Credenciais

Um ataque à cadeia de suprimentos visando os pacotes de localização Laravel Lang expôs desenvolvedores a uma sofisticada campanha de malware que rouba credenciais. Os atacantes abusaram de tags de versão do GitHub para distribuir código malicioso através de pacotes do Composer. As empresas de segurança StepSecurity, Aikido Security e Socket alertaram sobre a violação, que afetou quatro repositórios da organização Laravel Lang. Os pacotes comprometidos incluem laravel-lang/lang, laravel-lang/http-statuses, laravel-lang/attributes e possivelmente laravel-lang/actions. Os atacantes reescreveram 233 versões em três repositórios, com Socket indicando que cerca de 700 versões históricas podem ter sido afetadas. O ataque se destacou por não modificar o código-fonte original, mas sim por redirecionar tags existentes para um commit malicioso. Quando os desenvolvedores instalavam os pacotes, o código malicioso era baixado disfarçado de versões legítimas. O malware introduziu um arquivo chamado ‘src/helpers.php’, que atuava como um dropper, baixando um segundo payload de um servidor de controle. Este payload era um ladrão de credenciais que coletava dados sensíveis de várias plataformas, incluindo chaves de acesso à nuvem e credenciais de Git. A Aikido informou o Packagist, que rapidamente removeu as versões maliciosas e deslistou os pacotes afetados para evitar novas instalações.

Pesquisadores de cibersegurança identificaram uma nova campanha de ataque à cadeia de suprimentos que comprometeu diversos pacotes npm associados ao ecossistema @antv, parte da onda de ataques Mini Shai-Hulud. O ataque afeta pacotes vinculados à conta de mantenedor npm atool, incluindo o popular echarts-for-react, que possui cerca de 1,1 milhão de downloads semanais. A campanha resultou na publicação de 639 versões maliciosas em 323 pacotes únicos, com um foco em roubo de credenciais de mais de 20 tipos, incluindo AWS, Google Cloud e GitHub. Os dados coletados são criptografados e enviados para um domínio controlado pelos atacantes. Além disso, a campanha utiliza uma lógica de propagação que abusa de tokens npm roubados para injetar cargas maliciosas em pacotes legítimos. O grupo responsável, TeamPCP, agora liberou o código-fonte do seu framework ofensivo, permitindo que outros atores maliciosos adotem suas técnicas. Este incidente destaca a vulnerabilidade das ferramentas de desenvolvimento confiáveis e a necessidade de vigilância constante em ambientes de CI/CD.

Recentemente, três campanhas de ataque à cadeia de suprimentos atingiram plataformas populares como npm, PyPI e Docker Hub, focando no roubo de credenciais de ambientes de desenvolvedores e pipelines CI/CD. Os atacantes estão utilizando pacotes comprometidos, ferramentas de desenvolvimento vulneráveis e automação para coletar segredos como chaves de API, credenciais de nuvem e tokens. O artigo destaca que a segurança deve se concentrar não apenas em repositórios e ambientes de produção, mas também nas estações de trabalho dos desenvolvedores, que contêm informações sensíveis que podem ser exploradas. A velocidade dos ataques modernos, potencializada por ferramentas de automação e inteligência artificial, exige que as equipes de segurança reavaliem suas estratégias. Perguntas cruciais surgem, como a capacidade de identificar e limitar o uso de credenciais a partir das estações de trabalho dos desenvolvedores, bem como a detecção de materiais sensíveis antes que sejam expostos. O artigo conclui que a proteção das estações de trabalho deve ser vista como uma fronteira crítica na cadeia de suprimentos de software.

Recentemente, hackers injetaram malware que rouba credenciais em versões do pacote node-ipc, uma ferramenta popular para comunicação entre processos no Node.js. Este ataque de cadeia de suprimentos, que afeta o repositório npm, foi detectado por empresas de segurança como Socket e Ox Security, que identificaram três versões maliciosas: node-ipc@9.1.6, node-ipc@9.2.3 e node-ipc@12.0.1. O malware, que se esconde no ponto de entrada CommonJS do pacote, é capaz de coletar informações sensíveis, como credenciais de serviços em nuvem (AWS, Azure, GCP), chaves SSH, tokens de GitHub e arquivos .env. A exfiltração de dados é realizada através de consultas DNS TXT, utilizando um domínio falso para disfarçar o tráfego. O ataque foi atribuído a um ator externo que comprometeu a conta de um mantenedor inativo. Desenvolvedores afetados devem remover as versões comprometidas, rotacionar credenciais expostas e inspecionar arquivos de bloqueio e caches do npm.

Uma nova campanha de supply-chain chamada Shai-Hulud comprometeu centenas de pacotes nas plataformas npm e PyPI, visando roubar credenciais de desenvolvedores. O ataque, atribuído ao grupo de ameaças TeamPCP, começou com pacotes da TanStack e Mistral AI, mas rapidamente se espalhou para projetos populares como Guardrails AI e UiPath. Os atacantes utilizaram tokens OpenID Connect (OIDC) válidos para publicar versões maliciosas de pacotes, que aparentavam ter origem legítima devido a atestações de proveniência. Entre os pacotes comprometidos estão o Bitwarden CLI e pacotes oficiais da SAP. A última onda de ataques ocorreu recentemente, com a publicação de pacotes infectados na namespace TanStack no npm. Os atacantes exploraram vulnerabilidades em workflows do GitHub, resultando na publicação de 84 versões maliciosas em 42 pacotes da TanStack. O malware é projetado para roubar segredos de desenvolvedores, incluindo tokens do GitHub Actions, credenciais do AWS e tokens do HashiCorp Vault. Para mitigar os riscos, especialistas recomendam que equipes de segurança verifiquem versões afetadas, rotacionem credenciais e bloqueiem a infraestrutura de comando e controle dos atacantes.

A Microsoft emitiu um alerta sobre uma campanha de phishing em larga escala que afetou mais de 35.000 usuários em 13.000 empresas, principalmente nos Estados Unidos. Entre 14 e 16 de abril de 2026, a campanha se espalhou por 26 países, com 92% dos e-mails direcionados a organizações americanas, especialmente nos setores de saúde (19%) e serviços financeiros (18%). Os e-mails, que utilizavam templates HTML refinados e mensagens de urgência, foram projetados para parecer comunicações internas legítimas, aumentando a probabilidade de que os destinatários caíssem na armadilha. Os atacantes usaram identidades falsas e alegações de conformidade para pressionar os usuários a agir rapidamente. Além disso, os e-mails continham links que redirecionavam os usuários para páginas maliciosas após a abertura de PDFs, passando por CAPTCHAs para criar uma falsa sensação de segurança. O objetivo final era coletar credenciais do Microsoft em tempo real, contornando a autenticação multifator (MFA). Essa campanha destaca a evolução das táticas de phishing, exigindo que as empresas adotem medidas de segurança mais robustas para proteger suas informações.

Um novo ataque à cadeia de suprimentos de software comprometeu o popular pacote Python Lightning, resultando na publicação de duas versões maliciosas (2.6.2 e 2.6.3) em 30 de abril de 2026. O ataque, que é uma extensão do incidente Mini Shai-Hulud, visa roubo de credenciais. As versões maliciosas contêm um diretório oculto que executa um script Python para baixar e executar um payload JavaScript ofuscado, permitindo o roubo de credenciais, incluindo tokens do GitHub. Esses tokens são validados e utilizados para injetar um payload em até 50 branches de repositórios. Além disso, o malware modifica pacotes npm locais, aumentando o número da versão e repackaging, o que pode levar à disseminação do malware em sistemas de usuários finais. Os administradores do repositório PyPI já isolaram o projeto, e recomenda-se que os desenvolvedores removam as versões afetadas e revertam para a versão 2.6.1. A investigação sobre como a conta do GitHub do projeto foi comprometida ainda está em andamento.

O artigo de Eirik Salmi destaca a crescente preocupação com a segurança das credenciais em instituições financeiras, especialmente após a implementação do Digital Operational Resilience Act (DORA) na União Europeia. De acordo com o relatório da IBM sobre o custo de vazamentos de dados, os atacantes podem permanecer em redes por uma média de 186 dias antes de serem detectados, causando danos operacionais significativos. O DORA, que entrou em vigor em 17 de janeiro de 2025, estabelece que a segurança das credenciais é uma obrigação legal, exigindo autenticação forte e acesso com privilégios mínimos. O artigo detalha os requisitos do Artigo 9 do DORA, que inclui a implementação de políticas de autenticação robustas e a gestão de chaves criptográficas. Além disso, enfatiza a importância de ferramentas de gerenciamento de acesso privilegiado (PAM) e a necessidade de proteger não apenas as credenciais internas, mas também as de fornecedores terceirizados, como evidenciado pelo ataque à Santander em 2024. O artigo conclui que a conformidade com o DORA é crucial para a continuidade operacional e a mitigação de riscos regulatórios.

A plataforma de cibercrime ATHR está revolucionando os ataques de phishing e vishing ao permitir a coleta automatizada de credenciais através de chamadas telefônicas. Oferecida em fóruns underground por US$ 4.000 e uma comissão de 10% sobre os lucros, a ATHR é capaz de roubar dados de login de serviços populares como Google, Microsoft e Coinbase. A operação é totalmente automatizada, abrangendo desde a atração de vítimas por e-mail até a engenharia social via voz, utilizando agentes de IA. Os ataques começam com um e-mail que simula um alerta de segurança, levando a vítima a ligar para um número que conecta a um agente de voz que simula um suporte técnico. Este agente é programado para extrair um código de verificação de seis dígitos, permitindo o acesso à conta da vítima. A plataforma também oferece um painel de controle que permite aos operadores gerenciar ataques em tempo real, reduzindo a necessidade de uma equipe técnica grande. Com a ascensão de plataformas como a ATHR, espera-se que ataques de vishing se tornem mais frequentes e difíceis de identificar, exigindo novas abordagens de defesa, como a modelagem do comportamento de comunicação normal dentro das organizações.

Hackers estão utilizando notificações falsas do LinkedIn, disfarçadas como alertas de emprego, para enganar usuários e obter informações sensíveis de login. Pesquisas da Cofense revelam que esses ataques se aproveitam da urgência e curiosidade dos destinatários, levando-os a clicar em links maliciosos. Os e-mails fraudulentos frequentemente imitam comunicados de recrutadores de empresas respeitáveis, utilizando logotipos e formatações convincentes. Domínios como ‘inedin[.]digital’ são criados para parecerem legítimos, aumentando a confiança dos usuários. Além disso, os atacantes personalizam as mensagens com dados pessoais disponíveis publicamente, como endereços residenciais, para aumentar a credibilidade. A análise rápida desses ataques é crucial, pois atrasos podem resultar em credenciais comprometidas. Especialistas recomendam que os usuários verifiquem a autenticidade das notificações do LinkedIn e evitem clicar em links suspeitos. A implementação de softwares antivírus atualizados e a verificação cuidadosa de URLs são medidas essenciais para proteger contra esses ataques.

Em março de 2026, um ataque à cadeia de suprimentos realizado pelo grupo TeamPCP comprometeu pacotes da biblioteca de desenvolvimento de IA LiteLLM, resultando em uma operação sistemática de coleta de credenciais a partir de estações de trabalho de desenvolvedores. O malware, que foi injetado nas versões 1.82.7 e 1.82.8 do LiteLLM disponíveis no PyPI, ativou-se quando os desenvolvedores instalavam ou atualizavam o pacote, coletando chaves SSH, credenciais de nuvem e outras informações sensíveis. Apesar da remoção rápida dos pacotes maliciosos, a análise da GitGuardian revelou que 1.705 pacotes do PyPI estavam configurados para puxar as versões comprometidas como dependências, expondo ainda mais sistemas a riscos.

Uma operação de grande escala de coleta de credenciais foi identificada, utilizando a vulnerabilidade React2Shell como vetor inicial para roubar credenciais de banco de dados, chaves privadas SSH, segredos da Amazon Web Services (AWS), histórico de comandos de shell, chaves da API do Stripe e tokens do GitHub. A Cisco Talos atribuiu essa operação a um grupo de ameaças conhecido como UAT-10608, que comprometeu pelo menos 766 hosts em diversas regiões geográficas e provedores de nuvem. Após o comprometimento, o grupo utiliza scripts automatizados para extrair e exfiltrar credenciais, que são então enviadas para um servidor de comando e controle (C2) que possui uma interface gráfica chamada ‘NEXUS Listener’. Essa interface permite que os operadores visualizem as informações roubadas e realizem análises estatísticas sobre as credenciais coletadas. A campanha visa especificamente aplicações Next.js vulneráveis à falha crítica CVE-2025-55182, que pode resultar em execução remota de código. A amplitude do conjunto de vítimas sugere um padrão de ataque automatizado, utilizando serviços como Shodan para identificar implantações vulneráveis. As organizações são aconselhadas a auditar seus ambientes e implementar práticas de segurança rigorosas para mitigar esses riscos.

Um novo grupo de ameaças cibernéticas, identificado como CL-UNK-1068, tem atacado organizações de alto valor na Ásia, incluindo setores de aviação, energia, governo e tecnologia. A Palo Alto Networks atribui a atividade a um ator de ameaças chinês, com foco em espionagem cibernética. Os ataques utilizam um conjunto diversificado de ferramentas, incluindo malware personalizado e utilitários de código aberto, visando ambientes Windows e Linux. Técnicas como o uso de shells web e a coleta de dados sensíveis, como senhas e arquivos de configuração, foram observadas. Os atacantes também utilizam métodos inovadores para exfiltrar dados, como a codificação Base64 de arquivos, evitando o upload direto. A análise sugere que, apesar do foco em roubo de credenciais e dados sensíveis, não se pode descartar intenções criminosas. A operação é considerada de médio a alto risco, dada a natureza crítica dos setores atacados e a possibilidade de impactos significativos em conformidade com a LGPD.

O grupo de ameaças motivadas financeiramente conhecido como “Diesel Vortex” está realizando ataques de phishing para roubar credenciais de operadores de frete e logística nos EUA e na Europa, utilizando 52 domínios. Desde setembro de 2025, a campanha já resultou no roubo de 1.649 credenciais únicas de plataformas essenciais para a indústria de frete, como DAT Truckstop e Penske Logistics. A análise da plataforma Have I Been Squatted revelou que o grupo opera com uma infraestrutura de phishing dedicada, focando em plataformas de alta transação que não são prioritárias em programas de segurança empresarial. Os ataques envolvem o envio de e-mails de phishing utilizando técnicas como homoglifos cirílicos para evitar filtros de segurança e a criação de páginas de phishing que imitam perfeitamente os sites legítimos. As operações do Diesel Vortex foram parcialmente interrompidas após uma ação coordenada entre várias empresas de segurança cibernética. A pesquisa também indicou conexões com indivíduos e empresas na Rússia, sugerindo uma rede de crime organizado mais ampla. Este incidente destaca a vulnerabilidade do setor de logística e a necessidade de medidas de segurança robustas para proteger dados sensíveis.

O relatório Red Report 2026 da Picus Labs revela uma mudança significativa nas estratégias de ataque cibernético, onde o foco não está mais em ataques destrutivos, como ransomware, mas sim em acessos prolongados e invisíveis. Embora o ransomware continue a ser uma ameaça, a pesquisa indica que a criptografia de dados para causar impacto caiu 38% em um ano, com os atacantes agora preferindo a extorsão de dados como modelo principal de monetização. Isso permite que os sistemas permaneçam operacionais enquanto os atacantes exfiltram informações sensíveis e coletam credenciais. O relatório destaca que a extração de credenciais de armazenamentos de senhas é uma das táticas mais comuns, representando quase 25% dos ataques. Além disso, 80% das técnicas mais utilizadas pelos atacantes priorizam a evasão e a persistência, com malware se comportando como parasitas digitais, operando silenciosamente e evitando detecções. A evolução do malware, que agora é capaz de evitar ambientes de análise, reflete uma lógica mais sofisticada dos atacantes, que se adaptam rapidamente às defesas. Apesar das expectativas em torno da inteligência artificial, os dados mostram que as técnicas tradicionais ainda dominam, com pouca inovação significativa no uso de IA para ataques.

Uma análise abrangente realizada por pesquisadores da Flare em 2025 revelou que mais de 10.000 imagens de contêineres no Docker Hub continham segredos expostos, como chaves de API, tokens de nuvem e credenciais de CI/CD. Esses vazamentos, muitas vezes não intencionais, ocorrem em repositórios públicos e representam falhas estruturais na forma como o software moderno é construído e operado. Um exemplo alarmante foi o vazamento de credenciais que comprometeu 165 organizações durante o incidente da Snowflake em 2024, onde credenciais antigas foram utilizadas por atacantes para acessar dados sensíveis. Outro caso notável foi a exposição de um token do GitHub da Home Depot, que permaneceu ativo por mais de um ano, permitindo acesso a sistemas internos críticos. Esses incidentes destacam a necessidade urgente de monitoramento e governança de identidades não humanas (NHIs), que são essenciais para a automação e operação de serviços em nuvem. A falta de gestão adequada dessas credenciais pode resultar em acessos não autorizados e danos significativos às organizações. Portanto, a segurança das NHIs deve ser uma prioridade nas estratégias de cibersegurança das empresas.

Uma nova campanha de phishing tem utilizado o Google Cloud para roubar credenciais de login de empresas em todo o mundo, conforme identificado por pesquisadores da Check Point. O ataque já afetou mais de 3 mil organizações, com a maioria das vítimas localizadas nos Estados Unidos, Brasil e México. Os hackers exploram a ferramenta Google Cloud Application Integration para enviar e-mails maliciosos que parecem legítimos, utilizando domínios reais do Google. Isso permite que os filtros de segurança não sejam acionados, levando os funcionários a clicarem em links fraudulentos.

Um novo relatório da Cyble Research and Intelligence Labs (CRIL) revela uma campanha de phishing em larga escala que utiliza arquivos HTML com JavaScript embutido para roubar credenciais de usuários. Ao invés de redirecionar as vítimas para URLs maliciosas, os hackers enviam e-mails com anexos que imitam páginas de login da Adobe e Microsoft. Esses arquivos, que aparentam ser comunicações comerciais legítimas, como solicitações de cotações, contêm um prompt central para login que coleta informações de acesso e as envia para bots controlados pelos atacantes via Telegram.

Uma nova campanha de phishing está explorando a infraestrutura confiável do Facebook para roubar credenciais de negócios em larga escala. Pesquisadores da Check Point descobriram que atacantes estão utilizando o domínio facebookmail.com e o recurso de convite do Meta Business Suite para enviar dezenas de milhares de e-mails de phishing convincentes, conseguindo contornar filtros de segurança tradicionais. Os e-mails, que parecem notificações legítimas do Meta, têm linhas de assunto urgentes como ‘Convite de Parceiro da Meta’ e são enviados de endereços autênticos, eliminando um dos principais sinais de alerta para os usuários.

Uma nova campanha de phishing está atacando clientes do GMO Aozora Bank, no Japão, utilizando uma técnica antiga chamada Autenticação Básica para disfarçar URLs maliciosas. Pesquisadores da Netcraft identificaram várias URLs de phishing que imitam sites bancários legítimos, redirecionando os usuários para domínios maliciosos que coletam credenciais de login. A Autenticação Básica, um protocolo web obsoleto, permite que atacantes insiram o nome de um domínio confiável na seção de nome de usuário, fazendo com que o verdadeiro destino do link apareça após o símbolo ‘@’. Essa manobra engana os usuários, especialmente em dispositivos móveis, onde os URLs podem ser truncados. Durante a investigação, foram encontrados 214 URLs de phishing únicas, com 71,5% direcionadas a usuários ou empresas japonesas. A campanha destaca como a compatibilidade com recursos web desatualizados pode ser explorada por grupos de phishing modernos. A Netcraft recomenda que as organizações eduquem os usuários sobre os riscos de URLs com credenciais embutidas e implementem políticas de inspeção de URLs para sinalizar a presença do símbolo ‘@’.

A equipe de pesquisa de ameaças da Socket revelou uma sofisticada campanha de phishing chamada ‘Beamglea’, que utilizou 175 pacotes npm maliciosos para atacar mais de 135 empresas industriais, de tecnologia e de energia em todo o mundo. Esses pacotes acumularam mais de 26.000 downloads, servindo como infraestrutura para ataques de coleta de credenciais. A campanha explorou o registro público do npm e a rede de entrega de conteúdo do unpkg.com para hospedar scripts de redirecionamento que direcionavam as vítimas a páginas de phishing. Diferente dos ataques tradicionais de cadeia de suprimentos, esses pacotes não executam código malicioso ao serem instalados, mas abusam do npm como uma infraestrutura gratuita para ataques de phishing. Os atacantes desenvolveram ferramentas em Python para automatizar a geração e distribuição dos pacotes, utilizando nomes aleatórios e injetando endereços de e-mail das vítimas. A análise identificou mais de 630 iscas de phishing em HTML, disfarçadas como documentos de negócios. A campanha teve como alvo principalmente empresas de manufatura, tecnologia e energia, com foco geográfico na Europa Ocidental. As organizações devem redefinir senhas, habilitar autenticação multifatorial e revisar logs de e-mail para mitigar riscos.

Recentemente, um sofisticado ataque de phishing tem utilizado notificações de documentos do Zoom para enganar candidatos a emprego e roubar credenciais do Gmail. O ataque começou com um e-mail que parecia legítimo, passando por verificações de segurança como SPF, DKIM e DMARC, e que parecia vir de um endereço confiável. Os destinatários recebiam uma notificação do Zoom informando que ‘departamentos de RH’ os convidavam a visualizar documentos. Ao clicar no link, os usuários eram redirecionados para um domínio falso, onde um ‘gate de proteção contra bots’ os induzia a acreditar que estavam em um site seguro. Após uma breve interação, eram levados a uma página de login falsa do Gmail, onde suas credenciais eram capturadas em tempo real. Os atacantes utilizavam uma conexão WebSocket para transferir as informações imediatamente para seus servidores. Para se proteger, os usuários devem mudar suas senhas e ativar a autenticação em duas etapas. Além disso, é crucial que as organizações monitorem e bloqueiem domínios maliciosos e eduquem seus funcionários sobre os riscos de phishing.

Um novo ataque de phishing está direcionando usuários do Gmail, onde cibercriminosos se fazem passar por recrutadores do Google Careers. Desde setembro de 2025, essa campanha utiliza e-mails enganosos com cabeçalhos que parecem legítimos, vinculados a serviços como Salesforce e Cloudflare, para aumentar a confiança das vítimas. Os e-mails contêm um botão que redireciona para um portal falso do Google Careers, hospedado em um domínio que imita a página oficial, solicitando informações pessoais e credenciais do Gmail. O código JavaScript da página captura os dados e os envia para um servidor de comando e controle. Pesquisadores identificaram uma infraestrutura maior, com múltiplos domínios relacionados, sugerindo uma operação coordenada de phishing como serviço. Especialistas recomendam que os usuários estejam atentos a e-mails de recrutamento não solicitados e verifiquem sempre as comunicações através de portais oficiais. Essa onda de phishing demonstra a crescente sofisticação dos atacantes em combinar infraestrutura confiável e imitação de marcas para comprometer contas em larga escala.

Pesquisadores de segurança da MailMarshal SpiderLabs descobriram uma sofisticada campanha de phishing que explora o sistema de aviso de URL externo do Facebook para coletar credenciais de login dos usuários. Os atacantes abusam do mecanismo de redirecionamento da plataforma, criando links aparentemente legítimos que levam a portais de login fraudulentos. Ao clicar em um link de uma postagem ou mensagem do Facebook, o usuário vê um aviso que ainda exibe o domínio registrado, criando uma falsa sensação de segurança. Após inserir suas credenciais em uma página de login que imita o Facebook, os dados são enviados em tempo real para os servidores dos atacantes.

A Microsoft, por meio de sua Unidade de Crimes Digitais (DCU), desmantelou uma operação de cibercrime chamada RaccoonO365, que se destacou como uma das ferramentas mais rápidas para roubo de credenciais do Microsoft 365. Com uma ordem judicial do Distrito Sul de Nova York, a empresa conseguiu desativar 338 sites associados a essa plataforma de phishing como serviço, interrompendo a infraestrutura técnica utilizada pelos criminosos. Desde julho de 2024, a RaccoonO365 comprometeu pelo menos 5.000 credenciais em 94 países, com um foco alarmante em organizações de saúde nos EUA, onde 20 delas foram atacadas. O serviço, que permite que indivíduos com pouca experiência técnica realizem campanhas de roubo de credenciais, utiliza branding autêntico da Microsoft para enganar os usuários. A operação foi liderada por Joshua Ogundipe, um programador da Nigéria, que comercializava seus serviços via Telegram e recebeu cerca de $100.000 em pagamentos em criptomoeda. A evolução da RaccoonO365 inclui o uso de inteligência artificial para aumentar a eficácia dos ataques, destacando a crescente preocupação com ferramentas de cibercrime aprimoradas por IA. A Microsoft colaborou com parceiros de segurança e utilizou ferramentas de análise de blockchain para rastrear transações de criptomoeda, enquanto encaminhou Ogundipe para as autoridades internacionais.

Um novo ataque cibernético, denominado GhostAction, comprometeu mais de 3.300 chaves de acesso e credenciais no GitHub, conforme revelado pela empresa de segurança GitGuardian. O ataque, que começou a ser detectado em 2 de setembro de 2025, utiliza uma técnica que insere arquivos maliciosos no fluxo de trabalho do GitHub Actions, permitindo que os hackers leiam e enviem chaves de programação armazenadas em ambientes de projetos para servidores externos. Até o momento, foram identificados 817 repositórios afetados, abrangendo pacotes npm e PyPl, e comprometendo credenciais de serviços como AWS e Cloudflare. A GitGuardian notificou o GitHub e outras plataformas sobre a situação, e recomenda que os usuários afetados revoguem suas credenciais imediatamente para evitar a publicação de versões maliciosas de seus softwares. O ataque é semelhante a um incidente anterior, mas não há evidências de conexão entre eles. A situação destaca a vulnerabilidade da cadeia de abastecimento de software e a necessidade de vigilância constante por parte dos desenvolvedores e empresas que utilizam o GitHub.

Um novo ataque de phishing tem utilizado a plataforma AppSheet do Google para roubar credenciais de usuários. Os hackers registram contas no AppSheet e enviam notificações automatizadas que imitam alertas legítimos de sistemas, utilizando e-mails que parecem autênticos e que passam por verificações de segurança como SPF, DKIM e DMARC. Os e-mails contêm links encurtados que redirecionam as vítimas para uma cópia falsa do portal de login do Google Workspace. Uma vez que as credenciais são inseridas, elas são imediatamente coletadas pelos atacantes. Em março de 2025, 10,88% dos e-mails de phishing globalmente utilizaram a infraestrutura do AppSheet. As defesas tradicionais falham em detectar esses ataques, pois confiam na reputação da infraestrutura do Google. Para mitigar esses riscos, é necessário implementar análises contextuais que possam identificar discrepâncias entre o remetente e o conteúdo da mensagem, além de políticas dinâmicas que monitorem interações típicas entre serviços e usuários.

Um ataque cibernético conhecido como GhostAction comprometeu 327 usuários do GitHub e 817 repositórios, destacando a sofisticação dos atacantes em manter a infraestrutura maliciosa apenas pelo tempo necessário para coletar credenciais. A análise da GitGuardian revelou que a infraestrutura foi desativada rapidamente após o início das divulgações, indicando um nível profissional de inteligência de ameaças. O ataque não apresentou sobreposição com a recente campanha S1ngularity, sugerindo que diferentes grupos de ameaças estão operando de forma independente. A resposta imediata de organizações e registros de pacotes, como o PyPI, que rapidamente colocou projetos comprometidos em modo somente leitura, ajudou a evitar uma contaminação generalizada da cadeia de suprimentos de software. O incidente ressalta a importância da gestão de segredos em ambientes de CI/CD e a necessidade de monitoramento de segurança aprimorado nos fluxos de trabalho do GitHub Actions. As organizações devem implementar varreduras de segurança abrangentes, rotacionar credenciais comprometidas imediatamente e monitorar modificações não autorizadas nos fluxos de trabalho para prevenir ataques semelhantes.

Em 26 de agosto de 2025, o popular ferramenta de construção Nx foi alvo de um ataque sofisticado de cadeia de suprimentos, resultando na exfiltração de milhares de credenciais de desenvolvedores. Pesquisadores de segurança da GitGuardian identificaram a campanha maliciosa, chamada ‘s1ngularity’, que infectou pacotes Nx no npm com malware projetado para roubar credenciais. Em poucos dias, os atacantes conseguiram coletar mais de 2.300 segredos, incluindo tokens do GitHub, chaves de autenticação do npm e credenciais da AWS.

A Microsoft lançou uma nova funcionalidade de segurança baseada em inteligência artificial no Defender for Identity, que visa mitigar uma vulnerabilidade crítica relacionada ao armazenamento de credenciais em texto simples no Active Directory. A pesquisa da empresa revelou que mais de 40.000 credenciais estavam expostas em 2.500 locatários, evidenciando a gravidade do problema. Essa vulnerabilidade surge do uso inadequado de campos de texto livre, onde administradores frequentemente armazenam senhas e tokens de autenticação para facilitar a resolução de problemas e a integração de sistemas. Isso cria alvos valiosos para cibercriminosos, especialmente em contas de identidade não humanas, que não podem utilizar métodos tradicionais de autenticação multifatorial. A nova arquitetura de detecção da Microsoft combina varredura abrangente do diretório com uma análise contextual, reduzindo falsos positivos e garantindo alertas acionáveis para as equipes de segurança. A funcionalidade já está disponível em versão pública para todos os clientes do Defender for Identity, permitindo que as organizações identifiquem e corrijam configurações inadequadas antes que possam ser exploradas.