realizada via um serviço de compartilhamento de arquivos público, disfarçando a atividade maliciosa. A campanha é notável pela maturidade operacional dos atacantes e pelo uso de ferramentas legítimas, indicando uma mudança para ataques mais discretos.