Malware

O Computer Emergencies Response Team da Ucrânia (CERT-UA) revelou uma nova campanha de malware que visa governos e instituições de saúde municipais, especialmente clínicas e hospitais de emergência. Essa atividade, observada entre março e abril de 2026, foi atribuída ao grupo de ameaças UAC-0247, cujas origens permanecem desconhecidas. O ataque começa com um e-mail que finge ser uma proposta de ajuda humanitária, levando os destinatários a clicar em um link que redireciona para um site legítimo comprometido ou um site falso criado com ferramentas de inteligência artificial. O objetivo é baixar e executar um arquivo de atalho do Windows (LNK), que, por sua vez, executa um aplicativo HTML remoto (HTA) que desvia a atenção da vítima enquanto busca um binário para injetar código malicioso em processos legítimos. Entre as ferramentas utilizadas estão o ChromElevator, que contorna proteções de criptografia de navegadores, e o AGINGFLY, um malware que permite controle remoto dos sistemas afetados. As investigações indicam que também houve tentativas de atingir as Forças de Defesa da Ucrânia. Para mitigar os riscos, recomenda-se restringir a execução de arquivos LNK, HTA e JS, além de utilitários legítimos como ‘mshta.exe’ e ‘powershell.exe’.

Uma ferramenta de adware digitalmente assinada foi identificada como responsável por desativar proteções antivírus em milhares de dispositivos, afetando setores críticos como educação, utilidades, governo e saúde. Pesquisadores da Huntress descobriram a campanha em 22 de março, quando executáveis assinados, considerados programas indesejados (PUPs), geraram alertas em ambientes gerenciados. A empresa Dragon Boss Solutions LLC, envolvida em atividades de monetização de busca, é a responsável pela distribuição de ferramentas que, embora rotuladas como navegadores, são detectadas como PUPs. Além de exibir anúncios, essas ferramentas possuem um mecanismo de atualização avançado que implanta um ‘killer’ de antivírus. O processo de atualização é silencioso e executa payloads com privilégios elevados, desativando produtos de segurança como Malwarebytes e Kaspersky. A Huntress registrou um domínio de atualização não registrado, permitindo que eles monitorassem conexões de milhares de dispositivos comprometidos. A operação já afetou 23.500 hosts em 124 países, incluindo instituições acadêmicas e redes de infraestrutura crítica. A Huntress alerta que, embora a ferramenta atualmente utilize um desativador de antivírus, mecanismos para implantar payloads mais perigosos estão em vigor, representando um risco significativo para a segurança cibernética.

Recentemente, mais de 30 plugins do pacote EssentialPlugin foram comprometidos com um código malicioso que permite acesso não autorizado a sites que os utilizam. O código backdoor foi inserido no ano passado, mas começou a ser distribuído por meio de atualizações apenas recentemente, gerando páginas de spam e redirecionamentos, conforme as instruções de um servidor de comando e controle (C2). O problema foi identificado por Austin Ginder, fundador da Anchor Hosting, após receber uma dica sobre um dos plugins. Investigações subsequentes revelaram que o backdoor estava presente em todos os plugins do pacote desde agosto de 2025, após a aquisição do projeto por um novo proprietário. O código malicioso, que se mantinha inativo até então, foi ativado e começou a se comunicar com uma infraestrutura externa para baixar um arquivo que injeta malware no arquivo de configuração do WordPress. A equipe do WordPress.org agiu rapidamente, desativando os plugins e forçando uma atualização para neutralizar a comunicação do backdoor. No entanto, alertaram que a ação não limpa o arquivo de configuração principal, que contém configurações críticas do site. Administradores de sites que utilizam produtos EssentialPlugin devem estar atentos, pois o malware pode estar oculto em outros arquivos além do identificado.

Uma nova família de malware chamada ‘AgingFly’ foi identificada em ataques direcionados a governos locais e hospitais na Ucrânia, com o objetivo de roubar dados de autenticação de navegadores baseados em Chromium e do WhatsApp. Os ataques foram detectados pelo CERT-UA, que atribuiu a responsabilidade a um grupo de ameaças cibernéticas conhecido como UAC-0247. O vetor de ataque começa com um e-mail que simula uma oferta de ajuda humanitária, levando a vítima a clicar em um link que redireciona para um site legítimo comprometido ou um site falso gerado por uma ferramenta de IA. Após o download de um arquivo comprimido, o malware é executado, utilizando técnicas como injeção de shellcode e comunicação com um servidor de comando e controle (C2) via WebSockets. O AgingFly se destaca por compilar comandos em tempo real a partir de código-fonte recebido, o que dificulta a detecção. O CERT-UA recomenda que usuários bloqueiem a execução de arquivos LNK, HTA e JS para interromper a cadeia de ataque. Este incidente representa um risco significativo, especialmente para organizações que utilizam tecnologias semelhantes às atacadas.

Pesquisadores da empresa de segurança Socket identificaram mais de 100 extensões maliciosas na Chrome Web Store que tentam roubar tokens de autenticação do Google OAuth2, implantar backdoors e realizar fraudes publicitárias. Essas extensões fazem parte de uma campanha coordenada que utiliza a mesma infraestrutura de comando e controle (C2). Os atacantes publicaram as extensões sob cinco identidades diferentes, abrangendo categorias como clientes de Telegram, jogos de azar e ferramentas de tradução. A campanha utiliza um backend central hospedado em um VPS da Contabo, com subdomínios dedicados a roubo de sessões e coleta de dados. Entre as extensões, uma se destaca por roubar sessões do Telegram a cada 15 segundos, permitindo que os atacantes troquem a conta do Telegram do usuário sem seu conhecimento. A Socket notificou o Google sobre a campanha, mas as extensões ainda estão disponíveis na loja. Os usuários são aconselhados a verificar suas extensões instaladas e desinstalar qualquer correspondência com as IDs publicadas pela Socket.

O trojan de acesso remoto (RAT) Mirax, direcionado a dispositivos Android, tem sido identificado em campanhas que visam países de língua espanhola, alcançando mais de 220 mil contas em plataformas como Facebook e Instagram. Segundo a empresa de prevenção a fraudes online Cleafy, o Mirax permite que atacantes interajam em tempo real com dispositivos comprometidos, além de transformar esses dispositivos em nós de proxy residenciais, utilizando o protocolo SOCKS5. Essa funcionalidade permite que os criminosos contornem restrições geográficas e aumentem sua anonimidade durante atividades fraudulentas.

Pesquisadores de cibersegurança descobriram uma nova campanha envolvendo 108 extensões do Google Chrome que se comunicam com a mesma infraestrutura de comando e controle (C2) para coletar dados de usuários e permitir abusos no navegador. Essas extensões, publicadas sob cinco identidades distintas, acumulam cerca de 20.000 instalações na Chrome Web Store. A análise revelou que 54 extensões roubam identidades de contas do Google via OAuth2, enquanto 45 possuem uma porta dos fundos universal que abre URLs arbitrárias ao iniciar o navegador. Além disso, algumas extensões exfiltram sessões do Telegram a cada 15 segundos e injetam anúncios e scripts maliciosos em páginas visitadas. As extensões se disfarçam como ferramentas legítimas, como clientes do Telegram e jogos, mas na verdade capturam informações de sessão e injetam códigos maliciosos. Os usuários são aconselhados a remover essas extensões imediatamente e a desconectar suas sessões do Telegram. A análise de código revelou comentários em russo, sugerindo uma possível origem russa para os operadores.

A OpenAI anunciou a rotação de seus certificados de assinatura de código para macOS após um ataque à cadeia de suprimentos que comprometeu um pacote Axios. No dia 31 de março de 2026, um fluxo de trabalho legítimo da empresa baixou e executou uma versão comprometida do pacote Axios (1.14.1), que foi utilizada para implantar malware em dispositivos. Embora a investigação não tenha encontrado evidências de que o certificado de assinatura foi comprometido, a OpenAI decidiu tratá-lo como potencialmente vulnerável e revogá-lo por precaução. Os usuários de macOS devem atualizar seus aplicativos OpenAI para versões assinadas com o novo certificado, pois as versões antigas podem parar de funcionar a partir de 8 de maio de 2026. O ataque foi atribuído a atores de ameaças da Coreia do Norte, que usaram engenharia social para comprometer a conta de um mantenedor do projeto e publicar versões maliciosas do pacote. A OpenAI está colaborando com a Apple para garantir que nenhum software futuro possa ser notariado com o certificado antigo.

O malware JanelaRAT, uma variante modificada do BX RAT, tem se tornado uma ameaça crescente para bancos e instituições financeiras na América Latina, especialmente no Brasil e no México. Este trojan é projetado para roubar dados financeiros e de criptomoedas, monitorar entradas do mouse, registrar teclas digitadas, capturar telas e coletar metadados do sistema. A Kaspersky reportou que, em 2025, foram registrados 14.739 ataques no Brasil e 11.695 no México, embora o número de compromissos bem-sucedidos ainda seja desconhecido. O JanelaRAT utiliza um mecanismo de detecção de barra de título personalizado para identificar sites de interesse nos navegadores das vítimas e executar ações maliciosas. A distribuição do malware ocorre principalmente através de arquivos MSI falsificados que se disfarçam como software legítimo. Após a execução, o malware estabelece comunicação com um servidor de comando e controle (C2) e monitora as atividades da vítima, visando interações bancárias sensíveis. O JanelaRAT é capaz de realizar uma série de ações, como capturar telas, simular cliques e até mesmo manipular o Gerenciador de Tarefas do Windows para evitar detecção. Dada a sofisticação e a evolução contínua das campanhas de JanelaRAT, a ameaça representa um risco significativo para a segurança cibernética das instituições financeiras na região.

O infostealer Storm, que surgiu em redes de cibercrime em 2026, marca uma nova fase na evolução do roubo de credenciais. Por menos de mil dólares mensais, operadores podem acessar um software que coleta credenciais de navegadores, cookies de sessão e dados de carteiras de criptomoedas, enviando tudo para servidores controlados pelos atacantes. A mudança na abordagem se deve à introdução da App-Bound Encryption no Chrome, dificultando a decriptação local e levando os desenvolvedores a optar pela decriptação em servidores. O Storm é capaz de lidar com navegadores baseados em Chromium e Gecko, coletando dados essenciais para restaurar sessões comprometidas e acessar plataformas SaaS sem alertar sobre a violação. A coleta de dados inclui senhas salvas, cookies de sessão e informações de contas, permitindo que um único navegador comprometido forneça acesso a múltiplos serviços. O artigo destaca a automação do processo de restauração de sessões, que torna o ataque ainda mais eficiente. Com um modelo de assinatura acessível, o Storm representa uma ameaça significativa, especialmente para empresas que utilizam serviços amplamente adotados como Google e Microsoft 365.

O grupo de hackers norte-coreano APT37, também conhecido como ScarCruft, foi identificado em uma nova campanha de engenharia social que utiliza o Facebook como plataforma de ataque. Os cibercriminosos criaram contas falsas para se conectar com alvos, estabelecendo uma relação de confiança antes de mover a conversa para o Messenger. A estratégia inclui o uso de um software malicioso disfarçado de visualizador de PDF, alegando ser necessário para acessar documentos militares criptografados. O software comprometido é uma versão adulterada do Wondershare PDFelement, que, ao ser executado, ativa um código malicioso que permite o controle remoto do dispositivo da vítima. Além disso, a campanha utiliza uma infraestrutura legítima, mas comprometida, para comandos e controle, aproveitando um site de serviços imobiliários japonês. O malware, chamado RokRAT, é disfarçado como uma imagem JPG e permite que os atacantes capturem informações do sistema e realizem comandos remotamente, enquanto evita a detecção por programas de segurança. Essa abordagem sofisticada e evasiva destaca a evolução das táticas de ataque do APT37, que continua a adaptar suas estratégias de entrega e execução.

Um grupo de hackers desconhecidos comprometeu o site da CPUID, conhecido por hospedar ferramentas de monitoramento de hardware como CPU-Z e HWMonitor, por menos de 24 horas. O ataque ocorreu entre 9 e 10 de abril de 2026, quando os links para download dos instaladores foram substituídos por URLs maliciosas. A CPUID confirmou a violação, que foi atribuída a uma falha em uma API secundária, permitindo que o site exibisse links maliciosos. O malware distribuído incluía um trojan de acesso remoto chamado STX RAT, que possui capacidades de roubo de informações e controle remoto. Os atacantes utilizaram uma técnica de side-loading de DLL, onde um executável legítimo foi combinado com uma DLL maliciosa chamada ‘CRYPTBASE.dll’. A Kaspersky identificou mais de 150 vítimas, principalmente indivíduos, mas também organizações em setores como varejo e telecomunicações, com a maioria das infecções ocorrendo no Brasil, Rússia e China. O uso de uma cadeia de infecção já conhecida pelos atacantes foi considerado um erro grave, facilitando a detecção do comprometimento.

Recentemente, hackers conseguiram acessar a API do projeto CPUID, alterando os links de download no site oficial para direcionar usuários a executáveis maliciosos das populares ferramentas CPU-Z e HWMonitor. Essas utilidades, utilizadas por milhões para monitorar a saúde do hardware do computador, foram afetadas por um ataque que redirecionava downloads para uma versão trojanizada do HWiNFO, um software de diagnóstico de outro desenvolvedor. O arquivo malicioso, chamado HWiNFO_Monitor_Setup, apresenta um instalador russo, o que levanta suspeitas. Embora os arquivos originais ainda estivessem disponíveis através de URLs diretas, os links de distribuição estavam comprometidos. Pesquisadores confirmaram que o malware é sofisticado, utilizando técnicas avançadas para evitar detecções de antivírus e sistemas de resposta a incidentes. O CPUID informou que a violação ocorreu por cerca de seis horas entre 9 e 10 de abril, durante a ausência do desenvolvedor principal. Após a descoberta, a empresa corrigiu o problema e agora fornece versões limpas das ferramentas. Este incidente destaca a vulnerabilidade de softwares amplamente utilizados e a necessidade de vigilância constante na segurança cibernética.

Pesquisadores de cibersegurança identificaram uma nova evolução da campanha GlassWorm, que utiliza um dropper Zig para infectar ambientes de desenvolvimento integrados (IDEs) em máquinas de desenvolvedores. A técnica foi encontrada em uma extensão do Open VSX chamada ‘specstudio.code-wakatime-activity-tracker’, que se disfarça como uma ferramenta legítima, WakaTime, usada para monitorar o tempo de programação. A extensão, que já não está disponível para download, inclui um binário nativo compilado em Zig que, ao ser executado, busca IDEs compatíveis no sistema, como Microsoft Visual Studio Code e suas variantes.

Um incidente de segurança cibernética recente revelou que atacantes desconhecidos comprometeram o sistema de atualização do plugin Smart Slider 3 Pro, utilizado em sites WordPress e Joomla. A versão afetada, 3.5.1.35, foi lançada em 7 de abril de 2026 e, em um intervalo de aproximadamente seis horas, permitiu que uma versão maliciosa fosse instalada em mais de 800 mil sites. O malware incluía um backdoor que possibilitava a criação de contas de administrador ocultas e a execução remota de comandos no servidor. A empresa Nextend, responsável pelo plugin, agiu rapidamente para desativar seus servidores de atualização e remover a versão comprometida. Os usuários afetados foram aconselhados a atualizar para a versão 3.5.1.36 e realizar uma série de etapas de limpeza, incluindo a remoção de contas suspeitas e arquivos persistentes. Este incidente destaca a vulnerabilidade das cadeias de suprimento de software, onde um ataque pode ocorrer através de canais de atualização confiáveis, tornando as defesas tradicionais ineficazes.

A Google anunciou a implementação da proteção Device Bound Session Credentials (DBSC) na versão 146 do Chrome para Windows, com o objetivo de impedir que malwares que roubam informações, como os infostealers, capturem cookies de sessão. Essa nova funcionalidade, que será disponibilizada para usuários de macOS em uma versão futura ainda não anunciada, vincula criptograficamente a sessão do usuário ao hardware específico do dispositivo, utilizando chips de segurança como o Trusted Platform Module (TPM) no Windows e o Secure Enclave no macOS. Com isso, as chaves públicas e privadas geradas pelo chip de segurança não podem ser exportadas, tornando os dados de sessão roubados inúteis para os atacantes. A Google destaca que, sem a chave privada correspondente, qualquer cookie de sessão exfiltrado expira rapidamente, reduzindo significativamente o risco de acesso não autorizado. A empresa também observou uma diminuição notável nos eventos de roubo de sessão durante um ano de testes com o protocolo DBSC, desenvolvido em parceria com a Microsoft e outras plataformas da web. Os desenvolvedores web podem implementar essa nova proteção em seus sistemas, garantindo maior segurança sem comprometer a compatibilidade com as interfaces existentes.

Um novo malware baseado em Lua, chamado LucidRook, está sendo utilizado em campanhas de spear-phishing que visam organizações não governamentais e universidades em Taiwan. Pesquisadores da Cisco Talos atribuíram o malware a um grupo de ameaças conhecido internamente como UAT-10362, caracterizado como um adversário capaz com táticas operacionais maduras. O LucidRook foi observado em ataques em outubro de 2025, onde e-mails de phishing continham arquivos compactados protegidos por senha. Os pesquisadores identificaram duas cadeias de infecção: uma usando um arquivo de atalho LNK que entregou um dropper de malware chamado LucidPawn, e outra baseada em um executável falso de antivírus que se passava por um serviço da Trend Micro. O LucidPawn, por sua vez, descriptografa e implanta um executável legítimo renomeado para imitar o Microsoft Edge, juntamente com uma DLL maliciosa para carregar o LucidRook. O malware é notável por seu design modular e ambiente de execução Lua, permitindo que os operadores atualizem funcionalidades sem modificar o núcleo do malware, além de dificultar a visibilidade forense. Durante a execução, o LucidRook realiza reconhecimento do sistema, coletando informações como nomes de usuários e aplicativos instalados, que são criptografadas e exfiltradas para a infraestrutura controlada pelos atacantes. A Cisco Talos conclui que os ataques do LucidRook fazem parte de uma campanha de intrusão direcionada, embora não tenham conseguido capturar o bytecode Lua descriptografável, o que limita o conhecimento sobre as ações pós-infecção.

Um estudo recente revelou que grupos e canais no Telegram estão sendo utilizados por homens para vender ferramentas de hacking e espionagem com o objetivo de assediar mulheres. Pesquisadores do grupo AI Forensics analisaram 2,8 milhões de mensagens em 16 grupos italianos e espanhóis, identificando a troca de aproximadamente 82 mil conteúdos ilegais, incluindo imagens e vídeos de mulheres, muitas vezes sem o seu consentimento. As publicações variam desde ataques a celebridades até assédios a mulheres comuns, como amigas e esposas. Além disso, a pesquisa destacou a prática de doxing, onde informações pessoais são coletadas e utilizadas para intimidar as vítimas. O Telegram, por sua vez, afirmou que remove milhões de conteúdos nocivos diariamente, embora a eficácia dessas ações esteja sob questionamento, especialmente em meio a investigações sobre seu fundador na França. A situação levanta preocupações sobre a segurança digital e a proteção da privacidade das mulheres, além de implicações legais significativas, especialmente no contexto da Lei Geral de Proteção de Dados (LGPD) no Brasil.

Recentemente, hackers invadiram o sistema de atualização do plugin Smart Slider 3 Pro, utilizado em mais de 900 mil sites WordPress e Joomla, e distribuíram uma versão maliciosa que contém múltiplas portas dos fundos. O desenvolvedor do plugin confirmou que apenas a versão 3.5.1.35 está comprometida e recomenda que os usuários atualizem imediatamente para a versão 3.5.1.36 ou revertam para a versão 3.5.1.34 ou anterior. A atualização maliciosa não apenas instalou backdoors em várias localizações, mas também criou um usuário oculto com permissões de administrador e roubou dados sensíveis. A análise da empresa PatchStack revelou que o malware é um kit de ferramentas multi-camadas que permite a execução de comandos remotamente, sem autenticação, e inclui uma segunda porta dos fundos autenticada. Além disso, o malware cria um diretório ‘mu-plugins’ que carrega um plugin disfarçado, tornando-se invisível no painel do WordPress. O alerta se estende também para instalações Joomla, onde o código malicioso pode criar contas de administrador ocultas e roubar informações do site. Administradores são aconselhados a remover o plugin comprometido e seguir um guia de limpeza manual fornecido pelo desenvolvedor.

O cenário de cibersegurança continua a evoluir com novas ameaças e vulnerabilidades que merecem atenção. Um dos principais destaques é a variante do botnet Phorpiex, que utiliza um modelo híbrido de comunicação para garantir continuidade operacional, mesmo diante de desativação de servidores. Este malware tem como objetivos principais redirecionar transações de criptomoedas e disseminar spam de extorsão sexual, além de facilitar a implementação de ransomware.

Outra vulnerabilidade crítica identificada é a do Apache ActiveMQ Classic, que permitiu a execução remota de código (RCE) por 13 anos. Essa falha pode ser combinada com uma vulnerabilidade anterior para contornar autenticações, tornando-se uma ameaça significativa, especialmente em ambientes que utilizam credenciais padrão.

Um novo grupo de ameaças cibernéticas, denominado UAT-10362, foi identificado em campanhas de spear-phishing direcionadas a organizações não governamentais (ONGs) e universidades em Taiwan. O grupo utiliza um malware sofisticado chamado LucidRook, que incorpora um interpretador Lua e bibliotecas compiladas em Rust dentro de uma biblioteca de link dinâmico (DLL). A Cisco Talos, responsável pela descoberta, relatou que o ataque foi iniciado em outubro de 2025, utilizando arquivos compactados RAR ou 7-Zip para entregar um dropper chamado LucidPawn. Este dropper, por sua vez, executa um arquivo de disfarce e inicia o LucidRook. Existem duas cadeias de infecção distintas: uma baseada em arquivos de atalho do Windows (LNK) e outra envolvendo um executável que se apresenta como um programa antivírus da Trend Micro. O LucidRook é projetado para coletar informações do sistema e exfiltrá-las para um servidor externo, além de receber e executar cargas úteis em bytecode Lua. O uso de técnicas de geofencing permite que o malware opere apenas em ambientes de língua chinesa tradicional, limitando sua execução a Taiwan. A complexidade e a modularidade do malware indicam que UAT-10362 é um ator de ameaças altamente capacitado, com um foco em operações furtivas e específicas para suas vítimas.

Uma nova campanha de cibersegurança está afetando quase 100 lojas online que utilizam a plataforma de e-commerce Magento, inserindo um código malicioso para roubo de dados de cartões de crédito em uma imagem SVG de tamanho reduzido. Ao clicar no botão de checkout, os usuários são apresentados a uma sobreposição convincente que valida os dados do cartão e informações de cobrança. A empresa de segurança eCommerce Sansec identificou que o ataque provavelmente explorou a vulnerabilidade PolyShell, que permite a execução de código não autenticado e a tomada de controle de contas. O malware é injetado como um elemento SVG de 1x1 pixel com um manipulador ‘onload’ que contém o código do skimmer, evitando a detecção por scanners de segurança. Dados de pagamento submetidos são validados em tempo real e enviados ao atacante em um formato JSON ofuscado. A Sansec recomenda que os proprietários de sites verifiquem a presença de tags SVG ocultas e monitorem solicitações suspeitas. Até o momento, a Adobe não lançou uma atualização de segurança para corrigir a falha PolyShell em versões estáveis do Magento, o que aumenta o risco para os usuários da plataforma.

Uma nova campanha de cibersegurança está distribuindo o malware Atomic Stealer para usuários de macOS, utilizando o Script Editor em uma variação do ataque ClickFix. O Script Editor é um aplicativo confiável do macOS, que permite a execução de scripts, mas está sendo explorado por hackers para enganar as vítimas a executar comandos maliciosos sem interação manual com o Terminal. Os atacantes criam sites falsos com temas da Apple, que se apresentam como guias para liberar espaço em disco. Esses sites contêm instruções que, ao serem seguidas, abrem o Script Editor com um código executável pré-preenchido. O código malicioso executa um comando ofuscado que baixa e executa um script diretamente na memória do sistema, resultando na instalação do Atomic Stealer, um malware que visa roubar dados sensíveis, como informações do Keychain, senhas e dados de carteiras de criptomoedas. Os usuários de macOS devem tratar os prompts do Script Editor como de alto risco e evitar sua execução a menos que compreendam completamente o que estão fazendo. Para guias de solução de problemas, recomenda-se confiar apenas na documentação oficial da Apple.

Pesquisadores de cibersegurança identificaram uma nova variante de malware chamada Chaos, que está se expandindo para atingir implantações em nuvem mal configuradas, além de seu foco tradicional em roteadores e dispositivos de borda. O malware, que foi documentado pela primeira vez em setembro de 2022, é capaz de operar em ambientes Windows e Linux, permitindo a execução de comandos remotos, mineração de criptomoedas e ataques de negação de serviço distribuídos (DDoS).

Um novo malware denominado ‘NoVoice’ está causando sérios problemas em dispositivos Android, tendo sido baixado mais de 2,3 milhões de vezes na Play Store. O malware se esconde em mais de 50 aplicativos falsos, que incluem plataformas de limpeza de sistemas e jogos, levando os usuários a instalá-los sem perceber a ameaça. Especialistas da McAfee descobriram que o NoVoice explora vulnerabilidades do sistema Android para coletar informações sensíveis, como logins, senhas e dados de cartões de crédito. Além disso, o malware tem a capacidade de instalar ou desinstalar aplicativos sem o conhecimento do usuário. Um dos aplicativos identificados na operação criminosa é o SwiftClean, que promete otimizar o desempenho do dispositivo. Embora o Google tenha garantido que dispositivos atualizados desde maio de 2021 estão protegidos, é essencial que os usuários mantenham atenção redobrada ao instalar novos aplicativos, uma vez que os criminosos conseguem burlar os sistemas de segurança da Play Store.

O vazamento do código-fonte do Claude Code, uma ferramenta de inteligência artificial da Anthropic, resultou em uma campanha maliciosa que distribui um malware chamado ‘Vidar’, projetado para roubar dados sensíveis dos usuários. O incidente teve início no final de março de 2026, quando um arquivo JavaScript contendo o código vazado foi acidentalmente incluído em um pacote npm e posteriormente publicado no GitHub. Criminosos aproveitaram essa situação para criar um repositório falso, atraindo usuários interessados em obter o código original. O responsável pela disseminação do malware, identificado como ‘idbzoomh’, utilizou técnicas de SEO para garantir que seu repositório aparecesse nas primeiras posições dos resultados de busca do Google. O malware se instala como um dropper, utilizando uma ferramenta de proxy para roubar informações. Além disso, uma segunda versão do repositório foi encontrada, sugerindo que os atacantes estão testando diferentes métodos de distribuição. A análise da empresa de segurança Zscaler alerta para o risco que essa situação representa, especialmente para aqueles que buscam o código vazado, tornando-os alvos fáceis para os hackers.

O malware que afeta sistemas de controle industrial (ICS) representa uma ameaça significativa para indústrias essenciais, como energia e manufatura. Variedades como Industroyer e Stuxnet já demonstraram a capacidade de interromper processos industriais e causar danos físicos à infraestrutura crítica. Um relatório recente da Cyble Research & Intelligence Labs revelou que as divulgações de vulnerabilidades em ICS quase dobraram entre 2024 e 2025, em parte devido à exploração crescente por agentes de ameaça. Dispositivos ICS expostos à internet, especialmente aqueles que utilizam protocolos legados como Modbus, são alvos primários, pois carecem de autenticação e criptografia. Um escaneamento realizado identificou 179 dispositivos ICS suspeitos respondendo na porta 502, com os Estados Unidos liderando em exposição (57 dispositivos). A maioria dos dispositivos expostos pertence a fabricantes como Schneider e ABB, e a revelação de suas informações pode facilitar ataques, permitindo que invasores acessem registros sensíveis. Diante do crescimento do mercado de automação industrial, a proteção desses dispositivos se torna uma prioridade, pois cada novo dispositivo conectado representa uma nova superfície de ataque.

Uma campanha persistente de malware conhecida como Contagious Interview, associada à Coreia do Norte, está se expandindo ao publicar pacotes maliciosos que visam os ecossistemas Go, Rust e PHP. Os pacotes maliciosos, que se disfarçam como ferramentas legítimas para desenvolvedores, atuam como carregadores de malware, permitindo que a campanha realize operações coordenadas de cadeia de suprimentos. Os pacotes identificados incluem nomes como ‘dev-log-core’ e ’logutilkit’, que, uma vez instalados, buscam carregar cargas úteis específicas para cada plataforma, com capacidades de roubo de informações e acesso remoto. Um dos pacotes, ’license-utils-kit’, apresenta um implante completo que pode executar comandos de shell, registrar teclas, roubar dados de navegadores e gerenciar acesso remoto. A descoberta de mais de 1.700 pacotes maliciosos desde janeiro de 2025 indica que a campanha é bem financiada e persistentemente projetada para infiltrar ambientes de desenvolvedores. Além disso, a Microsoft alertou sobre a evolução das táticas de grupos de hackers norte-coreanos, que utilizam engenharia social para comprometer contas e distribuir malware através de links falsos de reuniões online. Essa situação representa um risco significativo para a segurança de desenvolvedores e empresas que utilizam essas tecnologias.

Um grupo de hackers vinculado à Coreia do Norte comprometeu a biblioteca JavaScript Axios, uma das mais populares do mundo, inserindo um código malicioso que pode roubar dados de sistemas operacionais como Windows, macOS e Linux. O ataque ocorreu entre 00h21 e 03h20 UTC do dia 31 de março de 2026, e as versões contaminadas foram removidas rapidamente. O Google atribuiu a ação ao grupo UNC1069, que tem um histórico de roubo de criptomoedas. Os invasores conseguiram acesso à conta do mantenedor do pacote npm do Axios, publicando duas versões adulteradas que incluíam uma dependência maliciosa chamada “plain-crypto-js”, que atuava como um dropper, baixando e executando outras ameaças. O ataque foi precedido por semanas de engenharia social, onde os hackers criaram perfis falsos e um workspace no Slack para enganar o mantenedor. O impacto do ataque é significativo, considerando que o Axios é utilizado em cerca de 80% dos ambientes de nuvem e desenvolvimento, com milhões de downloads semanais.

Um novo malware chamado Storm está revolucionando a forma como os hackers comprometem contas online, permitindo o acesso total a perfis sem a necessidade de senhas ou autenticação multifatorial. De acordo com a Varonis Threat Labs, o Storm se concentra em cookies de sessão, que mantêm os usuários logados em suas contas. Ao roubar esses cookies, os atacantes podem acessar contas como se fossem os usuários legítimos, evitando assim os alertas de segurança comuns. O malware coleta dados do navegador, incluindo credenciais salvas e tokens de autenticação, e processa essas informações em servidores controlados pelos atacantes, o que dificulta a detecção por ferramentas de segurança. O Storm é oferecido como um serviço de assinatura, com preços que variam de $300 por uma demonstração de sete dias a $900 por mês, tornando o cibercrime mais acessível. Os dados coletados incluem informações de contas de grandes plataformas como Google, Facebook e várias exchanges de criptomoedas. Essa nova abordagem representa um risco significativo para organizações que dependem apenas de proteções tradicionais, destacando a necessidade de monitoramento de tráfego e análises comportamentais para detectar atividades suspeitas.

Uma campanha de cibersegurança tem como alvo instâncias expostas do ComfyUI, uma plataforma popular de difusão estável, para integrá-las em uma botnet de mineração de criptomoedas e proxy. Um scanner em Python varre continuamente os principais intervalos de IP na nuvem em busca de alvos vulneráveis, instalando automaticamente nós maliciosos via ComfyUI-Manager. A exploração se baseia em uma má configuração que permite a execução remota de código em implantações não autenticadas. Após a exploração bem-sucedida, os hosts comprometidos são utilizados para minerar Monero e Conflux, além de serem integrados a uma botnet chamada Hysteria V2. A pesquisa da Censys revelou mais de 1.000 instâncias do ComfyUI acessíveis publicamente, o que é suficiente para que agentes de ameaça realizem campanhas oportunistas. O ataque utiliza scripts que exploram nós personalizados do ComfyUI, permitindo a execução de código arbitrário sem autenticação. A persistência do malware é garantida por mecanismos que reinstalam o código a cada inicialização do ComfyUI, além de técnicas para ocultar a atividade maliciosa. Este incidente destaca a necessidade de vigilância contínua e medidas de segurança robustas para proteger serviços expostos na nuvem.

Uma nova campanha de malware direcionada a usuários do WhatsApp foi descoberta por pesquisadores do Microsoft Defender. O ataque, que começou em fevereiro de 2026, utiliza arquivos maliciosos no formato Visual Basic Script (VBS) enviados por meio de mensagens no aplicativo. Quando o arquivo é aberto, ele instala um script que cria pastas ocultas no sistema Windows, disfarçando-se como componentes legítimos. Essa técnica de engenharia social permite que o malware se instale sem acionar sistemas de segurança, já que suas atividades se misturam ao tráfego normal do dispositivo.

Em março de 2026, um ataque à cadeia de suprimentos realizado pelo grupo TeamPCP comprometeu pacotes da biblioteca de desenvolvimento de IA LiteLLM, resultando em uma operação sistemática de coleta de credenciais a partir de estações de trabalho de desenvolvedores. O malware, que foi injetado nas versões 1.82.7 e 1.82.8 do LiteLLM disponíveis no PyPI, ativou-se quando os desenvolvedores instalavam ou atualizavam o pacote, coletando chaves SSH, credenciais de nuvem e outras informações sensíveis. Apesar da remoção rápida dos pacotes maliciosos, a análise da GitGuardian revelou que 1.705 pacotes do PyPI estavam configurados para puxar as versões comprometidas como dependências, expondo ainda mais sistemas a riscos.

Recentemente, grupos de ameaças associados à Coreia do Norte têm utilizado o GitHub como infraestrutura de comando e controle (C2) em ataques direcionados a organizações na Coreia do Sul. Segundo a Fortinet, a cadeia de ataque começa com arquivos de atalho do Windows (LNK) ofuscados, que são distribuídos por meio de e-mails de phishing. Esses arquivos iniciam o download de um documento PDF falso e um script PowerShell que opera em segundo plano. O script realiza verificações para evitar a análise, terminando sua execução se detectar processos relacionados a máquinas virtuais ou ferramentas forenses. Caso contrário, ele extrai um script Visual Basic e estabelece persistência, garantindo que o payload do PowerShell seja executado automaticamente a cada 30 minutos. Além disso, o script coleta informações do sistema comprometido e as exfiltra para um repositório do GitHub, utilizando um token de acesso codificado. Essa técnica de usar plataformas confiáveis como o GitHub para controle de malware é uma estratégia que permite aos atacantes se camuflar e manter controle sobre os sistemas infectados. O uso de ferramentas nativas do Windows, em vez de malware personalizado, aumenta a eficácia dos ataques, reduzindo a taxa de detecção. A situação é preocupante, pois demonstra a evolução das táticas de grupos patrocinados pelo estado, como o Kimsuky, que também têm explorado outras técnicas de infecção baseadas em LNK.

O malware SparkCat, um infostealer focado em criptomoedas, está de volta com novas atualizações que dificultam sua detecção. Pesquisadores da Kaspersky identificaram aplicativos maliciosos disfarçados em plataformas populares como a Apple App Store e o Google Play Store. O SparkCat, que foi detectado pela primeira vez em 2025, tem como alvo as frases mnemônicas usadas para acessar carteiras de criptomoedas. Recentemente, o malware aprimorou suas técnicas, utilizando reconhecimento óptico de caracteres (OCR) para extrair essas informações de fotos e capturas de tela. Embora inicialmente focado em usuários asiáticos, a nova versão também busca alvos ocidentais, incluindo palavras-chave em inglês. As técnicas de ofuscação foram aprimoradas, tornando a detecção ainda mais desafiadora. A Kaspersky informou que algumas das aplicações maliciosas já foram removidas das lojas, mas o risco persiste, especialmente para usuários que não mantêm vigilância sobre os aplicativos que instalam.

Pesquisadores de cibersegurança identificaram 36 pacotes maliciosos na registry npm, disfarçados como plugins do Strapi CMS. Esses pacotes, que não possuem descrição ou repositório, foram projetados para facilitar a exploração de Redis e PostgreSQL, implantar shells reversos, coletar credenciais e instalar um implante persistente. Todos os pacotes seguem a convenção de nomenclatura ‘strapi-plugin-’ e foram enviados por contas falsas em um curto período de tempo. A análise revelou que o código malicioso está embutido no script postinstall, que é executado automaticamente durante a instalação, permitindo que o código seja executado com os mesmos privilégios do usuário. Os ataques incluem a injeção de comandos para execução remota de código, coleta de informações sensíveis e exploração de bancos de dados. A descoberta coincide com uma série de ataques à cadeia de suprimentos no ecossistema de código aberto, levantando preocupações sobre a segurança de desenvolvedores e empresas que utilizam essas tecnologias. Os usuários que instalaram os pacotes devem considerar suas contas comprometidas e trocar todas as credenciais.

Com o aumento das ameaças digitais, usuários de iPhones antigos precisam estar atentos à segurança de seus dispositivos. À medida que as versões do iOS se tornam obsoletas, os aparelhos mais antigos se tornam alvos preferenciais para ataques, como o recente malware DarkSword, que compromete informações sensíveis através de links maliciosos. Para mitigar esses riscos, o artigo apresenta cinco passos essenciais: 1) Atualizar o iPhone para a versão mais recente disponível; 2) Verificar se o dispositivo ainda recebe atualizações de segurança; 3) Evitar clicar em links suspeitos e instalar aplicativos fora da App Store; 4) Reforçar as proteções do aparelho, como ativar a autenticação de dois fatores e o Face ID ou Touch ID; e 5) Revisar permissões de aplicativos e monitorar comportamentos estranhos. Essas medidas são cruciais para garantir a segurança dos dados e a integridade do dispositivo, especialmente em um cenário onde ataques cibernéticos estão em ascensão.

Desde meados de 2025, um ator de ameaças alinhado à China, identificado como TA416, intensificou suas atividades contra organizações governamentais e diplomáticas na Europa, após um período de dois anos com pouca atividade na região. Pesquisadores da Proofpoint relataram que as campanhas de TA416 incluem múltiplas ondas de entrega de malware e web bugs direcionadas a missões diplomáticas da União Europeia e da OTAN. O grupo tem utilizado técnicas sofisticadas, como o abuso de páginas de desafio do Cloudflare e redirecionamentos OAuth, além de atualizar frequentemente seu payload PlugX. Além disso, TA416 também tem realizado campanhas no Oriente Médio, possivelmente para coletar informações sobre o conflito entre EUA, Israel e Irã. As táticas observadas incluem o uso de arquivos de projeto C# para facilitar a entrega do malware, que é conhecido por estabelecer canais de comunicação criptografados com servidores de comando e controle. A evolução das operações cibernéticas chinesas, que se tornaram mais adaptativas e centradas na identidade, destaca a necessidade de vigilância constante por parte das organizações, especialmente aquelas que operam em setores críticos.

O mantenedor do pacote Axios, Jason Saayman, confirmou que o comprometimento da cadeia de suprimentos foi resultado de uma campanha de engenharia social altamente direcionada, orquestrada por atores de ameaças da Coreia do Norte, identificados como UNC1069. Os atacantes se apresentaram como o fundador de uma empresa legítima, criando um espaço no Slack que parecia autêntico, onde interagiram com Saayman. Durante uma reunião falsa no Microsoft Teams, ele recebeu uma mensagem de erro que o levou a baixar um trojan de acesso remoto. Com isso, os atacantes conseguiram roubar as credenciais da conta npm de Saayman e publicaram versões comprometidas do pacote Axios, que é amplamente utilizado na comunidade JavaScript, com quase 100 milhões de downloads semanais. O ataque destaca a vulnerabilidade dos mantenedores de projetos de código aberto e o potencial de impacto em larga escala, afetando usuários downstream. Saayman implementou medidas preventivas, como redefinir dispositivos e credenciais e adotar práticas recomendadas para publicações. O incidente ressalta a necessidade de vigilância constante em um ambiente de desenvolvimento cada vez mais complexo.

Pesquisadores de cibersegurança descobriram uma nova versão do malware SparkCat nas lojas de aplicativos da Apple e Google, mais de um ano após sua primeira detecção. Este trojan se disfarça em aplicativos aparentemente inofensivos, como mensageiros corporativos e serviços de entrega de alimentos, enquanto escaneia silenciosamente as galerias de fotos das vítimas em busca de frases de recuperação de carteiras de criptomoedas. A empresa russa Kaspersky identificou dois aplicativos infectados na App Store e um no Google Play, com foco em usuários de criptomoedas na Ásia. A variante para iOS se destaca por buscar frases mnemônicas em inglês, o que amplia seu alcance potencial. A versão para Android, por sua vez, apresenta várias camadas de ofuscação e busca palavras-chave em japonês, coreano e chinês. O SparkCat utiliza um modelo de reconhecimento óptico de caracteres (OCR) para extrair imagens que contêm frases de recuperação de carteiras e enviá-las a servidores controlados por atacantes. As melhorias recentes indicam que o malware está em evolução contínua, reforçando a necessidade de soluções de segurança para dispositivos móveis.

Pesquisadores de segurança da Kaspersky alertam sobre o CrystalX RAT, um novo malware como serviço (MaaS) que combina funcionalidades avançadas de espionagem com recursos de ‘prankware’. Este malware permite acesso remoto a sistemas, execução de comandos, roubo de dados e até captura de áudio e vídeo. Além disso, possui características que visam perturbar as vítimas, como alterar papéis de parede e esconder ícones da área de trabalho. O CrystalX RAT é promovido principalmente através do Telegram e YouTube, visando novatos na área de hacking. A Kaspersky observa que o malware já afetou dezenas de vítimas, principalmente na Rússia, e prevê um aumento significativo no número de afetados devido à sua campanha de marketing agressiva. O uso de engenharia social para disseminação do malware, como cracks de software e serviços premium falsos, é uma preocupação crescente. O impacto potencial inclui não apenas o roubo de credenciais, mas também o uso de dados para chantagem, o que representa uma ameaça significativa à privacidade e segurança dos usuários.

Recentemente, o vazamento do código-fonte do Claude Code, uma ferramenta de IA da Anthropic, expôs 513 mil linhas de código TypeScript, permitindo que cibercriminosos explorassem essa brecha. O incidente ocorreu em 31 de março de 2023, quando um mapa de origem JavaScript foi acidentalmente incluído em um pacote npm. Após a divulgação, o código foi rapidamente baixado e publicado em repositórios do GitHub, onde um usuário malicioso criou um repositório falso que prometia acesso a recursos ‘desbloqueados’ do Claude Code. Esse repositório, otimizado para mecanismos de busca, atraiu usuários curiosos, que acabaram baixando um arquivo malicioso contendo um executável que instala o malware Vidar, um ladrão de informações, junto com a ferramenta GhostSocks. Os pesquisadores da Zscaler alertam que o repositório malicioso é atualizado frequentemente, o que pode indicar a adição de novos payloads. Apesar das defesas do GitHub, a plataforma tem sido um canal recorrente para a distribuição de malware disfarçado. O incidente destaca a necessidade de vigilância constante e de ações proativas para mitigar riscos associados a vazamentos de código e à exploração de vulnerabilidades.

Um novo malware chamado NoVoice foi descoberto em mais de 50 aplicativos disponíveis na Google Play Store, afetando aproximadamente 2,3 milhões de dispositivos Android. Este malware é particularmente perigoso, pois se instala como um rootkit altamente persistente, o que significa que uma simples redefinição de fábrica não é suficiente para removê-lo. Os pesquisadores da McAfee identificaram que o NoVoice explora vulnerabilidades antigas no kernel do Android e em drivers de GPU, visando dispositivos que não recebem atualizações regulares.

Desde novembro de 2023, uma operação de cibersegurança chamada REF1695 tem explorado instaladores falsos para implantar trojans de acesso remoto (RATs) e mineradores de criptomoedas. Os pesquisadores da Elastic Security Labs identificaram que, além do cryptomining, os atacantes monetizam as infecções através de fraudes CPA (Custo Por Ação), redirecionando as vítimas para páginas de bloqueio de conteúdo sob a aparência de registro de software. As versões mais recentes da campanha também entregaram um implante .NET inédito, denominado CNB Bot, que utiliza um arquivo ISO como vetor de infecção. Este loader invoca o PowerShell para configurar exclusões amplas no Microsoft Defender, permitindo que o CNB Bot opere em segundo plano, enquanto o usuário é enganado por uma mensagem de erro. O CNB Bot é capaz de baixar e executar cargas adicionais, atualizar-se e realizar ações de limpeza para ocultar suas atividades. A operação já acumulou 27,88 XMR (aproximadamente R$ 9.392) em quatro carteiras rastreadas, evidenciando o retorno financeiro consistente para os atacantes. Além disso, a infraestrutura de comando e controle (C2) dos atacantes abusa do GitHub como uma rede de entrega de conteúdo, hospedando binários em contas confiáveis, o que dificulta a detecção.

O WhatsApp, plataforma de mensagens pertencente ao Meta, notificou cerca de 200 usuários que foram enganados a instalar uma versão falsa de seu aplicativo para iOS, que estava infectada com spyware. A maioria dos alvos está localizada na Itália, onde os atacantes utilizaram táticas de engenharia social para induzir os usuários a baixar o software malicioso que imitava o WhatsApp. Todos os usuários afetados foram desconectados e orientados a desinstalar os aplicativos comprometidos, além de baixar a versão oficial do WhatsApp. A empresa também está tomando medidas legais contra a Asigint, uma subsidiária italiana da empresa de spyware SIO, que supostamente criou a versão falsa do aplicativo. Este incidente segue uma série de alertas anteriores do WhatsApp sobre spyware, incluindo um caso em que 90 usuários foram notificados sobre a ameaça de um spyware chamado Graphite. A crescente utilização de ferramentas de vigilância na Itália e na Grécia levanta preocupações sobre a privacidade e a segurança dos dados dos cidadãos, especialmente em um contexto onde o uso de tecnologia de espionagem por governos está sob escrutínio.

O CrystalRAT, um novo malware como serviço (MaaS), está sendo promovido no Telegram e no YouTube, oferecendo funcionalidades como acesso remoto, roubo de dados, keylogging e sequestro de área de transferência. Lançado em janeiro, o CrystalRAT apresenta um modelo de assinatura em camadas e possui semelhanças com o WebRAT, incluindo design de painel e código baseado em Go. O malware conta com um painel de controle amigável e uma ferramenta de construção automatizada que permite personalizações, como geoblocking e recursos anti-análise. Os payloads gerados são comprimidos e criptografados para proteção. O componente de roubo de informações do CrystalRAT, que está temporariamente desativado para atualização, visa navegadores baseados em Chromium e coleta dados de aplicativos de desktop como Steam e Discord. Além disso, o malware possui um módulo de acesso remoto que permite executar comandos, transferir arquivos e controlar a máquina em tempo real. O CrystalRAT também inclui funcionalidades de prankware, como alterar a imagem de fundo da área de trabalho e forçar o desligamento do sistema, o que pode distrair as vítimas enquanto os módulos de roubo de dados operam em segundo plano. Para mitigar o risco de infecções, recomenda-se cautela ao interagir com conteúdos online e evitar downloads de fontes não confiáveis.

Um novo malware para Android, chamado NoVoice, foi descoberto na Google Play, oculto em mais de 50 aplicativos que foram baixados mais de 2,3 milhões de vezes. Os aplicativos infectados incluíam ferramentas de limpeza, galerias de imagens e jogos, e não exigiam permissões suspeitas. Após o lançamento de um aplicativo infectado, o malware tentava obter acesso root ao dispositivo explorando vulnerabilidades antigas do Android que foram corrigidas entre 2016 e 2021. Pesquisadores da McAfee identificaram a operação NoVoice, que compartilha semelhanças com o trojan Android Triada. O malware oculta componentes maliciosos em pacotes legítimos do Facebook e utiliza esteganografia para extrair um payload criptografado. Ele evita infectar dispositivos em regiões específicas, como Beijing e Shenzhen, e realiza verificações para detectar emuladores e VPNs. Após a infecção, o malware coleta informações do dispositivo e se conecta a um servidor de comando e controle (C2) para baixar componentes adicionais. O NoVoice é capaz de roubar dados do WhatsApp, permitindo que atacantes clonar sessões de usuários. Embora os aplicativos maliciosos tenham sido removidos da Google Play, usuários que os instalaram devem considerar seus dispositivos comprometidos. Atualizar para dispositivos com patches de segurança mais recentes é recomendado para mitigar essa ameaça.

A Microsoft alertou sobre uma nova campanha de cibersegurança que utiliza mensagens do WhatsApp para disseminar arquivos maliciosos em formato de Visual Basic Script (VBS). Iniciada no final de fevereiro de 2026, essa atividade emprega uma cadeia de infecção em múltiplas etapas, visando estabelecer persistência e permitir acesso remoto aos sistemas das vítimas. Os atacantes distribuem arquivos VBS que, ao serem executados, criam pastas ocultas e instalam versões renomeadas de utilitários legítimos do Windows, como ‘curl.exe’ e ‘bitsadmin.exe’, camuflando suas ações. Após obter acesso inicial, os invasores tentam escalar privilégios e instalar pacotes MSI maliciosos, utilizando serviços de nuvem confiáveis como AWS e Tencent Cloud para hospedar os arquivos maliciosos. A campanha combina engenharia social e técnicas de stealth, tornando-se uma ameaça significativa, pois permite que os atacantes manipulem configurações de controle de conta de usuário (UAC) e mantenham controle sobre os sistemas comprometidos. A utilização de ferramentas legítimas e plataformas confiáveis aumenta a eficácia dos ataques, destacando a necessidade de vigilância constante e medidas de proteção adequadas.

Recentemente, hackers invadiram a conta npm do pacote Axios, um cliente HTTP para JavaScript com mais de 100 milhões de downloads semanais, para disseminar trojans de acesso remoto (RATs) em sistemas Linux, Windows e macOS. De acordo com relatórios de empresas de segurança, como Endor Labs e Socket, duas versões maliciosas do pacote foram publicadas no registro npm: axios@1.14.1 e axios@0.30.4. A invasão ocorreu após a violação da conta de Jason Saayman, o principal mantenedor do Axios, e as versões maliciosas foram publicadas sem a origem automatizada do OpenID Connect, o que deveria ter acionado um alerta. O ataque foi cuidadosamente planejado, com a injeção de uma dependência maliciosa chamada plain-crypto-js@^4.2.1 no arquivo package.json, que executa um script pós-instalação para baixar e executar um payload específico para cada sistema operacional. O impacto potencial é significativo, dado que o Axios possui cerca de 400 milhões de downloads mensais. Os usuários são aconselhados a reverter para as versões limpas axios@1.14.0 e axios@0.30.3 e a tomar medidas de segurança adicionais, como a rotação de credenciais.

Uma campanha ativa de ciberataques tem como alvo usuários de língua chinesa, utilizando domínios com erros de digitação que imitam marcas de software confiáveis para disseminar um novo trojan de acesso remoto chamado AtlasCross RAT. A empresa de cibersegurança Hexastrike identificou que a operação abrange clientes de VPN, mensageiros criptografados, ferramentas de videoconferência e aplicativos de e-commerce, com onze domínios confirmados que se passam por marcas como Surfshark VPN, Signal e Microsoft Teams. A campanha é atribuída ao grupo de cibercrime chinês conhecido como Silver Fox, que evoluiu suas táticas a partir de variantes do Gh0st RAT. Os atacantes criam sites falsos para enganar usuários a baixarem arquivos ZIP que contêm instaladores trojanizados. O AtlasCross RAT possui capacidades avançadas, incluindo injeção de DLL em WeChat e manipulação de sessões RDP, além de técnicas de evasão de segurança. A descoberta deste malware destaca a crescente sofisticação das ameaças cibernéticas, com implicações significativas para a segurança de dados e a conformidade com a LGPD no Brasil.