ação internacional da National Crime Agency e parceiros identificou 20 mil vítimas, bloqueou US$ 12 milhões em valores suspeitos e rastreou US$ 45 milhões ligados a golpes de phishing por aprovação e fraudes de investimento.

Hackers exploraram em 10 horas uma falha no notebook Python open-source, afetando versões até 0.20.4 e mirando .env, cloud credentials e SSH keys; a correção saiu na 0.23.0.

Workflow no GitHub Actions baixou a versão infectada em 31/3, mas a empresa diz não haver indício de data, sistema ou IP comprometidos; apps antigos para macOS terão suporte encerrado em 2026.

o grupo ShinyHunters afirma ter acessado servidores por meio de um provedor de nuvem terceirizado e ameaça divulgar dados caso não haja pagamento de resgate; a Rockstar Games diz que o impacto foi limitado e sem efeitos para os jogadores.

Brecha no EngageLab SDK permitia bypass do sandbox e acesso a dados privados, afetando apps de crypto com mais de 30 milhões de instalações; versão corrigida já foi liberada.

Vulnerabilidade critical CVE-2026-39987 permitiu RCE sem auth e foi explorada em menos de 10 horas após a divulgação, com acesso a shell e tentativa de roubo de credenciais via /terminal/ws.

hackers sequestraram o sistema de atualização do plugin no WordPress e Joomla, inseriram backdoors e um administrador oculto, além de roubar dados; a desenvolvedora recomenda atualizar para a versão 3.5.1.36 e revisar o site.

Nova PhaaS usa QR code, AiTM e device-code flow para roubar credenciais e session token de CEOs, CFOs e VPs, burlando MFA e filtros com páginas e logs ofuscados.

O Google ativou o DBSC no Windows, vinculando session cookies ao hardware via TPM para impedir roubo e uso indevido. No macOS, a defesa chegará em uma atualização futura.

Empresa holandesa de EHR tirou website e serviços digitais do ar após ataque; Z-CERT investiga impacto, enquanto hospitais reportam indisponibilidade em HiX, Zorgportaal e HiX Mobile.

Grupo usa phishing e AiTM para roubar tokens do Microsoft 365, burlar MFA e alterar dados de direct deposit em contas de payroll, desviando pagamentos via Workday e outras plataformas.

Campanha hack-for-hire com links à Índia usou spear-phishing e fake pages para roubar contas Apple e Google de alvos no MENA, com possível entrega de spyware Android e acesso persistente.

Campanha usa sites falsos da Apple e ClickFix para executar curl | zsh, baixar AMOS e roubar Keychain, passwords, cookies e dados de carteiras cripto.

a empresa vai liberar patch para iOS 18 contra o exploit DarkSword, permitindo correção sem upgrade para iOS 26 e mirando usuários que evitam a nova versão.

novo botnet DDoS usa Telegram, infecta IoT, oculta comandos com XOR e evita alvos sensíveis; a campanha mira roteadores, câmeras e gateways, com tráfego vindo sobretudo do Vietnam.

ataque expôs dados de 308 mil clientes após breach em 2025. Informações como nome, passaporte e contato foram afetadas; empresa alerta para phishing, scams e troca de senhas.

A ameaça usa social engineering, phishing e fake updates para invadir empresas, roubar dados e extorquir vítimas, contornando MFA com kits maliciosos e domínios spoofed; Google recomenda FIDO2 e monitoramento contínuo.

Hackers invadiram sistemas da rede de Bitcoin ATM e roubaram mais de 50 Bitcoin de wallets corporativas; a empresa diz que o incidente ficou restrito ao ambiente interno e acionou autoridades.

A empresa bloqueou maintainer de projetos como WireGuard e VeraCrypt, impedindo builds e security patches no Windows; Microsoft diz que houve falha na verification obrigatória, mas crítica aponta falta de aviso e suporte.

Campanha usa SVG minúsculo para esconder skimmer, exibe overlay falso de checkout e exfiltra dados de pagamento; brecha PolyShell ainda não tem patch oficial em versões estáveis.