Api

Um novo estudo da equipe de pesquisa da Intruder revelou que mais de 42.000 segredos, incluindo chaves de API e credenciais, estão expostos em aplicações JavaScript, representando um risco significativo para a segurança das organizações. A pesquisa analisou 5 milhões de aplicações e identificou 334 tipos diferentes de segredos, muitos dos quais eram credenciais ativas e críticas, que poderiam permitir acesso irrestrito a repositórios de código e serviços essenciais. Os scanners tradicionais falham em detectar esses segredos, pois não conseguem inspecionar adequadamente o código JavaScript que é incorporado durante o processo de construção. A análise revelou que tokens de plataformas como GitHub e GitLab, além de chaves de API de ferramentas de gerenciamento de projetos, estavam entre as exposições mais preocupantes. A pesquisa destaca a necessidade urgente de métodos de detecção que incluam a varredura de aplicações de página única (SPA) para evitar que segredos cheguem à produção. Com o aumento da automação e do uso de código gerado por IA, a situação pode se agravar, tornando essencial que as organizações adotem medidas proativas para proteger suas credenciais.

A Microsoft anunciou que a API Exchange Web Services (EWS) para o Exchange Online será descontinuada em abril de 2027, após quase 20 anos de operação. A partir de 1º de outubro de 2026, o acesso ao EWS será bloqueado por padrão, embora administradores possam manter temporariamente o acesso por meio de uma lista de permissões. A desativação final ocorrerá em 1º de abril de 2027, sem exceções. A Microsoft recomenda que os desenvolvedores migrem para a Microsoft Graph API, que já possui paridade de recursos com o EWS em muitos cenários. É importante ressaltar que a desativação afetará apenas ambientes do Microsoft 365 e Exchange Online, enquanto o EWS continuará funcionando em instalações locais do Exchange Server. A Microsoft também realizará testes temporários para identificar dependências ocultas antes do desligamento final e manterá os administradores informados por meio de notificações mensais. Essa mudança reflete a necessidade de alinhar as APIs com os requisitos modernos de segurança e confiabilidade.

Uma análise abrangente realizada por pesquisadores da Flare em 2025 revelou que mais de 10.000 imagens de contêineres no Docker Hub continham segredos expostos, como chaves de API, tokens de nuvem e credenciais de CI/CD. Esses vazamentos, muitas vezes não intencionais, ocorrem em repositórios públicos e representam falhas estruturais na forma como o software moderno é construído e operado. Um exemplo alarmante foi o vazamento de credenciais que comprometeu 165 organizações durante o incidente da Snowflake em 2024, onde credenciais antigas foram utilizadas por atacantes para acessar dados sensíveis. Outro caso notável foi a exposição de um token do GitHub da Home Depot, que permaneceu ativo por mais de um ano, permitindo acesso a sistemas internos críticos. Esses incidentes destacam a necessidade urgente de monitoramento e governança de identidades não humanas (NHIs), que são essenciais para a automação e operação de serviços em nuvem. A falta de gestão adequada dessas credenciais pode resultar em acessos não autorizados e danos significativos às organizações. Portanto, a segurança das NHIs deve ser uma prioridade nas estratégias de cibersegurança das empresas.

Uma campanha maliciosa, chamada ‘Bizarre Bazaar’, está visando endpoints de Modelos de Linguagem de Grande Escala (LLMs) expostos, com o objetivo de comercializar acesso não autorizado à infraestrutura de IA. Pesquisadores da Pillar Security registraram mais de 35.000 sessões de ataque em 40 dias, revelando uma operação de cibercrime em larga escala. Os atacantes exploram configurações inadequadas, como endpoints não autenticados, para roubar recursos computacionais para mineração de criptomoedas, revender acesso a APIs em mercados darknet e exfiltrar dados de conversas. Os vetores de ataque comuns incluem configurações de LLM auto-hospedadas e APIs de IA expostas. A operação é atribuída a um ator específico que utiliza os pseudônimos “Hecker”, “Sakuya” e “LiveGamer101”. Além disso, a Pillar Security está monitorando uma campanha separada focada em reconhecimento de endpoints de Model Context Protocol (MCP), que pode oferecer oportunidades adicionais de movimento lateral. A campanha ‘Bizarre Bazaar’ continua ativa, e o serviço associado, SilverInc, ainda está operacional.

Pesquisadores de cibersegurança revelaram uma extensão maliciosa do Google Chrome, chamada MEXC API Automator, que tem a capacidade de roubar chaves API associadas à MEXC, uma exchange de criptomoedas centralizada disponível em mais de 170 países. Publicada em setembro de 2025, a extensão, que já conta com 29 downloads, se apresenta como uma ferramenta para automatizar operações de trading na plataforma. Ao ser instalada, ela cria programaticamente novas chaves API, habilita permissões de retirada e oculta essas permissões na interface do usuário. As chaves geradas são então enviadas para um bot do Telegram controlado pelo atacante.

Pesquisadores de cibersegurança revelaram um novo pacote malicioso no repositório npm, chamado ’lotusbail’, que se disfarça como uma API funcional do WhatsApp. Desde sua publicação em maio de 2025, o pacote foi baixado mais de 56.000 vezes, com 711 downloads apenas na última semana. O malware é capaz de interceptar mensagens, roubar credenciais do WhatsApp e instalar um backdoor persistente no dispositivo da vítima. Ele captura tokens de autenticação, histórico de mensagens, listas de contatos e arquivos de mídia, enviando esses dados para um servidor controlado pelo atacante de forma criptografada. Além disso, o pacote permite que o dispositivo do invasor se conecte à conta do WhatsApp da vítima, garantindo acesso contínuo mesmo após a desinstalação do pacote. A técnica utilizada envolve um wrapper malicioso de WebSocket que redireciona informações de autenticação e mensagens. O ’lotusbail’ também possui funcionalidades anti-debugging que dificultam a detecção. Este incidente destaca a crescente sofisticação dos ataques à cadeia de suprimentos, onde pacotes maliciosos se disfarçam como ferramentas legítimas, representando um risco significativo para desenvolvedores e usuários do WhatsApp.

Pesquisadores da Equipe de Detecção e Resposta (DART) da Microsoft identificaram um novo malware chamado SesameOp, que utiliza a API Assistants da OpenAI como centro de comando e controle. Este malware foi detectado após uma série de ataques em julho de 2025 e é capaz de permanecer ativo em sistemas invadidos por meses, utilizando serviços em nuvem para comunicação. Os hackers enviam comandos criptografados à API, que os repassa ao malware, que por sua vez criptografa os dados roubados e os envia de volta. O SesameOp se destaca por não explorar vulnerabilidades da plataforma da OpenAI, mas sim por abusar de funcionalidades existentes. O malware é implementado através de um loader ofuscado e backdoor baseado em .NET, utilizando ferramentas do Microsoft Visual Studio para injeção. A Microsoft e a OpenAI estão colaborando nas investigações, que já resultaram na desativação de contas e chaves de API associadas aos cibercriminosos. Para mitigar riscos, recomenda-se que empresas auditem seus registros de firewall e monitorem atividades não autorizadas.

Pesquisadores de segurança da GitGuardian identificaram uma vulnerabilidade crítica de travessia de caminho na plataforma Smithery.ai, que hospeda servidores do Modelo de Protocolo de Contexto (MCP). Essa falha expôs mais de 3.000 servidores de IA e comprometeu milhares de chaves de API. A vulnerabilidade foi causada por um erro de configuração no processo de construção do servidor da Smithery, permitindo que atacantes especificassem locais arbitrários do sistema de arquivos como contexto de construção do Docker. Ao explorar essa falha, os pesquisadores conseguiram acessar arquivos sensíveis, incluindo credenciais de autenticação do Docker, que estavam severamente sobreprivilegiadas. Isso possibilitou a execução de código arbitrário em servidores comprometidos e a captura de tráfego de rede, expondo chaves de API e tokens de autenticação de milhares de clientes. A vulnerabilidade representa um cenário clássico de ataque à cadeia de suprimentos, onde a exploração de uma única plataforma confiável pode resultar em violações que afetam diversas organizações. A Smithery respondeu rapidamente à divulgação da vulnerabilidade, implementando correções em menos de 48 horas, sem evidências de exploração antes do patch.

Em 2025, o uso de aplicações de software como serviço (SaaS) é comum entre as empresas, mas a segurança dessas plataformas depende de pequenos dados chamados tokens, como tokens de acesso OAuth e chaves de API. O roubo de tokens tem se mostrado uma das principais causas de violações de segurança em ambientes SaaS, permitindo que cibercriminosos acessem sistemas sem a necessidade de senhas, mesmo contornando medidas como a autenticação multifator (MFA). Incidentes recentes, como os ataques à Slack e CircleCI, evidenciam como um único token comprometido pode resultar em acessos não autorizados e vazamentos de dados. A proliferação de SaaS, muitas vezes chamada de ‘SaaS sprawl’, contribui para a dificuldade em monitorar e gerenciar essas integrações, criando uma superfície de ataque não governada. Para mitigar esses riscos, as empresas devem adotar práticas de higiene de tokens, como manter um inventário de aplicativos OAuth, impor processos de aprovação para novas integrações e monitorar a atividade dos tokens. A falta de visibilidade e controle sobre tokens e integrações pode levar a consequências graves, tornando essencial que as equipes de segurança implementem medidas proativas para proteger suas infraestruturas SaaS.

A Adobe emitiu um alerta sobre uma vulnerabilidade crítica, identificada como CVE-2025-54236, que afeta suas plataformas Adobe Commerce e Magento Open Source. Com uma pontuação CVSS de 9.1, a falha é classificada como um problema de validação inadequada de entrada, permitindo que atacantes possam assumir o controle de contas de clientes através da API REST do Commerce. A vulnerabilidade impacta diversas versões do Adobe Commerce e Magento, incluindo versões anteriores a 2.4.9-alpha2 e 2.4.8-p2, entre outras. Embora a Adobe não tenha conhecimento de explorações ativas, a empresa lançou um hotfix e implementou regras de firewall de aplicação web (WAF) para proteger os ambientes contra tentativas de exploração. A empresa de segurança Sansec comparou essa vulnerabilidade a outras falhas significativas na história do Magento, como o Shoplift e o CosmicSting. Além disso, a Adobe também corrigiu uma vulnerabilidade crítica no ColdFusion, que poderia permitir gravações arbitrárias no sistema de arquivos. É essencial que os comerciantes que utilizam essas plataformas tomem medidas imediatas para mitigar os riscos associados a essa vulnerabilidade.

A Salesloft confirmou um vazamento de dados relacionado ao seu aplicativo Drift, que teve início com a violação de sua conta no GitHub. A investigação conduzida pela Mandiant, subsidiária do Google, revelou que o ator de ameaças identificado como UNC6395 teve acesso à conta do GitHub da Salesloft entre março e junho de 2025. Durante esse período, o invasor conseguiu baixar conteúdos de múltiplos repositórios, adicionar um usuário convidado e estabelecer fluxos de trabalho. Além disso, foram realizadas atividades de reconhecimento nas aplicações Salesloft e Drift. Embora não haja evidências de atividades além do reconhecimento, os atacantes conseguiram acessar o ambiente da Amazon Web Services (AWS) do Drift e obter tokens OAuth, que foram utilizados para acessar dados de integrações tecnológicas de clientes do Drift. Em resposta ao incidente, a Salesloft isolou a infraestrutura do Drift e tomou medidas de segurança, como a rotação de credenciais e a melhoria do controle de segmentação entre as aplicações. A Salesforce, que havia suspenso temporariamente a integração com a Salesloft, reestabeleceu a conexão, exceto para o aplicativo Drift, que permanecerá desativado até nova ordem.

Pesquisadores descobriram vulnerabilidades críticas nos robôs de serviço da Pudu Robotics, como BellaBot e KettyBot, que permitem que atacantes assumam o controle desses dispositivos em restaurantes, hospitais e hotéis. A falha está na autenticação das APIs de gerenciamento dos robôs, que não verificam se o portador do token de autenticação realmente possui autorização para controlar um robô específico. Isso possibilita que invasores criem ou cancelem tarefas, alterem configurações e até redirecionem robôs para locais não autorizados. Embora algumas ações possam parecer brincadeiras, como redirecionar um robô para entregar comida errada, as implicações em ambientes críticos, como hospitais, podem ser graves, colocando em risco a segurança dos pacientes. Após ser notificada sobre as falhas, a Pudu Robotics demorou a responder, o que levanta preocupações sobre a cultura de indiferença em relação à segurança cibernética na empresa. Especialistas alertam que é essencial implementar protocolos de segurança robustos para proteger a integridade dos serviços prestados por esses robôs.

Em 2025, as APIs se tornaram fundamentais para o funcionamento de aplicações modernas, abrangendo desde serviços bancários móveis até arquiteturas de microserviços. No entanto, essa popularidade também as torna alvos preferenciais para ataques cibernéticos, com violações relacionadas a APIs se destacando como uma das principais causas de exfiltração de dados. O artigo destaca a importância de um teste de segurança de API robusto, que vai além das soluções tradicionais, como firewalls de aplicativos web (WAFs) e scanners DAST, que muitas vezes falham em detectar ataques específicos de API, como a autorização de nível de objeto quebrada (BOLA) e abusos de lógica de negócios. As melhores empresas de teste de segurança de API em 2025 são aquelas que oferecem uma abordagem abrangente, cobrindo todo o ciclo de vida da segurança, desde o design até a execução. O artigo analisa empresas como Salt Security, Traceable AI e Wallarm, que se destacam por suas capacidades de descoberta automática de APIs, proteção em tempo real e uso de inteligência artificial para detectar ameaças sofisticadas. A segurança de APIs não é mais um luxo, mas uma necessidade crítica para prevenir violações e manter uma postura de segurança forte.

Uma vulnerabilidade crítica na arquitetura de Conexão de API do Microsoft Azure permitiu a completa exploração de recursos em múltiplos tenants na nuvem. A falha, descoberta por um pesquisador, foi corrigida pela Microsoft em uma semana após sua divulgação. O problema estava relacionado à infraestrutura compartilhada do Azure, que processa trocas de tokens de autenticação entre aplicações e serviços de backend. A vulnerabilidade permitia que atacantes acessassem serviços conectados, como Azure Key Vaults e bancos de dados, em diferentes tenants. O exploit utilizou um endpoint não documentado chamado DynamicInvoke, que permitia chamadas arbitrárias em Conexões de API, possibilitando acesso administrativo a serviços conectados globalmente. A falha foi classificada como uma séria ameaça, especialmente para organizações que armazenam credenciais sensíveis no Azure Key Vault. A descoberta ressalta os riscos de segurança em arquiteturas de nuvem compartilhadas, onde sistemas multi-tenant podem criar vetores de ataque inesperados.