Linux

Falha GhostLock no Linux permite controle total por usuários logados

Pesquisadores da Nebula Security revelaram uma vulnerabilidade crítica no kernel do Linux, identificada como GhostLock (CVE-2026-43499), que permite a qualquer usuário logado obter controle total de um sistema não atualizado. Essa falha, que existe há 15 anos, foi incluída por padrão em praticamente todas as distribuições Linux desde 2011 e não requer permissões especiais ou configurações incomuns para ser explorada. A vulnerabilidade foi descoberta por meio da ferramenta de busca de bugs VEGA, e a equipe da Nebula conseguiu criar um exploit funcional que é 97% confiável em testes. Embora não haja relatos de exploração ativa, o código do exploit foi publicado, tornando a correção uma prioridade. A falha é classificada como de alto risco, com uma pontuação de 7.8 em 10, já que um atacante precisa estar logado na máquina. As distribuições estão atualmente implementando patches, mas é essencial que os administradores verifiquem se estão usando a versão corrigida do kernel, pois versões anteriores podem ainda estar vulneráveis. Além disso, a Nebula também destacou que a GhostLock é parte de uma cadeia de exploração que pode ser combinada com outras falhas para comprometer sistemas remotamente.

Vulnerabilidade de 16 anos no Linux permite fuga de máquinas virtuais

Uma vulnerabilidade no kernel do Linux, identificada como Januscape, permite que atacantes escapem de máquinas virtuais e executem códigos arbitrários no host. Descoberta pelo pesquisador de segurança Hyunwoo Kim, essa falha de escape de convidado para host (CVE-2026-53359) é resultado de uma fraqueza de uso após a liberação na emulação MMU sombra do KVM/x86. Presente no kernel do Linux por cerca de 16 anos, a vulnerabilidade foi corrigida em junho de 2026 e foi utilizada como um exploit zero-day no programa de recompensas de vulnerabilidades do Google, kvmCTF. A exploração bem-sucedida permite que atacantes com acesso root em uma máquina virtual convidada executem códigos como root no host, comprometendo todos os convidados em execução ou até mesmo derrubando o kernel do host. Kim destacou que Januscape é o primeiro exploit desse tipo que pode ser acionado em arquiteturas de processadores Intel e AMD, representando um risco significativo para ambientes de nuvem pública multi-inquilinos. Administradores de hosts KVM/x86 devem garantir que o patch correspondente tenha sido aplicado para proteger seus sistemas contra essa vulnerabilidade.

Vulnerabilidade Januscape no KVM do Linux pode comprometer hosts

Uma nova vulnerabilidade, identificada como ‘Januscape’ e registrada como CVE-2026-53359, foi descoberta no hipervisor KVM do Linux. Essa falha, que se trata de um bug do tipo use-after-free, pode ser explorada a partir de uma máquina virtual convidada para corromper o estado da página sombra do kernel do host. O problema reside no código da MMU sombra que o KVM compartilha entre processadores Intel e AMD e, segundo o pesquisador Hyunwoo Kim, pode levar a uma execução de código completo no host. A vulnerabilidade ficou sem ser detectada por cerca de 16 anos e requer que o atacante tenha acesso root na VM, uma condição comum em instâncias de nuvem alugadas. A falha foi utilizada como uma submissão de zero-day no programa de recompensas kvmCTF do Google, que oferece até $250.000 por escapes completos de convidado para host. A correção foi implementada em junho de 2026, mas os administradores de sistemas devem agir rapidamente para aplicar o patch, especialmente em ambientes x86 que hospedam convidados não confiáveis com virtualização aninhada habilitada.

Falha no Kernel Linux permite controle total de máquinas por usuários comuns

Uma nova vulnerabilidade no kernel Linux, identificada como Bad Epoll (CVE-2026-46242), foi revelada, permitindo que usuários comuns adquiram controle total de máquinas como root. Essa falha afeta não apenas desktops e servidores Linux, mas também dispositivos Android. O problema reside em um bug de ‘use-after-free’, onde duas partes do kernel tentam limpar o mesmo objeto interno simultaneamente, resultando em corrupção da memória do kernel. O pesquisador Jaeyoung Chung desenvolveu um ataque que amplia a janela de tempo para explorar essa vulnerabilidade, alcançando sucesso em 99% dos testes realizados. O ataque pode ser disparado a partir do sandbox do Chrome, o que o torna ainda mais perigoso, pois contorna muitas outras falhas de kernel. Embora a falha tenha sido reportada como um zero-day ao programa kernelCTF do Google, não há indícios de que tenha sido utilizada em ataques reais até o momento. A correção já está disponível, e é recomendável que os usuários apliquem o patch o mais rápido possível, especialmente em sistemas que utilizam o kernel 6.4 ou superior. Essa vulnerabilidade se junta a uma série de falhas conhecidas que afetam o Linux, destacando a necessidade de vigilância contínua em relação à segurança do kernel.

Vulnerabilidades de Cibersegurança em Alta O Que Você Precisa Saber

Recentemente, novas vulnerabilidades de cibersegurança foram identificadas, destacando a importância de manter sistemas atualizados e seguros. A falha DirtyClone, uma variante do problema Dirty Frag no kernel Linux, permite que usuários locais adquiram privilégios de root em sistemas Debian, Ubuntu e Fedora. Essa vulnerabilidade é especialmente crítica em ambientes de nuvem multi-inquilinos e clusters Kubernetes. Além disso, uma falha crítica no software PTC Windchill PDMlink e FlexPLM está sendo ativamente explorada para execução remota de código, permitindo que atacantes implantem shells web maliciosos. O OpenAI também lançou novos modelos de IA que podem auxiliar na cibersegurança, mas alertou sobre o potencial de uso indevido dessa tecnologia por agentes maliciosos. Outro ponto alarmante é a descoberta do malware Gaslight, que confunde ferramentas de análise de malware, dificultando a detecção. As operações de desmantelamento de infraestruturas criminosas, como a de Amadey e StealC, mostraram resultados significativos, mas a ameaça continua. É crucial que as empresas brasileiras estejam atentas a essas vulnerabilidades e adotem medidas proativas para proteger seus sistemas.

Nova vulnerabilidade DirtyClone no kernel Linux permite escalonamento de privilégios

A nova vulnerabilidade DirtyClone, identificada como CVE-2026-43503 e com uma pontuação CVSS de 8.8, permite que usuários locais corrompam a memória de arquivos através de pacotes de rede clonados, possibilitando o acesso root ao sistema. A falha foi descoberta pela JFrog Security Research e um exploit funcional foi demonstrado publicamente em 25 de junho de 2026. O problema ocorre quando o kernel copia um pacote de rede, deixando de marcar a memória como compartilhada com um arquivo no disco, o que resulta em uma vulnerabilidade crítica. O ataque envolve a injeção de um binário privilegiado na memória, que é então modificado durante a clonagem do pacote, permitindo que o atacante altere verificações de login. O patch para a vulnerabilidade foi integrado ao kernel em 21 de maio de 2026, e é crucial que os administradores de sistemas atualizem seus kernels para evitar exploração. Sistemas vulneráveis incluem servidores multi-tenant, runners de CI e clusters Kubernetes, especialmente onde namespaces de usuários não privilegiados são permitidos. A vulnerabilidade é parte de uma série de falhas relacionadas, todas explorando a mesma falha de contrato na manipulação de fragmentos de pacotes, o que destaca a necessidade de uma auditoria rigorosa em todo o código que lida com a transferência de fragmentos.

Vulnerabilidade no Kernel Linux permite escalonamento de privilégios

Uma falha no subsistema de controle de tráfego do kernel Linux, identificada como CVE-2026-46331 e apelidada de “pedit COW”, permite que um usuário local não privilegiado obtenha acesso root em sistemas afetados. Essa vulnerabilidade, que se manifesta como uma escrita fora dos limites na ação de edição de pacotes (act_pedit), corrompe a memória compartilhada do cache de páginas. Um exploit público foi disponibilizado rapidamente após a atribuição da CVE em 16 de junho de 2026, e a Red Hat classificou a falha como importante. O ataque não altera arquivos no disco, mas contamina a cópia em cache de um binário setuid root na memória, permitindo que o invasor execute um shell root sem que verificações de integridade de arquivos detectem a alteração. Para que o exploit funcione, é necessário que o act_pedit esteja carregável e que namespaces de usuários não privilegiados estejam abertos. Sistemas como RHEL 10 e Debian 13 foram testados e mostraram essas condições presentes. A correção já foi disponibilizada por alguns fornecedores, mas muitos sistemas ainda permanecem vulneráveis, exigindo atenção imediata dos administradores.

Grupo ligado à China compromete sistema de login do Linux

Um grupo de cibercriminosos conhecido como Velvet Ant, vinculado à China, conseguiu se infiltrar no sistema de login do Linux, especificamente nos componentes PAM e OpenSSH, por quase uma década. Em vez de utilizar malware visível, os atacantes modificaram os programas de login confiáveis, permitindo acesso não detectado e a coleta de credenciais de usuários. A operação começou em 2016 e foi caracterizada por uma abordagem furtiva, onde o grupo utilizou servidores expostos à internet como ponte para acessar redes isoladas. A pesquisa revelou nove versões diferentes do módulo de login PAM comprometido, que registravam senhas e comandos sem que os usuários percebessem. A complexidade da situação é agravada pelo fato de que a simples reinicialização de senhas não é eficaz, uma vez que o sistema que valida as credenciais está sob controle do atacante. A recomendação para mitigar esses riscos inclui monitorar alterações nos arquivos de login e realizar verificações rigorosas de integridade. O caso destaca a necessidade de uma vigilância mais abrangente sobre sistemas que normalmente não estão sob monitoramento constante.

Exploit de vulnerabilidade no kernel Linux permite escalonamento de privilégios

Pesquisadores de segurança divulgaram um exploit funcional para uma vulnerabilidade de uso após liberação (use-after-free) no kernel Linux, identificada como CVE-2026-23111. Essa falha, localizada no código de filtragem de pacotes nf_tables, permite que um usuário local não privilegiado escale seus privilégios para root e escape de um contêiner. A vulnerabilidade foi corrigida em 5 de fevereiro de 2026, mas o exploit foi publicado publicamente em abril, com uma análise técnica detalhada divulgada em junho. A falha se origina de um erro simples na lógica de verificação do nf_tables e afeta distribuições populares como Ubuntu e Debian. O exploit é ativado em ambientes que utilizam namespaces de usuário não privilegiados, uma funcionalidade comum em desktops e servidores. Embora não haja vetores de ataque remoto, a exploração requer que o atacante já tenha acesso ao sistema. A correção é essencial, especialmente para sistemas que permitem usuários não confiáveis. A situação é preocupante, pois reflete uma tendência crescente de falhas que permitem a escalada de privilégios em sistemas Linux, exigindo atenção redobrada dos administradores de sistemas e profissionais de segurança.

Grupo de ciberespionagem ligado à China utiliza malware em sistemas Linux

Um grupo de ciberespionagem com vínculos à China, identificado como VerdantBamboo, foi observado utilizando uma variante BSD de um backdoor conhecido como BRICKSTORM, além de outras famílias de malware chamadas PLENET (também conhecida como GRIMBOLT) e AGENTPSD, para atacar sistemas Linux. A Volexity, empresa de cibersegurança, atribuiu essas atividades a um cluster de ameaças que se sobrepõe a grupos de hackers como Clay Typhoon e UNC5221. A intrusão foi descoberta em setembro de 2025, quando a Volexity identificou que o adversário havia comprometido o sistema Egnyte Storage Sync de uma vítima, explorando uma falha de escalonamento de privilégios. Após a correção da vulnerabilidade em março de 2026, o grupo conseguiu retornar, utilizando credenciais administrativas roubadas para acessar o firewall da organização e implantar malware em um dispositivo NAS Synology. O PLENET é um backdoor multiplataforma desenvolvido em .NET Core, enquanto o AGENTPSD é um shell reverso baseado em Python. A Volexity alerta que o VerdantBamboo demonstra um alto nível de sofisticação e conhecimento sobre dispositivos proprietários, permitindo a implementação de mecanismos de persistência personalizados.

CISA alerta sobre vulnerabilidades críticas no Linux e Android

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu um alerta sobre hackers que estão explorando vulnerabilidades no kernel do Linux e no sistema operacional Android. A mais recente falha, identificada como CVE-2025-48595, é uma vulnerabilidade de estouro de inteiro de alta severidade no Android Framework, que pode ser utilizada para obter privilégios elevados. Essa falha afeta as versões do Android 14 a 16 e não requer interação do usuário para ser explorada. Embora o Google tenha indicado que a exploração dessa vulnerabilidade pode estar ocorrendo de forma limitada, não foram fornecidos detalhes específicos sobre as atividades ou informações técnicas sobre a falha. O problema foi corrigido com a liberação de patches de segurança em junho de 2026.

Microsoft lança Coreutils para Windows, trazendo utilitários Linux nativos

Durante a Build 2026, a Microsoft anunciou o lançamento do Coreutils para Windows, que traz uma série de utilitários de linha de comando do Linux como aplicações nativas. Baseado no projeto open-source uutils, que reescreve as GNU coreutils em Rust, o Coreutils visa facilitar a transição de desenvolvedores entre diferentes plataformas, como Linux, macOS e Windows, sem a necessidade de alterar seus fluxos de trabalho. O pacote inclui comandos populares como cat, cp, find, grep, ls, e rm, permitindo que scripts sejam utilizados no Windows sem modificações. A instalação é feita através do WinGet, e a Microsoft criou um único executável coreutils.exe que contém todas as funcionalidades dos comandos. No entanto, alguns comandos do Linux não foram incluídos devido a conflitos com comandos existentes no Windows. A Microsoft também alertou sobre possíveis diferenças de funcionalidade entre os sistemas, como permissões de arquivos e suporte a POSIX. Essa iniciativa faz parte da estratégia da Microsoft para tornar o Windows uma plataforma mais amigável para desenvolvedores.

Vulnerabilidade CIFSwitch no kernel Linux pode elevar privilégios

Uma nova vulnerabilidade de escalonamento de privilégios local, chamada ‘CIFSwitch’, foi descoberta no kernel Linux. Essa falha permite que atacantes forjem descrições de chaves de autenticação CIFS, abusem do mecanismo de solicitação de chaves do kernel e obtenham privilégios de root. O problema afeta várias distribuições Linux que utilizam combinações vulneráveis do kernel CIFS e cifs-utils, especialmente nas versões 6.14 e superiores. O CIFS (Common Internet File System) é um protocolo de rede que permite o acesso a arquivos e dispositivos em uma rede local. A vulnerabilidade se origina da falha do subsistema CIFS do kernel em verificar a origem das solicitações de chave cifs.spnego, permitindo que um usuário não privilegiado crie uma solicitação forjada e inicie o fluxo normal de autenticação. O pesquisador Asim Viladi Oglu Manizada, que descobriu a falha, publicou um relatório técnico detalhando a exploração da vulnerabilidade. Embora a falha tenha sido introduzida em 2007, sua exploração depende de fatores como a versão do kernel e a configuração do SELinux/AppArmor. A correção foi disponibilizada através de um patch que valida as origens das solicitações de chave. É recomendado que os usuários desativem ou removam o módulo CIFS se não estiver em uso e desativem namespaces de usuários não privilegiados.

Nova falha de segurança no Linux pode causar sérios problemas aos usuários

Uma vulnerabilidade crítica no sistema operacional Linux, identificada como CVE-2026-46333, foi revelada pela Qualys. Essa falha, que existe desde 2016, permite que usuários comuns ou atacantes maliciosos obtenham acesso administrativo em sistemas vulneráveis. A vulnerabilidade afeta distribuições populares como Debian, Ubuntu e Fedora, e ocorre durante um breve intervalo em que um processo privilegiado está encerrando, permitindo que usuários não privilegiados acessem arquivos e conexões abertas. A Qualys demonstrou a exploração da falha em instalações padrão dessas distribuições. A pontuação de severidade da vulnerabilidade é de 5.5/10, considerada média. Os administradores devem aplicar atualizações de segurança imediatamente, e aqueles que não puderem fazê-lo devem aumentar a proteção do sistema. A falha foi reportada à equipe de segurança do kernel do Linux, que lançou um patch rapidamente. É aconselhável que sistemas com usuários locais não confiáveis tratem chaves SSH e credenciais como comprometidas e as rotacionem o mais rápido possível.

Novo malware Showboat ataca provedores de telecomunicações no Oriente Médio

Pesquisadores de cibersegurança revelaram detalhes sobre um novo malware para Linux chamado Showboat, que tem sido utilizado em uma campanha direcionada a um provedor de telecomunicações no Oriente Médio desde pelo menos meados de 2022. O Showboat é um framework modular de pós-exploração, capaz de criar um shell remoto, transferir arquivos e atuar como um proxy SOCKS5. Acredita-se que o malware esteja associado a grupos de ameaças vinculados à China, com conexões identificadas entre servidores de comando e controle (C2) e endereços IP localizados em Chengdu, na China. Um dos grupos envolvidos é o Calypso, ativo desde 2016, que já atacou instituições estatais em diversos países, incluindo Brasil e Índia. O malware foi classificado como um backdoor sofisticado com capacidades semelhantes a rootkits, e sua entrega ainda não foi determinada. O Showboat é projetado para coletar informações do sistema e se esconder no dispositivo infectado, utilizando um código hospedado no Pastebin. Além disso, a análise da infraestrutura revelou vítimas em Afeganistão e Azerbaijão, além de possíveis compromissos nos EUA e na Ucrânia. A presença de tal malware é um sinal de alerta para problemas de segurança mais amplos nas redes afetadas.

Flipper Devices busca apoio para desenvolver Flipper One, nova plataforma Linux

A Flipper Devices, fabricante da ferramenta de pentesting Flipper Zero, está solicitando a colaboração da comunidade para o desenvolvimento do Flipper One, uma plataforma Linux aberta voltada para dispositivos conectados. Diferente do Flipper Zero, que se concentra em controle de acesso offline e tecnologias de rádio, o Flipper One é projetado como um computador portátil ARM Linux de alto desempenho, com capacidade para suportar análise de rádio definida por software (SDR) e modelos de linguagem local (LLMs).

Vulnerabilidade no Kernel Linux pode permitir acesso não autorizado

Pesquisadores de cibersegurança revelaram uma vulnerabilidade crítica no kernel do Linux, identificada como CVE-2026-46333, que permaneceu oculta por nove anos. Com uma pontuação CVSS de 5.5, a falha se refere a uma gestão inadequada de privilégios, permitindo que usuários locais não privilegiados acessem arquivos sensíveis e executem comandos como root em distribuições populares como Debian, Fedora e Ubuntu. A vulnerabilidade, conhecida como ssh-keysign-pwn, foi descoberta pela Qualys e está relacionada à função __ptrace_may_access() do kernel, introduzida em novembro de 2016. A exploração bem-sucedida pode permitir a divulgação de arquivos críticos, como /etc/shadow e chaves privadas em /etc/ssh/*_key. A Qualys recomenda que as distribuições Linux apliquem atualizações de kernel imediatamente. Caso não seja possível, sugere-se aumentar o parâmetro “kernel.yama.ptrace_scope” para 2 como uma medida temporária. A situação é agravada pela recente divulgação de um exploit de prova de conceito (PoC) para essa vulnerabilidade, o que aumenta a urgência de ações corretivas. Além disso, um exploit chamado PinTheft, que permite a escalada de privilégios locais em sistemas Arch Linux, foi também mencionado, destacando a necessidade de vigilância contínua em relação a falhas de segurança no Linux.

Vulnerabilidade de escalonamento de privilégios no Linux afeta Arch Linux

Uma nova vulnerabilidade de escalonamento de privilégios no Linux, chamada PinTheft, foi recentemente corrigida, mas agora possui um exploit de prova de conceito (PoC) disponível publicamente. Essa falha, que afeta o kernel Linux, especificamente o módulo RDS (Reliable Datagram Sockets), permite que atacantes locais obtenham privilégios de root em sistemas Arch Linux. O exploit se aproveita de um erro no caminho de envio zerocopy do RDS, onde páginas de usuário são ‘pinned’ uma a uma. Se ocorrer uma falha de página, as páginas já ‘pinned’ são descartadas, permitindo que referências sejam roubadas. Para que a exploração seja bem-sucedida, o módulo RDS deve estar carregado, o que é padrão apenas no Arch Linux entre as distribuições mais comuns. Os usuários são aconselhados a instalar as atualizações do kernel imediatamente, mas uma mitigação temporária também foi sugerida. Essa vulnerabilidade se junta a uma série de outras falhas de escalonamento de privilégios que foram reveladas recentemente, algumas das quais estão sendo ativamente exploradas por agentes de ameaças. A situação é crítica, especialmente para usuários de distribuições Linux afetadas, que devem agir rapidamente para proteger seus sistemas.

Vulnerabilidade DirtyDecrypt no Kernel Linux permite escalonamento de privilégios

Um novo código de exploração de prova de conceito (PoC) foi liberado para uma vulnerabilidade recentemente corrigida no kernel Linux, conhecida como DirtyDecrypt (ou DirtyCBC). Descoberta pela equipe de segurança Zellic e V12 em 9 de maio de 2026, a falha permite a escalada de privilégios locais (LPE) devido à ausência de uma proteção de copy-on-write (COW) na função rxgk_decrypt_skb. Essa vulnerabilidade, identificada como CVE-2026-31635, possui uma pontuação CVSS de 7.5 e afeta distribuições como Fedora, Arch Linux e openSUSE Tumbleweed. A falha permite que dados sejam escritos na memória de processos privilegiados, potencialmente comprometendo arquivos sensíveis como /etc/shadow e /etc/sudoers. Além disso, a vulnerabilidade é considerada uma variante de outras falhas que também permitem acesso root em sistemas vulneráveis. Em resposta a uma série de vulnerabilidades críticas, desenvolvedores do kernel Linux estão considerando a implementação de um “killswitch” para desativar funções vulneráveis até que correções adequadas sejam disponibilizadas. O Rocky Linux introduziu um repositório de segurança opcional para fornecer correções urgentes rapidamente, destacando a necessidade de uma resposta ágil a vulnerabilidades críticas.

Linus Torvalds critica relatórios de bugs gerados por IA na lista de segurança do Linux

Linus Torvalds, criador do Linux, expressou preocupações sobre o impacto negativo que os relatórios de bugs gerados por inteligência artificial (IA) estão tendo na lista de segurança do Linux. Ele afirmou que a inundação de relatórios duplicados e irrelevantes tornou a lista ‘quase totalmente inadministrável’. Torvalds destacou que muitos dos bugs detectados por ferramentas de IA não são segredos e que a repetição de relatórios apenas aumenta a confusão. Ele incentivou os pesquisadores a contribuírem de forma mais significativa, sugerindo que, ao invés de apenas enviar relatórios automatizados, eles deveriam ler a documentação e criar patches que realmente agreguem valor. Essa situação não é única do Linux; projetos como curl e a equipe de recompensas de bugs da HackerOne também enfrentaram problemas semelhantes, levando a restrições em seus programas de recompensas. A crescente dependência de ferramentas de IA para identificação de bugs levanta questões sobre a eficácia e a qualidade das contribuições na comunidade de código aberto.

Vulnerabilidade no Linux permite escalonamento de privilégios locais

Uma vulnerabilidade recentemente corrigida no módulo rxgk do kernel Linux, conhecida como DirtyDecrypt ou DirtyCBC, permite que atacantes obtenham acesso root em alguns sistemas Linux. Essa falha de segurança foi identificada e relatada pela equipe de segurança V12, que descobriu que se tratava de uma duplicata de uma vulnerabilidade já corrigida, a CVE-2026-31635, em 25 de abril. Para explorar essa vulnerabilidade, é necessário executar um kernel Linux com a opção de configuração CONFIG_RXGK, que habilita o suporte de segurança RxGK para o cliente do Andrew File System (AFS). Isso limita a superfície de ataque a distribuições Linux que seguem de perto as versões mais recentes do kernel, como Fedora, Arch Linux e openSUSE Tumbleweed. A equipe V12 testou a prova de conceito apenas no Fedora. Os usuários de Linux em distribuições potencialmente afetadas são aconselhados a instalar as atualizações mais recentes do kernel o mais rápido possível. Para aqueles que não podem aplicar o patch imediatamente, uma mitigação temporária é sugerida, embora isso possa afetar VPNs IPsec e sistemas de arquivos distribuídos AFS. A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) alertou sobre a exploração ativa de outras vulnerabilidades semelhantes, como a Copy Fail, que também requer atenção imediata.

Vulnerabilidade Fragnasia permite escalonamento de privilégios no Linux

Recentemente, distribuições Linux começaram a lançar patches para uma nova vulnerabilidade de alta severidade, conhecida como Fragnasia (CVE-2026-46300). Essa falha de segurança, descoberta por William Bowling, permite que atacantes locais não privilegiados executem código malicioso com privilégios de root, explorando um erro lógico no subsistema XFRM ESP-in-TCP do Linux. O ataque é realizado através da escrita de bytes arbitrários no cache de página do kernel de arquivos somente leitura, sem a necessidade de condições de corrida. Bowling também revelou um exploit de prova de conceito que corrompe a memória do cache de página do binário /usr/bin/su, possibilitando acesso root em sistemas vulneráveis. A vulnerabilidade Fragnasia pertence à classe de vulnerabilidades Dirty Frag, que afeta todos os kernels Linux lançados antes de 13 de maio de 2026. Para mitigar os riscos, os usuários do Linux são aconselhados a aplicar atualizações de kernel imediatamente. Caso não consigam, devem remover módulos vulneráveis, embora isso possa impactar sistemas de arquivos distribuídos e VPNs IPsec. A divulgação da Fragnasia ocorre em um momento em que outras vulnerabilidades, como a Copy Fail, também estão sendo exploradas ativamente, aumentando a urgência para que as organizações atualizem suas defesas.

Nova vulnerabilidade Linux permite escalonamento de privilégios locais

Uma nova variante da vulnerabilidade Dirty Frag, chamada Fragnesia, foi identificada no núcleo do Linux, permitindo que atacantes locais não privilegiados obtenham acesso root. Classificada como CVE-2026-46300, a vulnerabilidade apresenta um CVSS de 7.8 e está relacionada ao subsistema XFRM ESP-in-TCP do kernel. Descoberta por William Bowling da equipe de segurança V12, a falha permite a modificação de conteúdos de arquivos somente leitura na cache de página do kernel, utilizando uma lógica defeituosa que não requer condições de corrida. A Fragnesia é semelhante a outras vulnerabilidades recentes, como Copy Fail e Dirty Frag, e já possui um exploit de prova de conceito disponível. Várias distribuições Linux, incluindo Amazon Linux e Red Hat Enterprise Linux, emitiram avisos sobre a necessidade de aplicar patches. Embora não tenha sido observada exploração ativa até o momento, especialistas recomendam que usuários e organizações apliquem as correções imediatamente. Medidas de mitigação incluem desabilitar funcionalidades relacionadas ao IPsec e aumentar a vigilância sobre atividades anormais de escalonamento de privilégios.

Proposta de killswitch no kernel Linux para mitigar vulnerabilidades

Recentemente, especialistas propuseram a implementação de um mecanismo de ‘killswitch’ no kernel Linux, que permitiria desativar temporariamente funções vulneráveis em tempo de execução. Essa proposta surge em resposta a falhas críticas como Copy Fail e Dirty Frag, que expõem sistemas a riscos elevados. O ‘killswitch’ seria acessível através da interface securityfs, permitindo que administradores desabilitem funções problemáticas rapidamente, evitando que vulnerabilidades causem danos significativos até que correções adequadas sejam disponibilizadas. Embora a ideia apresente um potencial de mitigação, ela não resolve os problemas subjacentes e pode causar instabilidade no sistema. A proposta está atualmente em revisão pela comunidade Linux e não deve ser vista como um substituto para o patching adequado. A adoção dessa funcionalidade pode ser um recurso útil para prevenir a escalada de problemas de segurança enquanto as correções são desenvolvidas.

Malware Quasar Linux RAT ameaça sistemas de desenvolvedores

Um novo malware, denominado Quasar Linux RAT (QLNX), foi descoberto visando sistemas de desenvolvedores e ambientes DevOps. Este implante, que opera de forma silenciosa, é capaz de realizar uma série de atividades maliciosas, incluindo o roubo de credenciais, keylogging, manipulação de arquivos e monitoramento de clipboard. Segundo pesquisadores da Trend Micro, o QLNX extrai informações sensíveis de arquivos críticos, como .npmrc e .git-credentials, permitindo que atacantes comprometam pipelines de publicação de software e acessem infraestruturas em nuvem.

Nova vulnerabilidade zero-day no Linux permite escalonamento de privilégios

Uma nova vulnerabilidade zero-day no Linux, chamada Dirty Frag, foi descoberta, permitindo que atacantes locais obtenham privilégios de root em diversas distribuições Linux com um único comando. O pesquisador de segurança Hyunwoo Kim revelou a falha, que foi introduzida há cerca de nove anos na interface algif_aead do kernel Linux. A Dirty Frag explora duas vulnerabilidades do kernel: a vulnerabilidade de gravação em cache de página xfrm-ESP e a vulnerabilidade de gravação em cache de página RxRPC, permitindo a modificação de arquivos do sistema protegidos na memória sem autorização. Essa falha é semelhante às vulnerabilidades Dirty Pipe e Copy Fail, mas utiliza um campo de fragmento de uma estrutura de dados diferente do kernel. Kim destacou que, ao contrário de outras vulnerabilidades, a Dirty Frag não depende de condições de corrida, o que aumenta sua taxa de sucesso. Até o momento, a vulnerabilidade não possui um ID CVE e afeta várias distribuições populares, como Ubuntu, Red Hat, CentOS e Fedora, que ainda não receberam patches. Para mitigar os riscos, os usuários do Linux podem desativar os módulos do kernel vulneráveis, embora isso possa quebrar VPNs IPsec e sistemas de arquivos distribuídos AFS. A descoberta ocorre em um momento em que as distribuições Linux ainda estão implementando correções para a vulnerabilidade Copy Fail, que também permite escalonamento de privilégios de root.

Nova vulnerabilidade Dirty Frag afeta o kernel Linux

Uma nova vulnerabilidade de escalonamento de privilégios local (LPE) chamada Dirty Frag foi identificada no kernel Linux, afetando diversas distribuições populares, como Ubuntu, RHEL e Fedora. Essa falha, que ainda não possui um identificador CVE, permite que usuários não privilegiados obtenham acesso root ao explorar duas vulnerabilidades existentes: xfrm-ESP Page-Cache Write e RxRPC Page-Cache Write. A primeira foi introduzida em 2017 e a segunda em 2023, e juntas formam uma cadeia que pode ser explorada em diferentes ambientes. A vulnerabilidade é considerada de alta gravidade, com um CVSS score de 7.8, e sua exploração não depende de condições de corrida, o que aumenta a taxa de sucesso do ataque. A urgência é acentuada pela divulgação de um proof-of-concept (PoC) que permite a exploração em um único comando. Enquanto os patches não estão disponíveis, recomenda-se bloquear os módulos esp4, esp6 e rxrpc para mitigar o risco. A Dirty Frag representa uma ameaça significativa, pois pode ser explorada independentemente da ativação do módulo algif_aead, que é uma mitigação conhecida para outra vulnerabilidade, Copy Fail.

Novo backdoor Linux PamDOORa é descoberto em fórum de cibercrime

Pesquisadores de cibersegurança revelaram detalhes sobre um novo backdoor para Linux, chamado PamDOORa, que está sendo comercializado por $1.600 em um fórum de cibercrime russo. Desenvolvido por um ator de ameaças conhecido como ‘darkworm’, o PamDOORa é um módulo de autenticação pluggable (PAM) que permite acesso SSH persistente a sistemas comprometidos. O backdoor utiliza uma combinação de senha mágica e porta TCP específica para garantir o acesso contínuo, além de ser capaz de coletar credenciais de usuários legítimos que se autenticam no sistema afetado.

Vulnerabilidade Copy Fail no Linux expõe sistemas a ataques

A CISA (Agência de Segurança Cibernética e Infraestrutura dos EUA) alertou sobre a exploração da vulnerabilidade de segurança ‘Copy Fail’, identificada como CVE-2026-31431, que afeta o kernel do Linux. Essa falha permite que usuários locais não privilegiados obtenham privilégios de root em sistemas Linux não corrigidos, manipulando quatro bytes controlados na cache de páginas de arquivos legíveis. A vulnerabilidade foi divulgada por pesquisadores da Theori, que também disponibilizaram um exploit em Python considerado ‘100% confiável’ para diversas distribuições Linux, incluindo Ubuntu 24.04 LTS e Amazon Linux 2023. A CISA incluiu a falha em seu catálogo de Vulnerabilidades Conhecidas e ordenou que agências federais atualizassem seus sistemas em até duas semanas. Embora as principais distribuições Linux já tenham iniciado a distribuição de correções, a falta de atualizações oficiais no momento da divulgação da vulnerabilidade levanta preocupações sobre a segurança de sistemas em uso. A CISA enfatizou que esse tipo de vulnerabilidade é um vetor de ataque comum e representa riscos significativos para a segurança das agências federais.

Vulnerabilidade crítica no Linux permite escalonamento de privilégios

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) adicionou uma nova vulnerabilidade ao seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV). A falha, identificada como CVE-2026-31431, possui uma pontuação CVSS de 7.8 e se trata de uma vulnerabilidade de escalonamento de privilégios local (LPE) que pode permitir que um usuário local sem privilégios obtenha acesso root. Essa falha, que existe há nove anos, é resultado de um erro lógico no template criptográfico de autenticação do kernel Linux, permitindo que atacantes acionem a escalada de privilégios com um exploit de apenas 732 bytes. A vulnerabilidade afeta distribuições Linux desde 2017 e pode ser explorada por usuários não privilegiados para corromper o cache de página em memória do kernel, resultando em execução de código com permissões de root. A CISA recomenda que as agências federais apliquem correções até 15 de maio de 2026, e, se a aplicação de patches não for imediata, sugere desabilitar a funcionalidade afetada e implementar controles de acesso. A presença de um exploit funcional já disponível aumenta a urgência da situação, especialmente em ambientes de contêiner, onde a vulnerabilidade pode comprometer a isolação e o controle do sistema físico.

Vulnerabilidade Copy Fail permite escalonamento de privilégios no Linux

Uma nova vulnerabilidade de escalonamento de privilégios local, chamada ‘Copy Fail’ e identificada como CVE-2026-31431, afeta kernels do Linux lançados desde 2017. Descoberta pela empresa de segurança Theori, a falha permite que um atacante local não privilegiado obtenha permissões de root. A vulnerabilidade foi encontrada após uma varredura de uma hora no subsistema criptográfico do Linux utilizando a plataforma de pentesting Xint Code. A falha é causada por um erro lógico no template criptográfico do kernel, que permite a escrita controlada de 4 bytes na cache de página de qualquer arquivo legível. Isso pode alterar o comportamento de binários setuid-root, concedendo privilégios de root ao atacante. A Theori desenvolveu um exploit em Python que funciona em várias distribuições Linux, incluindo Ubuntu, Amazon Linux, RHEL e SUSE. A correção foi disponibilizada rapidamente, revertendo uma otimização problemática introduzida em 2017. Embora as distribuições principais estejam implementando as correções, ainda não há atualizações oficiais para algumas versões. Como mitigação temporária, recomenda-se desabilitar a interface criptográfica vulnerável. A vulnerabilidade é considerada mais prática e portátil do que outras falhas similares, como a ‘Dirty Pipe’.

Vulnerabilidade de escalonamento de privilégios no Linux pode permitir acesso root

Pesquisadores de cibersegurança revelaram uma vulnerabilidade crítica no Linux, identificada como CVE-2026-31431, que permite a um usuário local não privilegiado obter acesso root ao sistema. Nomeada ‘Copy Fail’, essa falha de escalonamento de privilégios local (LPE) foi descoberta nas versões do kernel Linux desde 2017 e está relacionada a um erro lógico no subsistema criptográfico do kernel, especificamente no módulo algif_aead. A exploração bem-sucedida da vulnerabilidade pode ser realizada através de um simples script Python de 732 bytes, que manipula a cache de páginas de arquivos executáveis setuid. Embora a vulnerabilidade não seja explorável remotamente, ela pode ser utilizada por qualquer usuário local para corromper a cache de página de um binário setuid, afetando potencialmente todas as distribuições Linux, incluindo Amazon Linux, RHEL, SUSE e Ubuntu. A gravidade da falha é elevada, com um CVSS de 7.8, e sua exploração é facilitada pela portabilidade e simplicidade do ataque, que não requer condições de corrida ou offsets de kernel. As distribuições Linux já emitiram avisos sobre a vulnerabilidade, e a comunidade de segurança está em alerta para suas implicações.

Vulnerabilidade Pack2TheRoot afeta o PackageKit no Linux

Uma nova vulnerabilidade, chamada Pack2TheRoot, foi identificada no daemon PackageKit, permitindo que usuários locais do Linux instalem ou removam pacotes do sistema e adquiram permissões de root. Classificada como CVE-2026-41651, a falha possui uma severidade alta, com nota de 8.8 em 10, e está presente no PackageKit há quase 12 anos. A vulnerabilidade foi descoberta pela equipe de segurança da Deutsche Telekom e afeta diversas distribuições Linux, incluindo Ubuntu, Debian e Fedora. A falha permite que comandos como ‘pkcon install’ sejam executados sem autenticação em certas condições, o que possibilita a instalação de pacotes de sistema sem permissão adequada. A versão 1.3.5 do PackageKit, que corrige essa falha, já está disponível, e os usuários são aconselhados a atualizá-la imediatamente. A vulnerabilidade pode ser explorada em várias distribuições que utilizam o PackageKit, e a falta de um patch pode deixar os sistemas vulneráveis a ataques. A equipe de pesquisa também observou que a exploração pode causar falhas no daemon, resultando em registros de erro que podem ser monitorados. Portanto, é crucial que os administradores de sistemas verifiquem suas versões do PackageKit e apliquem as atualizações necessárias.

Grupo Harvester expande malware GoGra para Linux visando a Ásia do Sul

O grupo de ciberespionagem conhecido como Harvester lançou uma nova versão do backdoor GoGra, agora direcionada a sistemas Linux, em ataques que visam entidades na Ásia do Sul, especialmente na Índia e no Afeganistão. O malware utiliza a API do Microsoft Graph e caixas de entrada do Outlook como um canal de comando e controle (C2) encoberto, permitindo que ele contorne as defesas tradicionais de rede. A Symantec e a Carbon Black identificaram que o malware é capaz de enganar as vítimas por meio de engenharia social, disfarçando arquivos ELF como documentos PDF. Uma vez instalado, o GoGra se conecta a uma pasta específica no Outlook a cada dois segundos, procurando por mensagens que contenham comandos a serem executados. Após a execução, os resultados são enviados de volta ao operador, enquanto o malware apaga as mensagens originais para evitar detecções. A continuidade do desenvolvimento de ferramentas pelo Harvester indica uma expansão de suas capacidades de ataque, o que representa um risco crescente para organizações que utilizam tecnologias da Microsoft na região.

Ameaça de execução remota de código via cookies em servidores Linux

Pesquisadores da Microsoft Defender alertam que atores de ameaças estão utilizando cookies HTTP como um canal de controle para shells web baseados em PHP em servidores Linux, visando a execução remota de código. Essa técnica permite que o código malicioso permaneça inativo durante a execução normal da aplicação, ativando-se apenas quando valores específicos de cookies estão presentes. O uso de cookies para controle de execução oferece uma camada adicional de furtividade, já que esses dados se misturam ao tráfego web normal, dificultando a detecção. As implementações incluem loaders PHP que utilizam ofuscação e verificações em tempo de execução, além de scripts que segmentam dados de cookies para executar cargas úteis secundárias. A pesquisa também revela que os atacantes podem obter acesso inicial ao ambiente Linux da vítima através de credenciais válidas ou exploração de vulnerabilidades conhecidas, configurando tarefas cron para invocar rotinas de shell periodicamente. Para mitigar essa ameaça, a Microsoft recomenda a implementação de autenticação multifator, monitoramento de atividades de login incomuns e auditoria de tarefas cron. Essa abordagem de controle por cookies sugere uma reutilização de técnicas de shell web estabelecidas, permitindo acesso persistente pós-compromisso que pode evadir controles tradicionais de inspeção e registro.

Kali Linux 2026.1 Novas ferramentas e melhorias na interface

A nova versão do Kali Linux, 2026.1, já está disponível para download e traz diversas novidades para profissionais de cibersegurança. Entre as principais atualizações, destacam-se a adição de 25 novos pacotes e a atualização de 183 outros, além da atualização do kernel para a versão 6.18. O Kali Team introduziu oito novas ferramentas, incluindo o AdaptixC2, um framework extensível para pós-exploração, e o Fluxion, uma ferramenta de auditoria de segurança e pesquisa em engenharia social.

Módulo Go malicioso coleta senhas e instala backdoor em Linux

Pesquisadores de cibersegurança revelaram um módulo Go malicioso que visa coletar senhas, criar acesso persistente via SSH e instalar um backdoor Linux conhecido como Rekoobe. O módulo, que se disfarça como parte do repositório legítimo ‘golang.org/x/crypto’, injeta código malicioso que exfiltra informações sensíveis inseridas em prompts de senha do terminal para um servidor remoto. Ao ser executado, o código baixa um script que adiciona a chave SSH do invasor ao arquivo ‘authorized_keys’ do usuário, altera as políticas do iptables para aceitar conexões e busca mais cargas úteis disfarçadas com a extensão .mp5. Entre essas cargas, uma é um trojan conhecido, Rekoobe, que permite ao invasor receber comandos e executar ações maliciosas no sistema. O Go security team já tomou medidas para bloquear o módulo, mas a natureza do ataque sugere que campanhas semelhantes podem ocorrer no futuro, visando bibliotecas de alta relevância. Defensores devem estar atentos a ataques de cadeia de suprimentos que possam afetar outras bibliotecas críticas de autenticação e conexão em sistemas Linux.

Hackers usam IRC para criar botnet em PCs Linux

Uma nova botnet chamada SSHStalker tem sido utilizada por hackers para controlar sistemas Linux, utilizando o protocolo Internet Relay Chat (IRC) para comunicação. De acordo com a empresa de cibersegurança Flare, a botnet explora vulnerabilidades do kernel do Linux, permitindo o comprometimento em massa de dispositivos. O ataque é automatizado e visa servidores com SSH aberto na porta 22, permitindo que os hackers invadam os sistemas de maneira semelhante a um worm. Uma vez dentro, a botnet pode realizar ataques de negação de serviço distribuídos (DDoS), mineração de criptomoedas e proxyjacking, além de manter acesso persistente ao sistema sem ser detectada. O SSHStalker também utiliza um scanner em Golang para localizar servidores vulneráveis e executa arquivos em C para apagar registros de conexão SSH, dificultando a detecção de suas atividades. Pesquisadores suspeitam que a operação tenha origem romena, com base em gírias e nomenclaturas encontradas nos canais de IRC. A botnet é capaz de comprometer até versões antigas do Linux, datadas de 2009, e possui um catálogo extenso de malware e ferramentas maliciosas de código aberto.

O antigo protocolo IRC retorna com a botnet SSHStalker

O SSHStalker, uma nova botnet Linux, utiliza o protocolo IRC (Internet Relay Chat) para gerenciar suas operações, explorando servidores em nuvem para fins lucrativos. O protocolo, criado em 1988, foi revitalizado por essa botnet, que se destaca por sua estrutura de múltiplos bots e canais redundantes, permitindo controle eficiente sobre dispositivos infectados. A infecção inicial ocorre por meio de ataques automatizados de força bruta via SSH, com a botnet se espalhando rapidamente por infraestruturas de servidores em nuvem, como as da Oracle. Após comprometer um host, o malware baixa um compilador GCC para construir cargas úteis diretamente no sistema, garantindo a execução confiável dos bots em diversas distribuições Linux. Além disso, a botnet coleta chaves da AWS, realiza varreduras de sites e possui capacidades de mineração de criptomoedas. Embora existam capacidades de DDoS, não foram observados ataques, sugerindo que a botnet pode estar em fase de testes. Para mitigar os riscos, recomenda-se monitorar instalações de compiladores, atividades incomuns em cron e conexões de saída no estilo IRC, além de desabilitar a autenticação por senha SSH e aplicar filtragem rigorosa de saída.

Nova botnet SSHStalker utiliza IRC para controle de sistemas Linux

Pesquisadores de cibersegurança revelaram detalhes sobre uma nova operação de botnet chamada SSHStalker, que utiliza o protocolo de comunicação Internet Relay Chat (IRC) para fins de comando e controle. A operação combina técnicas de exploração de sistemas Linux mais antigos com ferramentas de automação para comprometer em massa servidores vulneráveis, principalmente aqueles que ainda operam com versões do kernel Linux 2.6.x. O SSHStalker se destaca por manter acesso persistente aos sistemas comprometidos sem realizar ações de exploração subsequentes, sugerindo que a infraestrutura comprometida pode ser utilizada para testes ou retenção estratégica de acesso.

Nova botnet Linux SSHStalker utiliza IRC para operações de C2

A botnet SSHStalker, recentemente documentada, utiliza o protocolo IRC (Internet Relay Chat) para suas operações de comando e controle (C2). Embora o IRC tenha sido criado em 1988 e tenha alcançado seu auge nos anos 90, ele ainda é valorizado por sua simplicidade e baixo consumo de banda. A SSHStalker adota mecânicas clássicas do IRC, como múltiplos bots e redundância de servidores e canais, priorizando resiliência e baixo custo em vez de furtividade. A botnet consegue acesso inicial por meio de varreduras automatizadas de SSH e força bruta, utilizando um binário em Go que se disfarça como o utilitário de descoberta de rede nmap. Após infectar um host, a botnet baixa ferramentas para compilar cargas úteis, permitindo uma melhor portabilidade. A persistência é garantida por meio de cron jobs que verificam a execução do processo principal a cada 60 segundos. A SSHStalker também inclui capacidades de mineração de criptomoedas e coleta de chaves AWS, embora ainda não tenha sido observada a realização de ataques DDoS. A empresa de inteligência de ameaças Flare sugere que as organizações implementem soluções de monitoramento e restrinjam a autenticação por senha SSH para mitigar os riscos associados a essa botnet.

Falha crítica no Linux expõe 800 mil servidores a invasão sem senha

Uma falha crítica de autenticação no Telnet, identificada como CVE-2026-24061, expôs cerca de 800 mil servidores a invasões sem necessidade de senha. A vulnerabilidade afeta versões do telnetd GNU InetUtils desde 1.9.3 até 2.7, sendo corrigida apenas na versão 2.8, lançada em 20 de janeiro de 2026. A empresa de segurança Shadowserver está monitorando os endereços IP afetados, com a maioria localizada na Ásia (380 mil), América do Sul (170 mil) e Europa (100 mil). Apesar da correção, muitos dispositivos, especialmente aqueles que operam com sistemas legados e Internet das Coisas, podem ainda estar vulneráveis. Desde a divulgação da falha, atividades maliciosas foram detectadas, com 83% dos ataques visando o usuário root. Os atacantes tentaram executar malwares Python, mas falharam devido à falta de diretórios e binários. Para mitigar o risco, recomenda-se desabilitar o serviço telnetd vulnerável ou bloquear a porta TCP 23 nos firewalls.

Hackers invadem aplicativos inativos do Linux para roubar criptomoedas

Pesquisadores de segurança da Anchore alertaram sobre uma nova campanha de hackers que invadem aplicativos inativos do Linux, especificamente os pacotes Snap, para roubar criptomoedas. Os atacantes se aproveitam de aplicativos dormentes na Snap Store Canonical, que não recebem mais atualizações e têm seus domínios expirados. Ao adquirir esses domínios, os cibercriminosos redefinem senhas e atualizam o código dos aplicativos para incluir malware. Essa técnica tem sido utilizada principalmente em aplicativos de carteira de criptomoeda, como Exodus, Ledger Live e Trust Wallet, resultando em perdas financeiras significativas que variam de R$ 50 mil a R$ 2,5 milhões. O grupo responsável pelos ataques ainda não foi identificado, mas há indícios de que opere na Croácia. A Canonical está ciente do problema e trabalha para remover os snaps maliciosos, embora novos apareçam rapidamente. Os usuários são aconselhados a ter cautela ao baixar softwares relacionados a criptomoedas, especialmente carteiras.

Pacote malicioso no PyPI mina criptomoedas em sistemas Linux

Um novo pacote malicioso, identificado como sympy-dev, foi descoberto no Python Package Index (PyPI) e se disfarça como uma versão de desenvolvimento da popular biblioteca de matemática simbólica, SymPy. Desde sua publicação em 17 de janeiro de 2026, o pacote já foi baixado mais de 1.100 vezes, sugerindo que alguns desenvolvedores podem ter sido enganados. O pacote modificado atua como um downloader para um minerador de criptomoedas XMRig, ativando seu comportamento malicioso apenas quando certas funções polinomiais são chamadas, o que ajuda a evitar a detecção. O pesquisador de segurança Kirill Boychenko explicou que, ao serem invocadas, essas funções alteradas recuperam uma configuração JSON remota e baixam um payload ELF controlado por um ator de ameaça. Este método visa minimizar os artefatos deixados em disco, utilizando técnicas como memfd_create e /proc/self/fd. O objetivo final é minerar criptomoedas em sistemas Linux, utilizando configurações que priorizam mineração por CPU e desativam backends de GPU. A presença contínua do pacote no PyPI representa um risco significativo para desenvolvedores que podem não estar cientes da ameaça.

VoidLink malware nativo à nuvem criado com inteligência artificial

Pesquisadores da Check Point Research (CPR) identificaram um novo malware chamado VoidLink, que opera em ambientes Linux e foi desenvolvido quase que inteiramente com o auxílio de inteligência artificial (IA). O malware possui uma estrutura complexa, incluindo loaders, módulos de rootkit e uma variedade de plugins. A criação do VoidLink foi realizada em apenas uma semana, utilizando a TRAE SOLO, um assistente de IA que ajudou o desenvolvedor a gerar um código-fonte de 88.000 linhas. Embora o hacker não tenha conseguido ocultar completamente suas atividades, falhas em sua implementação permitiram que os pesquisadores acessassem o código e a documentação do projeto. O VoidLink é considerado o primeiro exemplo documentado de um malware avançado gerado por IA, o que levanta preocupações sobre a capacidade de indivíduos com conhecimentos técnicos limitados de criar ameaças cibernéticas sofisticadas. Essa nova era de desenvolvimento de malware pode alterar significativamente o cenário da cibersegurança, tornando mais fácil para cibercriminosos desenvolverem ferramentas complexas sem a necessidade de grandes equipes de desenvolvimento.

Malware VoidLink A Revolução da IA na Cibersegurança

O malware VoidLink, um sofisticado framework para Linux, foi desenvolvido com a ajuda de um modelo de inteligência artificial (IA), segundo a Check Point Research. Identificado como um dos primeiros exemplos de malware avançado gerado em grande parte por IA, o VoidLink possui mais de 88.000 linhas de código e foi projetado para acesso furtivo a ambientes em nuvem baseados em Linux. A análise sugere que um desenvolvedor experiente, possivelmente de origem chinesa, utilizou um agente de codificação chamado TRAE SOLO para acelerar o desenvolvimento, que levou menos de uma semana para criar um protótipo funcional. A pesquisa também revelou que a documentação interna do projeto, escrita em chinês, apresenta características típicas de conteúdo gerado por IA, como formatação consistente e detalhes meticulosos. Embora ainda não tenham sido observadas infecções reais, o desenvolvimento do VoidLink representa uma mudança significativa na forma como malware avançado pode ser criado, permitindo que indivíduos com menos recursos realizem ataques complexos de forma rápida e eficiente. Especialistas alertam que a IA está transformando a cibercriminalidade, tornando ferramentas sofisticadas acessíveis a qualquer um com um cartão de crédito.

Malware VoidLink Ameaça Avançada Desenvolvida com IA

O malware VoidLink, recentemente descoberto, é um framework avançado focado em ambientes de nuvem, desenvolvido por um único criador com auxílio de um modelo de inteligência artificial. De acordo com a Check Point Research, o VoidLink é um malware para Linux que inclui carregadores personalizados, implantes, módulos de rootkit para evasão e uma variedade de plugins que ampliam suas funcionalidades. A pesquisa sugere que o desenvolvedor possui forte proficiência em várias linguagens de programação, possivelmente originando-se da China.

Malware nativo da nuvem ameaça sistemas Linux

Pesquisadores da Check Point Research (CPR) descobriram o VoidLink, um novo framework de malware projetado especificamente para ambientes de nuvem que operam com Linux. Este malware, que se infiltra silenciosamente nas infraestruturas digitais, representa uma evolução nos ataques cibernéticos, focando em compromissos de longo prazo e ocultos. O VoidLink é escrito na linguagem Zig e é capaz de identificar plataformas como Kubernetes e Docker, ajustando seu comportamento conforme o ambiente. Além disso, ele coleta credenciais de sistemas de controle de versão, como o Git, o que sugere que desenvolvedores de software podem ser alvos de espionagem ou ataques futuros. O malware possui características semelhantes a rootkits, permitindo a expansão de suas funções através de um sistema de plugins em memória. Embora ainda não haja evidências de infecções ativas, o framework pode ser oferecido como um serviço no futuro. Para mitigar essas ameaças, é essencial que as organizações adotem uma abordagem de segurança que inclua visibilidade contínua e inteligência de ameaças em tempo real, especialmente em ambientes de nuvem e Linux.

Malware VoidLink Ameaça Avançada em Ambientes Linux na Nuvem

Pesquisadores de cibersegurança revelaram detalhes sobre o VoidLink, um novo e sofisticado framework de malware projetado para acesso prolongado e furtivo a ambientes de nuvem baseados em Linux. Descoberto em dezembro de 2025, o VoidLink é uma ferramenta modular que inclui carregadores personalizados, implantes, rootkits e plugins, permitindo que seus operadores adaptem suas capacidades ao longo do tempo. O framework é escrito na linguagem Zig e é capaz de detectar e se adaptar a ambientes de nuvem como AWS, Google Cloud e Microsoft Azure, além de coletar credenciais de sistemas de controle de versão como Git.

Hackers chineses ameaçam telecomunicações com malwares de Linux

O grupo hacker chinês UAT-7290 tem se destacado por suas atividades de invasão a instituições no sul da Ásia e sudeste da Europa, utilizando malwares como RushDrop, DriveSwitch e SilentRaid. Desde 2022, o grupo tem se concentrado em realizar um reconhecimento técnico detalhado de seus alvos antes de executar os ataques, que incluem a instalação de centros de Operação de Caixa de Retransmissão (ORB) para garantir anonimato e facilitar a espionagem. Os malwares utilizados são predominantemente baseados em Linux e permitem uma série de atividades maliciosas, como execução de shellcode, gerenciamento de arquivos e keylogging. Os hackers estão associados a outros grupos chineses, como Stone Panda e RedFoxTrot, e utilizam vulnerabilidades zero-day e força bruta SSH para comprometer dispositivos. A maioria das vítimas está localizada no sul da Ásia, mas também há registros de ataques na Europa. A situação é preocupante, pois a infraestrutura de telecomunicações pode ser um alvo estratégico para espionagem e ataques cibernéticos em larga escala.