Cve-2026-39987

Hackers estão aproveitando uma vulnerabilidade crítica no notebook Python reativo Marimo para implantar uma nova variante do malware NKAbuse, hospedada na plataforma Hugging Face Spaces. As primeiras tentativas de exploração da falha de execução remota de código (CVE-2026-39987) começaram na semana passada, logo após a divulgação pública de detalhes técnicos. Pesquisadores da Sysdig monitoraram a atividade e identificaram uma campanha que começou em 12 de abril, utilizando a plataforma Hugging Face para demonstrar aplicações de inteligência artificial.

Uma vulnerabilidade crítica foi descoberta na plataforma de notebooks reativos Marimo, permitindo a execução remota de código sem autenticação. A falha, identificada como CVE-2026-39987, afeta as versões 0.20.4 e anteriores e recebeu uma pontuação crítica de 9.3 de 10 pela GitHub. A exploração começou apenas 10 horas após a divulgação pública da falha, com atacantes utilizando informações do aviso do desenvolvedor para realizar operações de exfiltração de dados sensíveis. A vulnerabilidade se origina do endpoint WebSocket ‘/terminal/ws’, que expõe um terminal interativo sem as devidas verificações de autenticação, permitindo que qualquer cliente não autenticado se conecte e execute comandos. O Marimo é amplamente utilizado por cientistas de dados e desenvolvedores, com 20.000 estrelas no GitHub. Os desenvolvedores lançaram a versão 0.23.0 para corrigir a falha, recomendando que os usuários atualizem imediatamente e monitorem as conexões WebSocket. Caso a atualização não seja viável, a recomendação é bloquear o acesso ao endpoint vulnerável.