Vulnerabilidades

O cenário da cibersegurança continua a evoluir com novos ataques e defesas. Recentemente, o Google desmantelou a rede de proxy residencial IPIDEA, que utilizava dispositivos de usuários como parte de cadeias de ataques cibernéticos. Essa rede permitia que criminosos ocultassem seu tráfego malicioso e expunha os dispositivos dos usuários a novos ataques. A ação legal do Google resultou na redução do número de dispositivos disponíveis na rede em milhões. Além disso, a Microsoft lançou patches para uma vulnerabilidade crítica em seu Office, classificada como CVE-2026-21509, que permitia a bypass de recursos de segurança. A Ivanti também corrigiu falhas em seu Endpoint Manager Mobile, que permitiam execução remota de código não autenticado. Em outro incidente, a Polônia atribuiu ataques cibernéticos a uma rede ligada ao serviço de segurança da Rússia, afetando usinas de energia. Por fim, uma nova campanha de cibercriminosos está explorando endpoints de IA expostos, visando roubar recursos e dados. Esses eventos destacam a necessidade de vigilância constante e atualização de sistemas de segurança.

Um ator de ameaças está atacando instâncias expostas do MongoDB em uma série de extorsões automatizadas, exigindo resgates baixos para restaurar os dados. O foco do atacante são bancos de dados inseguros, resultantes de configurações inadequadas que permitem acesso sem restrições. Até o momento, cerca de 1.400 servidores expostos foram comprometidos, com notas de resgate solicitando aproximadamente $500 em Bitcoin. Pesquisadores da empresa de cibersegurança Flare identificaram mais de 208.500 servidores MongoDB publicamente expostos, dos quais 3.100 podiam ser acessados sem autenticação. Quase metade (45,6%) desses servidores já havia sido comprometida, com dados apagados e notas de resgate deixadas. A análise das notas revelou que a maioria exigia um pagamento de 0.005 BTC em até 48 horas, sem garantias de que os atacantes realmente possuíam os dados ou forneceriam uma chave de descriptografia funcional. Flare recomenda que administradores do MongoDB evitem expor instâncias publicamente, utilizem autenticação forte e atualizem para as versões mais recentes do software. A situação é preocupante, pois muitos servidores expostos ainda estão vulneráveis a falhas conhecidas, o que pode levar a ataques adicionais.

Um estudo recente da empresa de cibersegurança Aisle revelou 12 vulnerabilidades no OpenSSL, um dos principais padrões de segurança da internet, utilizando inteligência artificial. Essas falhas, algumas com mais de 20 anos, não foram detectadas por revisões manuais anteriores. As vulnerabilidades variam em severidade, desde alta até moderada, e incluem problemas críticos como transbordamento de buffer e falta de validação, que podem permitir a execução remota de códigos maliciosos. O OpenSSL é amplamente utilizado para implementar protocolos de segurança TLS e SSL, sendo essencial para a proteção de sites com HTTPS. A Aisle já disponibilizou correções para as falhas identificadas, em colaboração com a OpenSSL. O uso de IA na detecção de vulnerabilidades tem se mostrado eficaz, pois consegue analisar o código de forma contextual, priorizando as ameaças e reduzindo falsos positivos. Este avanço na cibersegurança é crucial, especialmente considerando que a indústria enfrenta um aumento nas ameaças digitais que também utilizam inteligência artificial.

A Ivanti divulgou duas vulnerabilidades críticas em seu software Ivanti Endpoint Manager Mobile (EPMM), identificadas como CVE-2026-1281 e CVE-2026-1340, que estão sendo exploradas em ataques zero-day. Ambas as falhas são vulnerabilidades de injeção de código que permitem que atacantes remotos executem códigos arbitrários em dispositivos vulneráveis sem necessidade de autenticação, apresentando um CVSS de 9.8. A empresa confirmou que um número muito limitado de clientes teve suas soluções exploradas até o momento da divulgação. Para mitigar os riscos, a Ivanti lançou scripts RPM para as versões afetadas do EPMM, sem necessidade de downtime. Contudo, os patches não sobrevivem a atualizações de versão e devem ser reaplicados após upgrades. A exploração bem-sucedida dessas vulnerabilidades pode permitir acesso a informações sensíveis, como nomes de usuários, endereços de e-mail e dados de dispositivos móveis gerenciados. A CISA dos EUA incluiu a CVE-2026-1281 em seu catálogo de Vulnerabilidades Conhecidas Exploitadas, reforçando a urgência da aplicação das correções. A Ivanti recomenda que, em caso de comprometimento, os administradores restauram o EPMM a partir de um backup conhecido e realizem ações de segurança adicionais, como redefinir senhas de contas e revogar certificados públicos.

A Ivanti anunciou a liberação de atualizações de segurança para corrigir duas vulnerabilidades críticas no Ivanti Endpoint Manager Mobile (EPMM), que foram exploradas em ataques zero-day. As falhas, identificadas como CVE-2026-1281 e CVE-2026-1340, possuem uma pontuação CVSS de 9.8, permitindo a execução remota de código não autenticado. As versões afetadas incluem EPMM 12.5.0.0 e anteriores, 12.6.0.0 e anteriores, e 12.7.0.0 e anteriores. A correção será incluída na versão 12.8.0.0, prevista para ser lançada no primeiro trimestre de 2026. A Ivanti alertou que um número limitado de clientes teve suas soluções comprometidas e recomendou que os usuários verifiquem logs de acesso e mudanças de configuração para identificar possíveis explorações. A CISA adicionou a CVE-2026-1281 ao seu catálogo de vulnerabilidades conhecidas, exigindo que agências federais dos EUA apliquem as atualizações até 1º de fevereiro de 2026. As falhas afetam funcionalidades específicas do EPMM, mas não impactam outros produtos da Ivanti, como o Ivanti Neurons para MDM e o Ivanti Sentry.

Um estudo da OMICRON identificou lacunas significativas na cibersegurança das redes de tecnologia operacional (OT) em subestações, usinas e centros de controle ao redor do mundo. A análise, baseada em dados de mais de 100 instalações, destacou problemas técnicos, organizacionais e funcionais que tornam a infraestrutura energética vulnerável a ameaças cibernéticas. As avaliações, realizadas com o sistema de detecção de intrusões StationGuard, revelaram vulnerabilidades como dispositivos desatualizados, conexões externas inseguras e segmentação de rede fraca. Além disso, questões organizacionais, como responsabilidades pouco claras e falta de recursos, foram apontadas como fatores que aumentam os riscos. O estudo enfatiza a necessidade urgente de soluções de segurança robustas e adaptadas às particularidades dos ambientes de OT, especialmente em um cenário onde as redes de TI e OT estão se convergindo rapidamente. A implementação de sistemas de detecção de intrusões é crucial, pois muitos dispositivos operam sem sistemas operacionais padrão, tornando a detecção em nível de rede a única opção viável.

As atualizações desta semana em cibersegurança destacam como pequenas mudanças podem gerar grandes problemas, especialmente em sistemas que as pessoas utilizam diariamente. O FBI anunciou a apreensão do fórum de cibercrime RAMP, que se tornou um ponto de encontro para atividades ilícitas após a proibição de operações de ransomware em outros fóruns. A administração do RAMP reconheceu que a apreensão comprometeu anos de trabalho, enquanto grupos criminosos já estão migrando para novas plataformas, como Rehub, o que pode aumentar os riscos de reputação e segurança.

A SolarWinds divulgou atualizações de segurança para corrigir várias vulnerabilidades críticas em seu software Web Help Desk, incluindo quatro falhas que podem permitir a execução remota de código (RCE) e a bypass de autenticação. As vulnerabilidades, identificadas como CVE-2025-40536 a CVE-2025-40554, variam em severidade, com algumas apresentando pontuações CVSS de até 9.8, indicando um risco elevado. Entre as falhas, destacam-se a deserialização de dados não confiáveis, que pode permitir que atacantes não autenticados executem comandos no sistema alvo. A descoberta dessas vulnerabilidades foi creditada a especialistas de segurança, e a SolarWinds já lançou a versão WHD 2026.1 para mitigar os riscos. A empresa tem um histórico recente de correções de segurança, e a urgência em atualizar para a versão mais recente é enfatizada, dado que falhas anteriores foram exploradas ativamente. A CISA (Agência de Segurança Cibernética e Infraestrutura dos EUA) já havia incluído vulnerabilidades anteriores da SolarWinds em seu catálogo de Exploits Conhecidos, reforçando a necessidade de atenção imediata por parte dos usuários do software.

Duas vulnerabilidades graves foram identificadas na plataforma de automação de fluxos de trabalho n8n, permitindo que atacantes comprometam completamente as instâncias afetadas, acessem dados sensíveis e executem código arbitrário no host subjacente. As falhas, identificadas como CVE-2026-1470 e CVE-2026-0863, foram descobertas pela empresa de segurança JFrog. A CVE-2026-1470, com uma pontuação de severidade crítica de 9.9, permite a execução de código arbitrário devido a uma falha na manipulação de JavaScript, enquanto a CVE-2026-0863 explora uma falha no Python que permite a execução de comandos do sistema operacional. Ambas as vulnerabilidades exigem autenticação, mas podem ser exploradas por usuários não administradores, o que aumenta o risco. As versões afetadas foram corrigidas, e os usuários são aconselhados a atualizar para as versões mais recentes. A n8n, que é amplamente utilizada para automação de tarefas e integrações com serviços de IA, tem visto um aumento na atenção de pesquisadores de segurança devido a falhas críticas recentes. A situação é preocupante, pois muitas instâncias ainda estão vulneráveis, indicando uma lenta taxa de correção entre os usuários.

Uma pesquisa da ISH Tecnologia revelou que o WinRAR, uma ferramenta amplamente utilizada para compressão de arquivos, está sendo explorada por hackers para distribuir malwares, como infostealers e trojans, que visam roubar credenciais e realizar fraudes bancárias. Os criminosos disfarçam esses malwares como arquivos comuns, como currículos e documentos corporativos, o que aumenta o risco de infecção. Além disso, grupos estatais de espionagem digital, como o russo Sandworm e o chinês APT40, também estão utilizando essas vulnerabilidades para infiltração e roubo de dados em setores críticos, como energia e defesa. A ISH recomenda que os usuários atualizem o WinRAR ou considerem a substituição por alternativas que ofereçam atualizações automáticas. É importante também evitar abrir anexos suspeitos e monitorar atividades estranhas após a extração de arquivos. A falta de um sistema de atualização automática no WinRAR pode expor usuários a riscos sérios, mesmo após a liberação de correções para vulnerabilidades.

A SolarWinds anunciou a liberação de atualizações de segurança para corrigir vulnerabilidades críticas em seu software Web Help Desk, que é amplamente utilizado por empresas, instituições de saúde e agências governamentais. As falhas de bypass de autenticação, identificadas como CVE-2025-40552 e CVE-2025-40554, permitem que atacantes remotos não autenticados realizem ataques de baixa complexidade. Além disso, uma vulnerabilidade crítica de execução remota de código (CVE-2025-40553) foi descoberta, possibilitando que atacantes sem privilégios executem comandos em sistemas vulneráveis. Outra falha de RCE (CVE-2025-40551) também foi relatada, aumentando o risco de exploração. A SolarWinds também corrigiu uma vulnerabilidade de credenciais hardcoded (CVE-2025-40537), que poderia permitir acesso não autorizado a funções administrativas. A empresa recomenda que os administradores atualizem seus servidores para a versão 2026.1 do Web Help Desk o mais rápido possível, uma vez que vulnerabilidades anteriores já foram exploradas em ataques. O alerta é especialmente relevante, pois a CISA já havia classificado falhas anteriores como ativamente exploradas, exigindo ações rápidas de agências governamentais.

Pesquisadores de cibersegurança revelaram duas falhas significativas na plataforma n8n, que é amplamente utilizada para automação de workflows. A primeira vulnerabilidade, identificada como CVE-2026-1470, possui uma pontuação CVSS de 9.9 e permite que um usuário autenticado contorne o mecanismo de sandbox da expressão, possibilitando a execução remota de código JavaScript malicioso. A segunda falha, CVE-2026-0863, com pontuação CVSS de 8.5, permite a execução de código Python arbitrário no sistema operacional subjacente, também por um usuário autenticado. A exploração bem-sucedida dessas vulnerabilidades pode permitir que um atacante assuma o controle total de uma instância do n8n, mesmo em modo de execução interna, o que representa um risco significativo para a segurança das organizações. Os desenvolvedores recomendam que os usuários atualizem para versões específicas para mitigar esses riscos. Essas falhas destacam a dificuldade de manter a segurança em linguagens dinâmicas como JavaScript e Python, onde características sutis podem ser exploradas para contornar medidas de segurança.

As equipes de cibersegurança estão se afastando da análise isolada de ameaças e vulnerabilidades, buscando entender como essas interagem em seu ambiente real. A Gestão Contínua de Exposição a Ameaças (CTEM) é uma abordagem que se destaca nesse contexto, promovendo um ciclo contínuo de identificação, priorização e remediação de exposições exploráveis. Definida pela Gartner, a CTEM envolve cinco etapas: escopo, descoberta, priorização, validação e mobilização, visando melhorar a postura de segurança das organizações.

Durante a competição Pwn2Own no Automotive World 2026, realizada em Tóquio, pesquisadores revelaram vulnerabilidades preocupantes em sistemas de infoentretenimento e carregadores elétricos de veículos. Um dos destaques foi a demonstração de como um carregador portátil, o Autel MaxiCharger AC Elite Home 40A, pode ser comprometido usando um cartão NFC, permitindo que um invasor assuma o controle total do sistema. Ao longo do evento, foram identificadas 66 vulnerabilidades de dia zero nos primeiros dois dias, com cinco em cada seis tentativas de invasão sendo bem-sucedidas. Os especialistas notaram que muitos ataques se aproveitam de falhas simples e não corrigidas, especialmente em sistemas de infoentretenimento, que são mais fáceis de invadir. Além disso, mesmo com sistemas de segurança complexos, os carregadores elétricos ainda são vulneráveis a ataques via Bluetooth. A falta de processos rigorosos de revisão de segurança em componentes automotivos contribui para a proliferação dessas vulnerabilidades, tornando a situação ainda mais alarmante, já que hackers podem usar ferramentas de manutenção para causar danos sem a necessidade de falhas ativas.

O artigo destaca a crescente vulnerabilidade em sistemas de segurança, evidenciada por falhas em ferramentas amplamente utilizadas. Um exemplo crítico é a exploração de uma vulnerabilidade de autenticação em firewalls da Fortinet, que, mesmo após atualizações, ainda apresenta riscos. A empresa confirmou que a falha, relacionada aos CVEs 2025-59718 e 2025-59719, permite que atacantes contornem a autenticação SSO, mesmo em dispositivos atualizados. Além disso, o surgimento de malware como o VoidLink, gerado quase inteiramente por inteligência artificial, representa uma nova era na criação de software malicioso, complicando a atribuição de ataques. Outro ponto alarmante é a vulnerabilidade crítica no daemon telnetd do GNU InetUtils, que permite acesso não autorizado a sistemas, afetando versões desde 1.9.3 até 2.7. O uso de técnicas de vishing e campanhas de malvertising também são destacados, mostrando que os atacantes estão se adaptando rapidamente. O cenário atual exige atenção redobrada das empresas, especialmente em relação à proteção de dados e conformidade com a LGPD.

Ataques digitais sofisticados estão colocando em risco a segurança de aplicativos de mensagens como WhatsApp e Telegram, utilizados por milhões de brasileiros. Esses ataques, conhecidos como ‘zero clique’, não requerem que o usuário clique em links suspeitos ou interaja com arquivos, explorando vulnerabilidades invisíveis nos aplicativos. Segundo Paulo Trindade, especialista em inteligência de ameaças, os invasores utilizam falhas de software para instalar códigos maliciosos que comprometem o dispositivo de forma silenciosa, muitas vezes apenas com o recebimento de um conteúdo malicioso. A identificação desses ataques é complexa, pois os sinais de comprometimento são sutis, podendo se manifestar como lentidão momentânea no aparelho. Para mitigar os riscos, Trindade recomenda práticas preventivas, como evitar grupos desconhecidos e manter os aplicativos atualizados, uma vez que as atualizações corrigem brechas de segurança. O artigo destaca a importância de estar ciente dessas ameaças, especialmente em um cenário onde a comunicação digital é essencial para a vida cotidiana.

O fundador do curl, Daniel Stenberg, anunciou que o projeto não participará mais do programa de recompensas por bugs da HackerOne, devido ao aumento de relatos de vulnerabilidades de baixa qualidade, muitos dos quais foram gerados por inteligência artificial. Essa decisão, que entra em vigor em 1º de fevereiro de 2026, foi motivada pela pressão sobre a pequena equipe do curl, que enfrentou um aumento significativo de relatos inválidos, afetando sua saúde mental. O curl, uma ferramenta de linha de comando amplamente utilizada para transferência de dados, tinha um programa de recompensas ativo desde 2019, mas a qualidade dos relatos se deteriorou, com Stenberg relatando que, em uma semana, foram recebidos sete relatos, todos sem identificação de vulnerabilidades reais. A partir de agora, os relatos serão aceitos apenas através do GitHub, e aqueles que enviarem informações irrelevantes poderão ser banidos e expostos publicamente. Essa mudança reflete um desafio crescente na cibersegurança, onde a automação e a IA estão impactando a qualidade das informações recebidas por projetos de segurança.

A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) emitiu um alerta sobre a exploração ativa de quatro vulnerabilidades em softwares empresariais, incluindo produtos da Versa e Zimbra, além do framework Vite e do formatador de código Prettier. Essas falhas foram adicionadas ao catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV) da CISA, indicando que hackers estão utilizando essas brechas em ataques reais.

Uma das vulnerabilidades, CVE-2025-31125, é uma falha de controle de acesso que pode expor arquivos não permitidos em instâncias de desenvolvimento expostas. Outra, CVE-2025-34026, é uma falha crítica de bypass de autenticação na plataforma Versa Concerto, que permite acesso a endpoints administrativos devido a uma configuração inadequada do proxy reverso Traefik.

O governo australiano está investigando a vulnerabilidade de ônibus elétricos fabricados pela Yutong Bus, uma empresa chinesa, que circulam no país. A falha identificada refere-se a um mecanismo de desligamento que pode ser acessado remotamente, levantando preocupações sobre a possibilidade de o governo chinês ou hackers maliciosos desativarem a frota em momentos críticos. Embora os pesquisadores tenham destacado que as vulnerabilidades encontradas não são incomuns em tecnologias integradas, a situação gera apreensão em relação à segurança nacional. Além disso, a Yutong já enfrentou polêmicas anteriormente, incluindo investigações sobre a origem de suas baterias. Em testes realizados na Noruega, foi confirmado que os ônibus possuem uma conexão remota, o que permite a desativação dos veículos pela fabricante. Os pesquisadores também identificaram falhas na atualização de software, embora não tenham encontrado evidências de que os mecanismos de desativação tenham sido projetados para fins maliciosos. O caso destaca a necessidade de monitoramento e avaliação contínua das tecnologias utilizadas no transporte público.

O concurso Pwn2Own Automotive 2026, realizado entre 21 e 23 de janeiro em Tóquio, Japão, resultou na exploração de 76 vulnerabilidades zero-day, gerando prêmios totais de $1.047.000 para os pesquisadores de segurança. O evento, que ocorreu durante a Automotive World, focou em tecnologias automotivas, incluindo sistemas de infotainment (IVI) e carregadores de veículos elétricos (EV). A equipe Fuzzware.io destacou-se, arrecadando $215.000, ao explorar falhas em estações de carregamento e sistemas de navegação. A competição permitiu que os fornecedores tivessem um prazo de 90 dias para corrigir as vulnerabilidades antes de sua divulgação pública. O evento anterior, Pwn2Own Automotive 2024, já havia visto hackers arrecadarem $1.323.750, evidenciando a crescente preocupação com a segurança em tecnologias automotivas. A exploração de zero-days em sistemas críticos, como o infotainment da Tesla, ressalta a necessidade urgente de medidas de segurança robustas na indústria automotiva.

O uso de modelos de IA para auxiliar na escrita de código, conhecido como “vibe coding”, tem se tornado comum entre equipes de desenvolvimento, oferecendo economia de tempo, mas também introduzindo riscos de segurança. Um estudo de caso da Intruder ilustra como um código gerado por IA pode criar vulnerabilidades. Ao desenvolver um honeypot para coletar tentativas de exploração, a equipe utilizou IA para criar um protótipo. Após a implementação, logs mostraram que cabeçalhos de IP fornecidos pelo cliente estavam sendo tratados como IPs de visitantes, permitindo que atacantes injetassem cargas úteis. Essa falha, que poderia ter consequências graves, foi detectada apenas após uma revisão manual, evidenciando a limitação da análise estática de código. A experiência ressalta a necessidade de cautela ao confiar em código gerado por IA, especialmente por equipes sem formação em segurança. Com o aumento das ameaças cibernéticas, é crucial que as organizações revisitem seus processos de revisão de código e detecção de vulnerabilidades para evitar que problemas semelhantes passem despercebidos.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu quatro novas vulnerabilidades em seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV), destacando a exploração ativa dessas falhas. Entre elas, a CVE-2025-68645, com uma pontuação CVSS de 8.8, é uma vulnerabilidade de inclusão remota de arquivos no Synacor Zimbra Collaboration Suite, permitindo que atacantes remotos incluam arquivos arbitrários sem autenticação. Outra vulnerabilidade crítica é a CVE-2025-34026, com pontuação 9.2, que permite a bypass de autenticação na plataforma Versa Concerto SD-WAN, possibilitando acesso a endpoints administrativos. A CVE-2025-31125, com pontuação 5.3, refere-se a um controle de acesso inadequado no Vite Vitejs, enquanto a CVE-2025-54313, com pontuação 7.5, envolve um ataque à cadeia de suprimentos que comprometeu o eslint-config-prettier e outros pacotes npm, permitindo a execução de um DLL malicioso. A CISA exige que as agências federais apliquem correções até 12 de fevereiro de 2026 para proteger suas redes contra essas ameaças ativas.

O projeto curl, uma popular ferramenta de linha de comando para transferência de dados, anunciou o fim de seu programa de recompensas por vulnerabilidades na HackerOne, a partir do final deste mês. A decisão foi motivada pelo aumento de relatórios de baixa qualidade, muitos dos quais gerados por inteligência artificial, que sobrecarregaram a equipe de segurança do projeto. Daniel Stenberg, fundador e desenvolvedor principal do curl, destacou que, até o final de janeiro de 2026, ainda serão aceitas submissões, mas a partir de fevereiro, os pesquisadores deverão relatar problemas de segurança diretamente pelo GitHub. O projeto não oferecerá mais recompensas financeiras e advertiu que relatórios considerados de baixa qualidade resultarão em banimento e ridicularização pública. Essa mudança reflete uma preocupação com a saúde mental da equipe e a necessidade de manter a eficiência do projeto, que é mantido por um número limitado de colaboradores. Stenberg também observou um aumento significativo nas submissões de vulnerabilidades em comparação com outros projetos de código aberto, o que reforça a urgência da decisão.

Durante o segundo dia do Pwn2Own Automotive 2026, realizado em Tóquio, pesquisadores de segurança arrecadaram US$ 439.250 (cerca de R$ 2,3 milhões) ao explorar 29 vulnerabilidades zero-day. O evento, que ocorre de 21 a 23 de janeiro, foca em tecnologias automotivas, incluindo sistemas de infotainment e carregadores de veículos elétricos. A equipe Fuzzware.io lidera a competição com US$ 213.000 em prêmios, destacando-se ao hackear o controlador de carregamento Phoenix Contact CHARX SEC-3150 e o carregador ChargePoint Home Flex. Outros participantes, como Sina Kheirkhah e Rob Blakely, também conseguiram exploits significativos, totalizando até agora US$ 955.750 em prêmios após dois dias. O evento é uma plataforma importante para a identificação de falhas de segurança, com um prazo de 90 dias para que os fornecedores lancem correções para as vulnerabilidades exploradas. O Pwn2Own Automotive de 2026 já demonstrou um aumento no número de zero-days em comparação aos anos anteriores, o que levanta preocupações sobre a segurança das tecnologias automotivas em um mercado em rápida evolução.

A empresa de cibersegurança Arctic Wolf alertou sobre um novo cluster de atividades maliciosas automatizadas que envolvem mudanças não autorizadas nas configurações de firewall de dispositivos Fortinet FortiGate. Essa atividade teve início em 15 de janeiro de 2026 e apresenta semelhanças com uma campanha anterior de dezembro de 2025, onde logins SSO maliciosos foram registrados em contas administrativas, explorando as vulnerabilidades CVE-2025-59718 e CVE-2025-59719. Essas falhas permitem a bypass não autenticada da autenticação SSO através de mensagens SAML manipuladas, afetando FortiOS, FortiWeb, FortiProxy e FortiSwitchManager.

Pesquisadores da Zafran Labs descobriram duas vulnerabilidades de alta gravidade no Chainlit, um framework open-source amplamente utilizado para desenvolver aplicações de IA conversacional. As falhas, conhecidas como ‘ChainLeak’, permitem que atacantes leiam qualquer arquivo no servidor, expondo informações sensíveis. A primeira vulnerabilidade, CVE-2026-22218, permite a leitura arbitrária de arquivos através do endpoint /project/element, onde um atacante pode enviar um elemento personalizado com um campo ‘path’ controlado, acessando arquivos como chaves de API e credenciais de contas em nuvem. A segunda, CVE-2026-22219, envolve uma falsificação de requisição do lado do servidor (SSRF), onde um atacante pode manipular o campo ‘url’ para forçar o servidor a buscar dados de URLs externas, que podem incluir serviços REST internos. Ambas as vulnerabilidades podem ser combinadas para comprometer completamente o sistema e permitir movimentos laterais em ambientes de nuvem. As falhas foram corrigidas na versão 2.9.4 do Chainlit, lançada em 24 de dezembro de 2025, e as organizações afetadas são aconselhadas a atualizar imediatamente para evitar exploração. Com 700 mil downloads mensais, o Chainlit é utilizado em diversas indústrias, tornando a situação ainda mais crítica.

Uma nova iniciativa europeia, chamada Global Cybersecurity Vulnerability Enumeration (GCVE), foi lançada como uma alternativa ao programa americano Common Vulnerabilities and Exposures (CVE). O GCVE visa criar um banco de dados abrangente sobre vulnerabilidades de cibersegurança, reunindo informações de mais de 25 fontes públicas. O objetivo principal é reduzir os pontos de falha e promover a inovação na gestão de vulnerabilidades, permitindo que profissionais e pesquisadores de todo o mundo analisem dados de forma mais eficiente. A criação do GCVE surge em um contexto de incerteza em relação ao CVE, especialmente após a crise enfrentada em 2025, quando o governo dos EUA cancelou contratos significativos com a MITRE, a organização que administra o CVE. Especialistas, como William Wright, CEO da Closed Door Security, destacam que o GCVE pode se tornar uma alternativa confiável caso o programa americano seja encerrado, facilitando um processo de documentação mais ágil em meio a ameaças cibernéticas. Essa iniciativa é bem recebida pela comunidade de cibersegurança, que busca alternativas descentralizadas para enfrentar os desafios globais do setor.

Durante a competição Pwn2Own Automotive 2026, realizada em Tóquio, o time Synacktiv conseguiu explorar 37 vulnerabilidades zero-day no sistema de infotainment da Tesla, resultando em um prêmio de US$ 516.500. O ataque foi realizado através de uma combinação de falhas, incluindo um vazamento de informações e uma falha de escrita fora dos limites, que permitiram ao time obter permissões de root. Além disso, o time Fuzzware.io arrecadou US$ 118.000 ao hackear estações de carregamento e receptores de navegação. No segundo dia da competição, mais equipes se preparam para atacar dispositivos como o Grizzl-E Smart 40A e o ChargePoint Home Flex, com recompensas de até US$ 50.000 por cada sucesso. Os fornecedores têm um prazo de 90 dias para corrigir as falhas antes que sejam divulgadas publicamente. A competição destaca a vulnerabilidade crescente em tecnologias automotivas, especialmente em sistemas de infotainment e carregadores de veículos elétricos, que são cada vez mais alvo de ataques cibernéticos.

Um novo relatório da empresa de testes de penetração automatizados Pentera revela que atores maliciosos estão explorando aplicações web mal configuradas, como DVWA e OWASP Juice Shop, para acessar ambientes de nuvem de grandes empresas, incluindo várias da lista Fortune 500. Essas aplicações, que são intencionalmente vulneráveis para fins de treinamento, representam um risco significativo quando expostas na internet pública e associadas a contas de nuvem privilegiadas. A pesquisa identificou 1.926 aplicações vulneráveis expostas, frequentemente ligadas a funções de IAM (Gerenciamento de Identidade e Acesso) excessivamente privilegiadas. Os hackers têm utilizado esses pontos de entrada para implantar mineradores de criptomoedas, webshells e mecanismos de persistência em sistemas comprometidos. A investigação revelou que cerca de 20% das instâncias do DVWA analisadas continham artefatos implantados por atacantes, com atividades de mineração de criptomoedas sendo realizadas em segundo plano. Os pesquisadores recomendam que as organizações mantenham um inventário abrangente de todos os recursos em nuvem e adotem práticas de segurança como a mudança de credenciais padrão e a aplicação do princípio do menor privilégio. As empresas afetadas, como Cloudflare e Palo Alto Networks, já foram notificadas e corrigiram as falhas identificadas.

Zoom e GitLab divulgaram atualizações de segurança para corrigir vulnerabilidades que podem resultar em negação de serviço (DoS) e execução remota de código. A falha mais grave afeta os Roteadores Multimídia Zoom Node (MMRs), permitindo que um participante de reunião execute código remotamente. Essa vulnerabilidade, identificada como CVE-2026-22844, possui um CVSS de 9.9, indicando um risco crítico. A Zoom recomenda que os usuários atualizem para a versão mais recente do MMR para evitar possíveis ameaças. Além disso, a GitLab lançou correções para várias falhas de alta gravidade em suas edições Community e Enterprise, que podem causar DoS e contornar a autenticação de dois fatores (2FA). As vulnerabilidades incluem CVE-2025-13927 e CVE-2025-13928, ambas com CVSS de 7.5, que permitem que usuários não autenticados provoquem condições de DoS. A GitLab também corrigiu uma falha (CVE-2026-0723) que permite a um indivíduo contornar a 2FA. Embora não haja evidências de exploração ativa dessas falhas, a atualização é essencial para garantir a segurança dos sistemas.

Recentemente, foram descobertas vulnerabilidades de alta severidade no framework de inteligência artificial Chainlit, que podem permitir que atacantes roubem dados sensíveis e realizem movimentos laterais dentro de organizações vulneráveis. Denominadas coletivamente de ChainLeak, as falhas incluem a CVE-2026-22218, uma vulnerabilidade de leitura arbitrária de arquivos, e a CVE-2026-22219, uma vulnerabilidade de Server-Side Request Forgery (SSRF). Ambas as falhas podem ser exploradas para acessar chaves de API e arquivos sensíveis, comprometendo a segurança de aplicações de IA. A Chainlit, que já foi baixada mais de 7,3 milhões de vezes, lançou uma correção para essas vulnerabilidades na versão 2.9.4, após a divulgação responsável em novembro de 2025. A Zafran Security alerta que a adoção rápida de frameworks de IA pode introduzir novas superfícies de ataque, tornando sistemas vulneráveis a classes de falhas conhecidas. Além disso, uma vulnerabilidade no servidor MarkItDown da Microsoft também foi divulgada, permitindo acesso não autorizado a recursos URI, o que pode resultar em escalonamento de privilégios e vazamento de dados.

O cenário de cibersegurança está em constante evolução, com a linha entre atualizações normais e incidentes graves se tornando cada vez mais tênue. Recentemente, uma vulnerabilidade crítica no Fortinet FortiSIEM, identificada como CVE-2025-64155, foi explorada ativamente, permitindo que atacantes não autenticados executassem códigos maliciosos. Essa falha, com um escore CVSS de 9.4, compromete o serviço phMonitor, que opera com privilégios elevados, possibilitando controle total do sistema. Além disso, um novo malware chamado VoidLink, voltado para ambientes Linux, foi desenvolvido para garantir acesso de longo prazo e coleta de dados, utilizando técnicas de evasão sofisticadas para evitar detecção.

Um grupo de hackers avançados, identificado como UAT-8837 e supostamente vinculado à China, tem se concentrado em sistemas de infraestrutura crítica na América do Norte, explorando vulnerabilidades conhecidas e zero-day para obter acesso inicial a organizações-alvo. Ativo desde pelo menos 2025, o grupo utiliza credenciais comprometidas e vulnerabilidades de servidores para iniciar seus ataques. Recentemente, explorou a falha CVE-2025-53690, uma vulnerabilidade zero-day em produtos Sitecore, indicando acesso a problemas de segurança não divulgados. Após a invasão, os atacantes realizam atividades de reconhecimento e colheita de credenciais utilizando comandos nativos do Windows e ferramentas de código aberto. Entre as ferramentas utilizadas estão GoTokenTheft e Rubeus, que visam roubar tokens de acesso e credenciais do Active Directory. O relatório da Cisco Talos também destaca que os atacantes podem exfiltrar arquivos DLL de produtos utilizados pelas vítimas, o que pode facilitar futuros ataques de trojanização e na cadeia de suprimentos. A análise sugere que o grupo UAT-8837 está alinhado com as táticas de outros atores de ameaças conhecidos da China, o que aumenta a preocupação com a segurança das infraestruturas críticas na região.

Pesquisadores da Varonis identificaram uma nova campanha de ciberataques chamada ‘Reprompt’, que utiliza o Microsoft Copilot para roubar dados de usuários. O ataque se aproveita de sessões legítimas da ferramenta de inteligência artificial, permitindo que informações sensíveis sejam extraídas através de comandos maliciosos. Os criminosos conseguem contornar as configurações de segurança do Copilot ao inserir um alerta corrompido em uma URL aparentemente verdadeira, evitando que a vítima precise clicar em links.

O cenário de cibersegurança continua a evoluir rapidamente, com novas vulnerabilidades e ataques emergindo semanalmente. Um dos destaques é uma falha crítica no Redis (CVE-2025-62507), que permite execução remota de código devido a um estouro de buffer. Essa vulnerabilidade, que afeta 2.924 servidores, foi corrigida na versão 8.3.2, mas a falta de autenticação no Redis torna a exploração ainda mais preocupante.

Além disso, o malware BaoLoader, que utiliza certificados de assinatura válidos para se disfarçar, tem se tornado uma ameaça significativa, permitindo que os atacantes operem sem serem detectados. Campanhas de phishing também estão em alta, com e-mails disfarçados de convites e alertas que instalam ferramentas de gerenciamento remoto (RMM).

No dia 13 de janeiro de 2026, a Microsoft lançou uma atualização de segurança que corrigiu mais de 100 vulnerabilidades no Windows, incluindo três falhas zero-day. A CVE-2026-20805, uma das falhas zero-day, permite que hackers acessem informações sensíveis através de vazamentos de memória, facilitando ataques subsequentes. Outra vulnerabilidade, CVE-2026-21265, está relacionada à expiração de certificados do secure boot, afetando computadores adquiridos entre 2012 e 2025. Para mitigar essa falha, é necessário auditar o hardware e atualizar o firmware. A terceira falha, CVE-2023-31096, está ligada à elevação de privilégios em drivers de modem que têm sido parte do Windows por décadas. Das 114 vulnerabilidades corrigidas, 57 são de elevação de privilégios, 22 de execução remota de código e 22 de vazamento de informações. Embora apenas 8 sejam categorizadas como críticas, é essencial que usuários e empresas avaliem o impacto dessas falhas em seus sistemas.

Em 14 de janeiro de 2026, a Microsoft lançou sua primeira atualização de segurança do ano, abordando 114 falhas, incluindo uma vulnerabilidade que está sendo explorada ativamente. Dentre as falhas, oito foram classificadas como Críticas e 106 como Importantes. A vulnerabilidade em destaque, CVE-2026-20805, é uma falha de divulgação de informações que afeta o Desktop Window Manager (DWM), permitindo que atacantes autorizados revelem informações sensíveis. A atualização também inclui correções para falhas no navegador Edge e um bypass de segurança relacionado ao Secure Boot. A CISA dos EUA incluiu a CVE-2026-20805 em seu catálogo de Vulnerabilidades Conhecidas e Explotadas, exigindo que agências federais apliquem as correções até 3 de fevereiro de 2026. A Microsoft também alertou sobre a expiração de certificados de Secure Boot, que pode impactar a segurança de dispositivos se não forem atualizados a tempo. A atualização removeu drivers de modem vulneráveis que poderiam permitir elevação de privilégios. A gravidade das falhas e a necessidade de correções rápidas destacam a importância da atualização para a segurança dos sistemas Windows.

Um novo relatório do Fórum Econômico Mundial (WEF) revela que as empresas estão começando a levar a sério os riscos de segurança associados à inteligência artificial (IA). Quase dois terços (64%) das empresas agora avaliam os riscos antes de implementar ferramentas de IA, um aumento significativo em relação a 37% no ano anterior. A pesquisa, realizada em colaboração com a Accenture, indica que 94% dos executivos acreditam que as ferramentas de IA serão o principal motor de mudança em suas estratégias de cibersegurança até 2026. Apesar do aumento na conscientização sobre as vulnerabilidades relacionadas à IA, como vazamentos de dados e fraudes, as empresas também estão adotando IA para combater essas ameaças, com 77% utilizando a tecnologia para melhorar a segurança cibernética. As aplicações mais comuns incluem a detecção de phishing (52%) e a automação de operações de segurança (43%). No entanto, desafios como a falta de habilidades e a necessidade de validação humana ainda impedem a adoção mais ampla da IA na segurança. O WEF prevê que ameaças como phishing convincente e fraudes automatizadas se tornarão mais prevalentes, destacando a necessidade urgente de as empresas se adaptarem a esse novo cenário de ameaças.

Os agentes de inteligência artificial (IA) estão evoluindo rapidamente, não apenas escrevendo código, mas também executando-o. Ferramentas como Copilot, Claude Code e Codex agora conseguem construir, testar e implantar software em questão de minutos, o que, embora acelere o desenvolvimento, também cria lacunas de segurança que muitas equipes não percebem até que ocorra um problema. Um aspecto crítico que muitas organizações não estão protegendo adequadamente são os Protocolos de Controle de Máquinas (MCPs), que determinam quais comandos um agente de IA pode executar e quais ferramentas e APIs pode acessar. A falha CVE-2025-6514 exemplifica esse risco, onde um proxy OAuth confiável foi transformado em um vetor de execução remota de código, permitindo que a automação realizasse ações não intencionais em larga escala. Este cenário destaca a necessidade urgente de as equipes de segurança entenderem e protegerem esses sistemas de controle, pois, se um agente de IA pode executar comandos, também pode ser usado para realizar ataques. Um webinar está sendo oferecido para discutir esses riscos e como as organizações podem implementar controles práticos para garantir a segurança sem comprometer a velocidade de desenvolvimento.

Pesquisadores de cibersegurança, incluindo a equipe da Censys, identificaram 11 falhas críticas na plataforma de código aberto Coolify, que permite a hospedagem de servidores de forma autônoma. Essas vulnerabilidades, que afetam aproximadamente 52.890 servidores globalmente, possibilitam que hackers contornem autenticações e executem códigos remotamente, resultando em controle total sobre os servidores comprometidos. Os países mais afetados incluem Alemanha, Estados Unidos, França e Brasil, com 4.200 servidores vulneráveis. As falhas variam desde injeções de comando em bancos de dados até problemas de configuração e má codificação, o que gera acesso indevido por diferentes vetores, como SSH e repositórios Git. Embora não tenham sido registradas explorações ativas até o momento, os especialistas recomendam que os usuários atualizem suas versões do Coolify o mais rápido possível, especialmente as versões afetadas, que vão até a 4.0.0-beta.450. As correções estão disponíveis nas versões mais recentes, mas algumas falhas ainda não possuem soluções conhecidas. A gravidade das vulnerabilidades exige atenção imediata dos administradores de servidores que utilizam a plataforma.

Um grupo de atores de ameaças que fala chinês é suspeito de ter utilizado um dispositivo VPN SonicWall comprometido como vetor de acesso inicial para implantar um exploit do VMware ESXi. Essa atividade foi observada pela empresa de cibersegurança Huntress em dezembro de 2025, que conseguiu interrompê-la antes que avançasse para um ataque de ransomware. O ataque explorou três vulnerabilidades do VMware, divulgadas como zero-days pela Broadcom em março de 2025, com pontuações CVSS variando de 7.1 a 9.3. A exploração permitiu que um ator malicioso com privilégios de administrador vazasse memória do processo VMX ou executasse código como o processo VMX. O toolkit utilizado no ataque inclui componentes sofisticados, como um driver de kernel não assinado e um backdoor que oferece acesso remoto persistente ao host ESXi. A comunicação entre o cliente e o backdoor é feita através do protocolo VSOCK, que permite interações diretas entre máquinas virtuais e o hipervisor, dificultando a detecção. A análise sugere que o desenvolvimento do exploit pode ter ocorrido mais de um ano antes da divulgação pública, indicando um desenvolvedor bem financiado operando em uma região de língua chinesa.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) anunciou o encerramento de 10 diretrizes de emergência (EDs) emitidas entre 2019 e 2024, que visavam mitigar riscos cibernéticos enfrentados por agências federais. As diretrizes abordavam vulnerabilidades significativas, incluindo problemas relacionados ao DNS, Windows, SolarWinds e Microsoft Exchange. A CISA trabalhou em colaboração com agências federais para implementar as ações necessárias e garantir a resiliência da infraestrutura digital. A agência destacou que as ações exigidas foram implementadas com sucesso ou estão agora sendo aplicadas através da Diretiva Operacional Vinculante (BOD) 22-01, que visa reduzir riscos de vulnerabilidades conhecidas. O diretor interino da CISA, Madhu Gottumukkala, enfatizou a importância da colaboração para eliminar acessos persistentes e enfrentar ameaças emergentes, além de promover princípios de segurança desde o design. O fechamento dessas diretrizes reflete o compromisso da CISA com a segurança cibernética federal e a defesa contra riscos inaceitáveis, especialmente de atores estatais hostis.

O relatório ‘The State of Trusted Open Source’, elaborado pela Chainguard, oferece uma visão abrangente sobre o uso de software livre nas organizações modernas e os riscos associados. A análise de mais de 1800 projetos de imagens de contêiner e 10.100 instâncias de vulnerabilidades revelou que a popularidade de um projeto não necessariamente se correlaciona com o risco. Por exemplo, 98% das vulnerabilidades encontradas estavam fora dos 20 projetos mais populares, indicando que a maior parte da carga de segurança está em imagens menos visíveis. Além disso, a conformidade com regulamentações, como o FIPS, tem impulsionado a adoção de software seguro, com 44% dos clientes da Chainguard utilizando imagens FIPS em produção. O relatório também destaca que a velocidade de remediação é crucial para construir confiança, com a Chainguard resolvendo vulnerabilidades críticas em menos de 20 horas, o que é significativamente mais rápido do que os padrões do setor. Esses dados são essenciais para que as empresas brasileiras compreendam a importância de manter a segurança em toda a sua infraestrutura de software livre, especialmente em um cenário onde a conformidade e a segurança são cada vez mais exigidas.

O cenário de cibersegurança continua a evoluir rapidamente, com novos ataques e vulnerabilidades surgindo semanalmente. Um dos destaques foi a ação da empresa Resecurity, que armou uma armadilha para hackers do grupo Scattered LAPSUS$ Hunters, capturando suas tentativas de acesso a dados falsos. Durante um período de duas semanas, o grupo fez mais de 188 mil solicitações em busca de dados sintéticos, permitindo à Resecurity identificar e rastrear os atacantes.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu duas vulnerabilidades críticas em seu catálogo de Vulnerabilidades Conhecidas Exploradas (KEV), afetando o Microsoft Office e o HPE OneView. A primeira, CVE-2009-0556, com uma pontuação CVSS de 8.8, é uma vulnerabilidade de injeção de código no PowerPoint que permite a execução remota de código por atacantes. A segunda, CVE-2025-37164, possui uma pontuação máxima de 10.0 e também permite a execução remota de código, afetando todas as versões do HPE OneView anteriores à versão 11.00. A HPE já disponibilizou correções para as versões afetadas. Embora a origem dos ataques ainda não esteja clara, a disponibilidade pública de um código de prova de conceito (PoC) para a CVE-2025-37164 aumenta o risco para as organizações que utilizam versões vulneráveis do software. A CISA recomenda que as agências federais apliquem as correções necessárias até 28 de janeiro de 2026 para proteger suas redes contra ameaças ativas.

A Veeam lançou atualizações de segurança para seu software Backup & Replication, abordando múltiplas vulnerabilidades, incluindo uma falha crítica que pode permitir a execução remota de código (RCE). A vulnerabilidade, identificada como CVE-2025-59470, possui uma pontuação CVSS de 9.0 e permite que operadores de backup ou fita executem código malicioso como o usuário postgres ao enviar parâmetros manipulados. Os papéis de Backup e Tape Operator são considerados altamente privilegiados, o que aumenta o risco de exploração. Além dessa falha, outras três vulnerabilidades foram identificadas, com pontuações CVSS variando de 6.7 a 7.2, todas afetando versões do Backup & Replication 13.0.1.180 e anteriores. A Veeam recomenda que os usuários apliquem as correções imediatamente, embora não haja relatos de exploração ativa das falhas. A empresa classifica a gravidade da vulnerabilidade como alta, enfatizando a importância de seguir as diretrizes de segurança recomendadas para mitigar riscos.

O início de 2026 trouxe à tona uma série de ameaças cibernéticas que exploram a confiança dos usuários em sistemas considerados estáveis. Um dos principais focos é a botnet RondoDox, que utiliza a vulnerabilidade React2Shell (CVE-2025-55182) para comprometer dispositivos da Internet das Coisas (IoT) e aplicações web. Com um CVSS de 10.0, essa falha ainda afeta cerca de 84 mil dispositivos, principalmente nos EUA.

Além disso, o Trust Wallet sofreu um ataque na sua extensão do Chrome, resultando na perda de aproximadamente 8,5 milhões de dólares. O ataque foi atribuído a uma brecha na cadeia de suprimentos, onde segredos do GitHub foram expostos. Outro grupo, DarkSpectre, foi identificado como responsável por uma campanha de malware em extensões de navegador, afetando mais de 8,8 milhões de usuários ao longo de sete anos.

Ilya Lichtenstein, condenado por lavagem de dinheiro em conexão com o hack da exchange de criptomoedas Bitfinex em 2016, anunciou sua liberação antecipada. Em uma postagem nas redes sociais, ele atribuiu sua soltura ao First Step Act, uma legislação dos EUA que visa reformar o sistema de justiça criminal. Lichtenstein e sua esposa, Heather Morgan, foram presos em 2022 e se declararam culpados em 2023, após um ataque que resultou na transferência fraudulenta de 119.754 bitcoins, avaliados em cerca de 71 milhões de dólares na época. As autoridades recuperaram aproximadamente 94.000 bitcoins, totalizando cerca de 3,6 bilhões de dólares em 2022, tornando-se uma das maiores apreensões da história dos EUA. O ataque foi facilitado por uma vulnerabilidade no sistema de múltiplas assinaturas da Bitfinex, permitindo que Lichtenstein realizasse transações sem a aprovação necessária. O caso destaca a importância da segurança em exchanges de criptomoedas e a necessidade de vigilância contínua contra fraudes e ataques cibernéticos.

O primeiro boletim de ameaças de 2026 revela um cenário alarmante de cibersegurança, onde novas brechas e táticas de ataque estão emergindo rapidamente. Um caso notável envolve a prisão de um cidadão lituano que infectou 2,8 milhões de sistemas com malware disfarçado de ferramenta de ativação do Windows, resultando em um roubo de ativos virtuais avaliado em cerca de 1,2 milhão de dólares. Além disso, uma campanha coordenada tem como alvo servidores Adobe ColdFusion, explorando mais de 10 vulnerabilidades conhecidas. A descoberta de malware pré-instalado em tablets Android, denominado Keenadu, também destaca a crescente preocupação com backdoors que permitem acesso remoto a dados. Outro ponto crítico é o fechamento do subreddit r/ChatGPTJailbreak, que promovia métodos para contornar filtros de segurança em modelos de linguagem, refletindo a luta contínua contra a exploração de IA. Por fim, a campanha GlassWorm voltou a atacar usuários de macOS, visando roubar credenciais e dados de carteiras digitais. O cenário é um lembrete de que as ameaças cibernéticas estão se tornando cada vez mais sofisticadas e diversificadas, exigindo vigilância constante das organizações.

Pesquisadores de cibersegurança identificaram uma nova variante do malware Shai Hulud no registro npm, que apresenta modificações em relação à versão anterior detectada em novembro de 2025. O pacote malicioso, intitulado ‘@vietmoney/react-big-calendar’, foi publicado em março de 2021 e atualizado pela primeira vez em dezembro de 2025. Desde sua publicação, o pacote foi baixado 698 vezes, com 197 downloads da versão mais recente. Aikido, a empresa que fez a descoberta, não observou uma disseminação significativa ou infecções até o momento, sugerindo que os atacantes podem estar testando sua carga útil. As alterações no código indicam que a nova variante foi ofuscada a partir do código-fonte original, o que sugere que o autor tinha acesso ao código original do worm. Além disso, um pacote malicioso foi encontrado no Maven Central, disfarçado como uma extensão legítima da biblioteca Jackson JSON, que também incorpora um ataque em múltiplas etapas. Essa situação destaca a vulnerabilidade das cadeias de suprimento de software e a necessidade de vigilância constante por parte dos desenvolvedores e empresas para evitar a exploração de pacotes maliciosos.