As principais notícias de cybersecurity para serem lidas em menos de 3 minutos, todo dia em seu e-mail.

Pesquisadores descobriram no repositório PyPI pacotes nocivos que, através de dependências, permitem execução de código e persistência na máquina infectada. Os pacotes, agora removidos, acumulavam centenas de downloads, ressaltando riscos em cadeias de suprimentos de software e a importância de monitoramento contínuo.

Pesquisadores da Trellix identificaram uma campanha de espionagem patrocinada por Estado, visando embaixadas estrangeiras em solo sul-coreano desde março, utilizando o malware XenoRAT distribuído via repositórios GitHub maliciosos. Atribuída com confiança moderada ao APT43 da Coreia do Norte, com indícios de envolvimento chinês, a operação se destacou pela precisão dos ataques e uso de técnicas sofisticadas, marcando presença discreta nos sistemas afetados.

A nova atualização do gestor de pacotes PyPI introduz verificações de domínios expirados para prevenir ataques à cadeia de suprimentos. Desde junho de 2025, mais de 1.800 emails foram desverificados após expiração de domínios, mitigando riscos de acesso indevido a contas. Recomenda-se a ativação da autenticação de dois fatores e adição de um email secundário de domínios confiáveis.

Al-Tahery Al-Mashriky, de 26 anos, foi sentenciado a 20 meses de prisão no Reino Unido após admitir a autoria de ataques que afetaram milhares de websites, incluindo instituições governamentais e meios de comunicação. Estava associado ao ‘Spider Team’ e ao ‘Yemen Cyber Army’, além de ter acessado dados de mais de 4 milhões de usuários do Facebook.

O Departamento do Tesouro dos EUA reforça sanções contra a Garantex e sua sucessora, Grinex, por processarem mais de $100 milhões em operações ilícitas. Executivos e empresas associadas também foram sancionados em ação contra lavagem de dinheiro e ataques ransomware.

Os pesquisadores da Trustwave SpiderLabs reportaram novos ataques do grupo russo EncryptHub, que utiliza engenharia social e uma vulnerabilidade no Microsoft Management Console (MMC) para distribuir malwares. A campanha emprega arquivos MSC maliciosos e PowerShell para infiltrar e controlar sistemas comprometidos.

A empresa britânica enfrenta um grave ciberataque desde 12 de agosto, afetando serviços essenciais. Processos de hosting, portabilidade e plataformas online estão comprometidos. Alega-se exploração de vulnerabilidade no Microsoft SharePoint como porta de entrada para o roubo de uma vasta quantidade de dados. Autoridades estão notificadas, e esforços de recuperação estão em curso, sem previsão de normalização.

O grupo UAT-7237, identificado pela Cisco Talos e ativo desde 2022, ataca entidades taiwanesas utilizando ferramentas open-source adaptadas. Este subgrupo de UAT-5918 emprega o loader SoundBill, Cobalt Strike, e técnicas de acesso remoto para manter presença duradoura nos sistemas visados.

Pesquisadores de cibersegurança desvendaram as vulnerabilidades do trojan bancário Android ERMAC 3.0, revelando fraquezas críticas em sua infraestrutura. A versão evoluída visava mais de 700 apps de bancos, compras e criptomoedas, mas expôs sérios riscos com sua configuração comprometida.

O pesquisador Aviv Y descobriu uma vulnerabilidade, apelidada de FortMajeure, em FortiWeb, permitindo a criação facilitada de cookies para burlar autenticações. A falha, CVE-2025-52970 , afeta versões até a 7.6, mas já foi corrigida pela Fortinet. Importante atualizar sistemas imediatamente para evitar acessos não autorizados.

As autoridades dos EUA anunciaram a apreensão de ativos de Ianis Antropenko, ligado ao ransomware Zeppelin, incluindo moedas digitais e bens de luxo. Acusado de fraude computacional e lavagem de dinheiro, suas atividades destacam a persistente ameaça do cibercrime global.

A gigante de recursos humanos revelou uma brecha de dados após ataque de engenharia social a uma plataforma de CRM de terceiros. Informações de contato comercial foram expostas, mas sem indícios de acesso a dados de clientes. A suspeita recai sobre o grupo de extorsão ShinyHunters, notório por ataques similares a grandes organizações.

Utilizando ferramentas customizadas, esta ameaça cibernética tem lançado ataques direcionados a organizações nos setores de finanças, manufatura, entretenimento e tecnologia. Com técnicas avançadas, o grupo desabilita soluções de segurança e executa ransomware, elevando preocupações na comunidade global de cybersecurity.

A nova estratégia de cibercriminosos envolve o uso do caractere japonês hiragana “ん” para imitar sites confiáveis como Booking.com, enganando usuários a acessarem links maliciosos. Técnicas similares foram identificadas em campanhas falsas da Intuit, explorando a semelhança visual entre caracteres para distribuir malware. Usuários são aconselhados a verificar cuidadosamente os domínios dos links antes de clicar.

Pesquisadores descobriram um método de ataque, denominado MadeYouReset, que supera limitações de requisições HTTP/2 e pode causar negação de serviço explorando falhas em várias implementações, incluindo Apache Tomcat e F5 BIG-IP. Este ataque segue vulnerabilidades anteriores, aumentando preocupações sobre a segurança do protocolo.

O centro de coordenação JPCERT/CC detectou entre setembro e dezembro de 2024 campanhas maliciosas empregando CrossC2 para controlar sistemas cruzados. Ferramentas como PsExec e Cobalt Strike, além de malware customizado, foram usadas, visando servidores Linux desprotegidos por EDR, aumentando a vulnerabilidade a invasões.

A Cisco lançou atualizações para uma falha de segurança severa no Secure Firewall Management Center, permitindo execução de código. A vulnerabilidade, com CVSS de 10, explora autenticação RADIUS. Recomenda-se que usuários atualizem seus sistemas imediatamente para evitar ataques.

Um novo malware, denominado PhantomCard, está explorando a comunicação por campo de proximidade (NFC) para realizar ataques de relay em clientes bancários brasileiros, possibilitando transações fraudulentas. Distribuído por páginas falsas do Google Play, esse trojan exige a inserção do PIN após detectar o cartão do banco, facilitando assim o acesso dos criminosos às contas das vítimas. A ameaça é parte de um serviço de malware como serviço de origem chinesa.

A gigante de tecnologia anunciou o término do PowerShell 2.0 em agosto de 2025 para o Windows 11 versão 24H2 e em setembro para o Windows Server 2025. Essa decisão visa otimizar a segurança e reduzir a complexidade do sistema, encorajando a migração para versões mais recentes como o PowerShell 5.1 ou 7.x. Usuários com scripts antigos serão afetados e devem atualizá-los para evitar interrupções.

A CISA alertou sobre a exploração ativa de vulnerabilidades na ferramenta N-central, utilizada por provedores de serviços gerenciados e departamentos de TI. As falhas, já corrigidas na versão 2025.3.1, permitiam execução de comandos e injeção de comandos por deserialização insegura e sanitização inadequada de entrada do usuário. A agência enfatiza a urgência na aplicação do patch para mitigar os riscos.