A brecha permitia a invasores autenticados acessar repositórios privados, roubar credenciais e adulterar código. A versão 0.14.3 já foi liberada; usuários devem atualizar ou limitar registros.

A empresa disse ter barrado tentativas de spear-phishing ligadas à NSO Group e pediu à Justiça dos EUA punição por violar decisão que proibia atacar usuários do app.

Hackers comprometeram 19 pacotes no PyPI, com malware que rouba segredos de desenvolvedores, usa GitHub para exfiltrar dados roubados e pode ser acionado ao iniciar Python, segundo a Socket.

A empresa corrigiu o CVE-2026-50751 , explorado em ataques zero-day, que permite burlar autenticação em conexões remotas; o Qilin foi ligado a um dos casos e há uma segunda falha em análise.

Usando só JavaScript e o tempo de resposta do disco, um site malicioso identifica páginas e apps abertos, sem código nativo nem permissão; a falha afeta Chrome, Safari e Firefox.

Campanha amplia o roubo em cadeias de suprimento com 37 artefatos maliciosos em 19 pacotes, instala Bun e um JavaScript ofuscado para furtar segredos, chaves e credenciais de desenvolvedores.

O governo francês investiga invasão ao app Tchap após o uso de uma conta comprometida; o caso pode ter exposto conversas, 13,5 GB de arquivos e metadados de dezenas de milhares de contas.

A fintech confirmou acesso indevido a uma base de dados de fornecedor e alerta clientes para phishing, monitoramento de contas e troca de senhas, enquanto apura quais dados ficaram expostos.

Nova campanha usa GitHub e phishing para distribuir malware Android que rouba dados de cartões via NFC, mira bancos europeus e dificulta análise com APKs adulterados.

Pesquisadores mostraram que três CVE já corrigidas podem ser encadeadas para executar comandos remotos como root, sem autenticação, afetando versões 5.0.6 e anteriores.

atacantes exploram o bug CVE-2026-3300 para executar código e tomar sites WordPress. A exploração já soma mais de 29 mil tentativas bloqueadas, com criação de contas administrativas falsas.

O grupo chinês usou Brickstorm, Plenet e AgentPSD para invadir Microsoft 365, MSP e outros sistemas, driblando controles por até 18 meses e recorrendo a credenciais roubadas.

Sites exibiram telas falsas de login geradas por polyfill[.]io, pedindo credenciais. Não há indício de invasão, mas quem inseriu dados deve trocar a senha e ignorar solicitações inesperadas.

Darren Hughes recebeu mais de 26 anos por vender fentanyl e metanfetamina na dark web, usando criptomoeda; ele oferecia amostras grátis e foi preso com drogas e arma fantasma.

A Universidade de Oxford confirmou invasão no CareerConnect, com nomes, e-mails e senhas criptografadas expostos. A instituição diz que seus sistemas não foram afetados e alerta para possíveis golpes por phishing.

A empresa informou que mais de 20 mil contas foram invadidas após atacantes explorarem um sistema de recuperação com IA para redefinir senhas e burlar a verificação de e-mail.

O novo Modo Lockdown reduz risco de exfiltração de dados em ataques de injeção de prompt, ao limitar navegação, pesquisas e downloads, além de permitir encerrar sessões suspeitas.

Pesquisador revelou código oculto em apps que transforma TVs e celulares em nós de saída para raspagem, usando a conexão do usuário, contornando VPN e sem autenticação robusta.

Campanha de supply chain contaminou 73 repositórios e espalhou código malicioso por canais legítimos, inclusive com roubo de segredos e execução via ferramentas de IA e desenvolvimento.

O Silent Ransom Group mira escritórios de advocacia e serviços nos EUA, usa phishing e suporte remoto falso para roubar dados em horas e exigir resgate, além de esconder sua infraestrutura com DNS fast flux.