As principais notícias de cybersecurity para serem lidas em menos de 3 minutos, todo dia em seu e-mail.

O grupo hacktivista pró-Rússia CyberVolk lançou o RaaS VolkLocker, mas erro na implementação expõe chave mestre em arquivo plaintext, possibilitando vítimas recuperarem dados sem pagar resgate.

CISA adiciona falha CVE-2018-4063 no catálogo KEV após explorações reais; vulnerabilidade permite upload de arquivos maliciosos com privilégios elevados, ameaçando segurança em ambientes OT.

Pesquisadores europeus descobriram que formular perguntas em versos contorna os limites de segurança de IA, permitindo acesso a conteúdos perigosos como armas nucleares e abuso infantil com até 90% de sucesso.

as falhas CVE-2025-43529 e CVE-2025-14174 afetam o WebKit em iPhones e iPads, exploradas para espionagem direcionada, exigindo atualização imediata dos usuários.

Pesquisadores alertam que repositórios no GitHub disfarçados de ferramentas legítimas espalham PyStoreRAT, um RAT modular que executa múltiplos payloads e rouba dados, visível só tardiamente por soluções EDR.

Ataque revela que ex-funcionário da Coupang reteve acesso a sistemas internos e expôs dados de 33,7 milhões de clientes, levando à renúncia do CEO e aumento de ataques de phishing no país.

Quatro novos kits – BlackForce, GhostFrame, InboxPrime AI e Spiderman – ampliam ataques com técnicas avançadas para roubo de credenciais, bypass de MFA e automação por IA, impactando bancos, e-mails e grandes marcas.

Um torrent falso do filme "One Battle After Another" contém scripts maliciosos em legendas que instalam o RAT Agent Tesla, roubando credenciais e dados sensíveis por meio de um sofisticado chain de infecção.

A atualização final do ano da distribuição para profissionais de segurança adiciona três ferramentas inéditas, aprimora ambientes Gnome 49, KDE Plasma 6.5 e Xfce, e reforça suporte ao Wayland.

Uma falha inédita no serviço crítico RasMan pode ser explorada para causar DoS e facilitar ataques de elevação de privilégio. ACROS Security oferece micropatches sem custo até conserto oficial.

A equipe do React liberou atualizações para três vulnerabilidades em React Server Components que podem causar DoS ou vazamento de código-fonte, impactando versões até 19.2.2, e recomenda atualização imediata.

CISA alerta órgãos federais dos EUA para corrigir até 12/12/2025 a vulnerabilidade CVE-2025-55182 , explorada amplamente, que permite execução remota de código privilegiado em servidores React e frameworks associados.

Com base em mais de 39 mil vulnerabilidades, a lista destaca as vulnerabilidades críticas para ajudar na defesa cibernética e incentivar a adoção de práticas Secure by Design.

A aliança ACE fechou a rede MKVCinemas e 25 domínios conectados, bloqueando acesso gratuito a filmes e séries usados por milhões, e encerrou uma ferramenta que facilitava a pirataria via nuvem entre Índia e Indonésia.

Vulnerabilidade XXE CVE-2025-58360 em versões do OSGeo GeoServer permite acesso a arquivos, SSRF e DoS, com exploits ativos e correções urgentes recomendadas até janeiro de 2026 para evitar riscos críticos.

A versão 8.8.9 fortalece a validação de assinaturas digitais para evitar que o updater baixe executáveis maliciosos, após ataques que usavam atualizações comprometidas para acesso remoto.

campanha ativa desde fevereiro utilizava pastas node_modules com código ofuscado e binários disfarçados para infectar desenvolvedores; Microsoft removeu extensões e usuários devem revisar instalações.

A ICO britânica puniu a LastPass após invasão em 2022 que expôs dados e vaults criptografados de até 1,6 milhão de usuários. O ataque teve origem em vulnerabilidades internas e senhas fracas.

Variante do ClickFix explora OAuth do Azure CLI, enganando vítimas com falsas instruções e capturando códigos de autorização para obter acesso total às contas Microsoft, burlando autenticação reforçada.

Pesquisadores detectaram malware Windows que utiliza Google Drive API para C2, ligado ao grupo chinês REF7707, com funcionalidades avançadas de transferência de dados e execução de comandos, dificultando detecção.