Javascript

Pesquisadores de segurança descobriram uma vulnerabilidade crítica no Cursor, um editor de código popular impulsionado por IA, que permite a atacantes executar código JavaScript arbitrário através de servidores Model Context Protocol (MCP) maliciosos. A falha explora a falta de verificação de integridade nas funcionalidades específicas do Cursor, ao contrário dos controles de segurança mais robustos do VS Code. Ao registrar um servidor MCP local, os atacantes conseguem contornar as proteções embutidas e injetar JavaScript malicioso diretamente no DOM do navegador. O ataque pode roubar credenciais ao substituir páginas de login legítimas por interfaces de phishing, coletando informações do usuário sem que ele perceba. Essa vulnerabilidade não se limita ao roubo de credenciais, pois permite que os atacantes realizem qualquer ação que o usuário possa executar, escalando privilégios e modificando componentes do sistema. A situação é alarmante, pois os servidores MCP operam com permissões amplas, tornando-se alvos atrativos para ameaças. Os desenvolvedores devem revisar cuidadosamente todos os servidores MCP e extensões antes da instalação e implementar camadas adicionais de segurança. As organizações devem monitorar o uso de servidores MCP e considerar soluções empresariais que ofereçam proteção contra ataques à cadeia de suprimentos.

Um novo ataque de phishing, descoberto em outubro de 2025, revela uma evolução preocupante no abuso da cadeia de suprimentos dentro do ecossistema de código aberto. Diferente dos compromissos tradicionais do NPM, que visam infectar desenvolvedores durante a instalação de pacotes, esta campanha utiliza o registro do NPM e a CDN confiável unpkg.com para entregar JavaScript que rouba credenciais através de iscas em HTML com temas empresariais. Pesquisadores da Socket identificaram mais de 175 pacotes NPM descartáveis, cada um com o padrão de nomenclatura redirect-[a-z0-9]{6}, que servem como contêineres para um script de phishing chamado beamglea.js. A campanha, codinome “Beamglea”, afetou mais de 135 organizações nos setores de tecnologia, industrial e energético, principalmente na Europa. A análise da Snyk revelou um novo grupo de pacotes suspeitos que imitam o comportamento da campanha original, indicando uma possível expansão da infraestrutura maliciosa. Este ataque representa um novo tipo de abuso em nível de ecossistema, explorando a confiança entre registros de código aberto e CDNs, o que pode ter implicações sérias para a segurança das identidades empresariais.

Com a aproximação da temporada de compras de 2025, um alerta se destaca na cibersegurança: o uso de JavaScript não monitorado representa uma vulnerabilidade crítica que pode permitir que atacantes roubem dados de pagamento sem serem detectados por sistemas de firewall de aplicativos web (WAF) e detecção de intrusões. O artigo destaca que, durante a temporada de compras de 2024, houve um aumento alarmante de 690% em ataques, com incidentes notáveis como a violação do Polyfill.io, que afetou mais de 500 mil sites, e o ataque Magecart da Cisco, que visou consumidores durante as compras de fim de ano. A pesquisa revela que, embora as defesas do lado do servidor tenham sido fortalecidas, o ambiente do navegador, onde o código malicioso pode operar, permanece vulnerável. Para mitigar esses riscos, recomenda-se a implementação de políticas de segurança de conteúdo (CSP), integridade de sub-recurso (SRI) e monitoramento contínuo do lado do cliente. Com o aumento do tráfego de compras, é essencial que os varejistas online fechem essas lacunas de visibilidade e adotem medidas proativas para proteger os dados dos consumidores.

Pesquisadores de cibersegurança alertam sobre uma campanha maliciosa que visa sites WordPress, injetando JavaScript malicioso para redirecionar usuários a sites suspeitos. A empresa de segurança Sucuri iniciou uma investigação após um de seus clientes relatar que seu site WordPress estava servindo conteúdo JavaScript de terceiros. Os atacantes modificaram um arquivo relacionado ao tema (‘functions.php’), inserindo código que faz referência ao Google Ads para evitar detecção. O código atua como um carregador remoto, enviando requisições HTTP para o domínio ‘brazilc[.]com’, que responde com um payload dinâmico. Este payload inclui um arquivo JavaScript hospedado em ‘porsasystem[.]com’, que realiza redirecionamentos, e um iframe oculto que imita ativos legítimos do Cloudflare. Além disso, um novo kit de phishing, chamado IUAM ClickFix Generator, permite que atacantes criem páginas de phishing personalizáveis, aumentando a eficácia dos ataques. A técnica de ‘cache smuggling’ também foi identificada, permitindo que scripts maliciosos sejam armazenados no cache do navegador sem a necessidade de downloads explícitos. A situação destaca a importância de manter sites WordPress seguros e atualizados, além de reforçar a necessidade de senhas fortes e monitoramento constante.

A Splunk divulgou seis vulnerabilidades críticas que afetam diversas versões do Splunk Enterprise e do Splunk Cloud Platform, permitindo que atacantes executem código JavaScript não autorizado, acessem dados sensíveis e realizem ataques de falsificação de requisições do lado do servidor (SSRF). As vulnerabilidades, publicadas em 1º de outubro de 2025, impactam componentes do Splunk Web e exigem atenção imediata das organizações que utilizam a plataforma.

Dentre as vulnerabilidades, duas se destacam por permitir ataques de cross-site scripting (XSS), possibilitando a execução de JavaScript malicioso nos navegadores dos usuários. A CVE-2025-20367 é uma vulnerabilidade XSS refletida, enquanto a CVE-2025-20368 é uma vulnerabilidade XSS armazenada. Além disso, a CVE-2025-20366 permite que usuários com privilégios baixos acessem resultados de busca sensíveis. A vulnerabilidade mais severa, CVE-2025-20371, é uma SSRF não autenticada que pode ser explorada por atacantes para realizar chamadas de API REST em nome de usuários privilegiados.

Pesquisadores de segurança descobriram uma sofisticada campanha do Magecart que utiliza JavaScript ofuscado para roubar dados de cartões de pagamento de sites de comércio eletrônico comprometidos. A infraestrutura maliciosa, centrada no domínio cc-analytics[.]com, tem coletado informações sensíveis de clientes por pelo menos um ano. O ataque começa com a injeção de tags de script maliciosas em plataformas de e-commerce vulneráveis, referenciando arquivos JavaScript externos controlados pelos atacantes. O código malicioso emprega técnicas avançadas de ofuscação, como codificação hexadecimal e manipulação de strings, para evitar a detecção por ferramentas de segurança. A análise do JavaScript revela um mecanismo de coleta de dados que monitora formulários de checkout e seleções de métodos de pagamento, capturando em tempo real informações como números de cartões de crédito e endereços de cobrança. A operação se estende por múltiplos domínios relacionados, demonstrando uma infraestrutura criminosa organizada e com capacidades técnicas significativas. Especialistas recomendam a implementação de políticas de segurança de conteúdo e a validação de referências de scripts externos para mitigar esses ataques.