Pesquisadores da Wiz descobriram um conjunto de vulnerabilidades no Triton Inference Server da NVIDIA, uma plataforma de código aberto para execução de modelos de inteligência artificial em larga escala. As falhas, identificadas como CVE-2025-23319, CVE-2025-23320 e CVE-2025-23334, afetam o backend Python e podem ser exploradas para execução remota de código, divulgação de informações e negação de serviço. A exploração bem-sucedida dessas vulnerabilidades pode resultar no comprometimento total do sistema sem a necessidade de credenciais.

Ataques cibernéticos devastadores muitas vezes não dependem de força bruta, mas sim de intrusões furtivas que passam despercebidas até muito tempo depois. Entre os mais insidiosos estão os ataques man-in-the-middle (MITM), onde criminosos exploram fraquezas em protocolos de comunicação para se posicionarem silenciosamente entre duas partes desavisadas. Em um ataque MITM, um ator malicioso intercepta comunicações entre duas partes, como um usuário e um aplicativo web, para roubar informações sensíveis. Essas informações roubadas frequentemente alimentam crimes adicionais, incluindo compras não autorizadas e roubo de identidade.

Pesquisadores de cibersegurança destacaram uma nova onda de campanhas que distribuem um ladrão de informações baseado em Python chamado PXA Stealer. A atividade maliciosa é atribuída a cibercriminosos de língua vietnamita que monetizam os dados roubados através de um ecossistema subterrâneo baseado em assinaturas, utilizando APIs do Telegram para revenda e reutilização automatizadas. Esta descoberta representa um avanço nas técnicas de comércio, incorporando técnicas anti-análise mais sofisticadas e um pipeline de comando e controle reforçado que dificulta a triagem e tenta atrasar a detecção. As campanhas infectaram mais de 4.000 endereços IP únicos em 62 países, capturando mais de 200.000 senhas únicas, centenas de registros de cartões de crédito e mais de 4 milhões de cookies de navegador. O PXA Stealer foi documentado pela primeira vez pela Cisco Talos em novembro de 2024, sendo atribuído a ataques contra entidades governamentais e educacionais na Europa e Ásia. Em 2025, as campanhas evoluíram taticamente, com os atores da ameaça empregando técnicas de carregamento lateral de DLL e camadas de encenação elaboradas para evitar a detecção. O malware utiliza o Telegram como canal de exfiltração, alimentando plataformas criminosas como o Sherlock, onde atores de ameaças podem comprar informações para roubo de criptomoedas ou infiltração em organizações.