Hackers exploram vulnerabilidade crítica em Marimo para implantar malware

BR Defense Center (By River de Morais e Silva)
malware

Hackers estão aproveitando uma vulnerabilidade crítica no notebook Python reativo Marimo para implantar uma nova variante do malware NKAbuse, hospedada na plataforma Hugging Face Spaces. As primeiras tentativas de exploração da falha de execução remota de código (CVE-2026-39987) começaram na semana passada, logo após a divulgação pública de detalhes técnicos. Pesquisadores da Sysdig monitoraram a atividade e identificaram uma campanha que começou em 12 de abril, utilizando a plataforma Hugging Face para demonstrar aplicações de inteligência artificial.

Os atacantes criaram um espaço chamado vsccode-modetx, que contém um script dropper e um binário de malware disfarçado de uma ferramenta legítima de agente Kubernetes. Após explorar a vulnerabilidade, o atacante executou um comando para baixar e executar o script, que instala o malware localmente e garante persistência no sistema. A nova variante do NKAbuse atua como um trojan de acesso remoto, permitindo que comandos sejam executados no sistema infectado.

Além disso, outros ataques relacionados à mesma vulnerabilidade foram observados, incluindo tentativas de extração de credenciais de banco de dados e exploração de servidores Redis. A Sysdig recomenda que os usuários atualizem para a versão 0.23.0 ou superior imediatamente, ou bloqueiem o acesso externo ao endpoint vulnerável.

Fonte: https://www.bleepingcomputer.com/news/security/hackers-exploit-marimo-flaw-to-deploy-nkabuse-malware-from-hugging-face/

🚨
BR DEFENSE CENTER: SECURITY BRIEFING
16/04/2026 • Risco: CRITICO
MALWARE

Hackers exploram vulnerabilidade crítica em Marimo para implantar malware

RESUMO EXECUTIVO
A exploração da vulnerabilidade CVE-2026-39987 representa um risco significativo para empresas que utilizam a plataforma Marimo, com a possibilidade de roubo de credenciais e dados sensíveis. A Sysdig recomenda ações imediatas para mitigar os riscos associados a essa vulnerabilidade.

💼 IMPACTO DE NEGÓCIO

Financeiro
Possíveis perdas financeiras devido a roubo de credenciais e dados sensíveis.
Operacional
Execução de comandos remotos e extração de dados sensíveis.
Setores vulneráveis
['Tecnologia', 'Desenvolvimento de Software', 'Inteligência Artificial']

📊 INDICADORES CHAVE

Menos de 10 horas após a divulgação dos detalhes técnicos, os ataques começaram. Indicador
15 técnicas de reverse-shell foram tentadas por um operador na Alemanha. Contexto BR
Extração de dados de 16 bancos de dados em um servidor Redis. Urgência

⚡ AÇÕES IMEDIATAS

1 Verificar se a versão do Marimo utilizada é a 0.23.0 ou superior.
2 Bloquear o acesso externo ao endpoint '/terminal/ws' via firewall.
3 Monitorar atividades suspeitas e tentativas de acesso não autorizado aos sistemas.

🇧🇷 RELEVÂNCIA BRASIL

CISOs devem se preocupar com a exploração ativa de uma vulnerabilidade crítica que pode comprometer sistemas e dados sensíveis.

⚖️ COMPLIANCE

Implicações legais e de compliance com a LGPD em caso de vazamento de dados.
Status
ativo
Verificação
alta
BR Defense Center

Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).