kit explora código de dispositivo e rouba contas Microsoft 365 por URLs da Trustifi. Após operação policial, o golpe voltou com nova infraestrutura, mais camadas de ocultação e bloqueios contra pesquisadores.

Explorada sem autenticação, a brecha injeta JavaScript malicioso no checkout do WooCommerce, rouba dados de pagamento e afeta mais de 40 mil sites; o patch 3.15.0.3 já foi liberado.

versões adulteradas do node-ipc espalham malware que rouba credenciais, coleta variáveis de ambiente e segredos locais, e exfiltra dados por DNS. Desenvolvedores devem remover os pacotes e trocar chaves.

A empresa corrigiu uma vulnerabilidade CVE-2026-42897 , já explorada ativamente em servidores locais, que pode executar JavaScript via e-mail malicioso; há mitigação temporária, mas sem detalhes sobre os ataques.

Cisco alerta que uma falha crítica no Catalyst SD-WAN Controller foi explorada em ataques zero-day, permitindo a invasores obter privilégios administrativos, registrar dispositivos falsos e manipular a rede.

Pesquisadores alertam que versões recentes do pacote npm exfiltram dados roubados e segredos via C2, além de usar DNS para ocultar a saída. Usuários devem remover as versões afetadas e trocar credenciais.

Atacantes testaram o CVE-2026-44338 , falha de autenticação que expõe endpoints e permite acionar fluxos sem token. A correção saiu na versão 4.6.34.

O grupo alinhado à Bielorrússia usa PDFs maliciosos e spear-phishing para instalar PicassoLoader e Cobalt Strike, mirando órgãos públicos e militares com validação geográfica e coleta de credenciais.

O grupo pede US$ 25 mil por quase 450 repositórios e diz ter obtido cerca de 5 GB de código interno após ataque à cadeia de suprimentos, mas a empresa afirma que seus serviços e dados não foram comprometidos.

Atacantes exploram CVE-2026-8181 para burlar autenticação, assumir contas de administrador e criar acessos falsos; o conserto 3.4.2 já saiu, mas cerca de 115 mil sites seguem expostos.

pesquisadores faturam US$ 523 mil em 24 falhas zero-day ao comprometer produtos totalmente corrigidos, com destaque para Orange Tsai, que ganhou US$ 175 mil ao escapar de sandbox no Microsoft Edge.

ataque na cadeia de suprimentos expôs chaves e tokens, mas sem impacto a clientes. A empresa isolou sistemas, revogou sessões e vai renovar certificados de assinatura por precaução.

falha crítica expõe servidores a execução remota e DoS, A mais grave, CVE-2026-42945 , ficou oculta por 18 anos e atinge NGINX Plus e Open Source; outras três falhas também foram corrigidas.

vulnerabilidade CVE-2026-45185 permite execução remota sem autenticação em versões com GnuTLS; o conserto saiu no 4.99.3, e usuários de Ubuntu e Debian devem aplicar o patch via gerenciador de pacotes.

Grupo ligado ao Irã atingiu ao menos nove alvos em vários países, incluindo empresa sul-coreana, órgãos públicos e aeroporto, usando DLL sideloading, PowerShell e serviços legítimos para roubar credenciais e dados.

nova falha CVE-2026-46300 permite que invasores locais obtenham root, afeta várias distribuições e já tem patch; especialistas recomendam aplicar correção e mitigações do Dirty Frag.

Leis já existentes passam a atingir quem compartilha imagens, vídeos e rumores falsos durante crises, com prisão e multas maiores, inclusive por capturas de tela e encaminhamentos.

Um repositório na cloud, sem controle de acesso, reuniu quase 90 mil capturas de mensagens, fotos e localização de uma celebridade europeia, além de dados pessoais e conversas de terceiros.

A empresa afirma que fábricas na América do Norte estão voltando ao normal após o ataque, enquanto o grupo Nitrogen diz ter roubado 8 TB de dados e 11 milhões de documentos.

Grupo ligado à China invadiu empresa de petróleo do Azerbaijão em três ondas, reusando falha no Microsoft Exchange para instalar backdoors e ampliar o acesso; o caso expõe táticas adaptativas e foco em espionagem.