As principais notícias de cybersecurity para serem lidas em menos de 3 minutos, todo dia em seu e-mail.

As bibliotecas npmeslint-config-prettier e eslint-plugin-prettier foram corrompidas após um ataque cibernético envolvendo phishing e roubo de credenciais. Com mais de 30 milhões de downloads semanais, elas começaram a distribuir malware em versões específicas, impactando especialmente sistemas Windows. Um alerta foi emitido para evitar a instalação de versões comprometidas e investigar possíveis contaminações em ambientes de desenvolvimento.

A HPE identificou credenciais codificadas em pontos de acesso Instant On da Aruba, permitindo acesso administrativo sem autenticação. A falha, CVE-2025-37103 , afeta dispositivos com firmware até a versão 3.2.0.1. Recomenda-se atualização urgente para a versão 3.2.1.0. Uma segunda vulnerabilidade, CVE-2025-37102 , também foi corrigida. Ambas não afetam os switches Instant On.

Utilizando plataformas de IA falsas para atrair vítimas através de ofertas de emprego e revisões de portfólio, a grupo cibercriminoso EncryptHub avança em suas táticas para sequestrar dados valiosos, incluindo carteiras de criptomoedas e credenciais de desenvolvimento.

Pesquisadores identificaram uma nova campanha de cryptojacking que utiliza JavaScript para minerar criptomoedas em segredo, afetando milhares de sites e seus visitantes. Este método stealth, ao reutilizar domínios vinculados a fraudes anteriores, sinaliza uma evolução na estratégia dos hackers, focando em furtividade e mineração prolongada.

Após a descoberta e exploração de vulnerabilidades zero-day, Microsoft libera urgentemente correções para as falhas CVE-2025-53770 e CVE-2025-53771 no SharePoint. As atualizações visam proteger contra ataques que afetaram mais de 54 organizações mundialmente. Admins são aconselhados a aplicar os patches imediatamente e revisar a segurança dos servidores.

A falha CVE-2025-48927 no TeleMessage SGNL permite a extração de dados sensíveis. Monitorada pela GreyNoise, observou-se exploração ativa. Para prevenção, recomenda-se restringir acesso ao endpoint ‘/heapdump’. Orgãos governamentais já estão em alerta, seguindo diretivas da CISA.

CERT-UA revela que o malware LAMEHUG, atribuído ao grupo russo APT28, emprega LLM para gerar comandos e comprometer dados. Atingindo autoridades governamentais, sua detecção desafia ferramentas de segurança, acendendo alertas sobre o uso de IA em ataques cibernéticos.

A gigante da tecnologia acusa criminosos anônimos de fraudar suas plataformas de anúncio através do malware BadBox 2.0, infectando mais de 10 milhões de dispositivos Android. O esquema inclui propaganda oculta, jogos manipulados e fraude em cliques de anúncios, visando principalmente dispositivos AOSP sem proteções de segurança. Com ações judiciais, a Google busca desmantelar a infraestrutura maliciosa e barrar a expansão do botnet.

Cibercriminosos utilizam repositórios GitHub públicos para hospedar e distribuir malware através de Amadey, parte de uma campanha observada em abril de 2025. A plataforma codificada foi abusada para burlar filtros web, com ataques que marcam uma sofisticação crescente e um alerta para a segurança digital.

Hackers visaram a carteira quente da exchange de criptomoedas, resultando numa perda significativa. A plataforma assegura que dados privados e de usuários não foram afetados, comprometendo-se a reembolsar as vítimas com reservas disponíveis. Parceira com a SlowMist, a BigONE rastreia os fundos roubados, enquanto observatórios de blockchain reportam a lavagem dos ativos por parte dos criminosos.

Pesquisadores identificaram uma campanha que utiliza a vulnerabilidade CVE-2021-41773 em servidores Apache HTTP para disseminar o minerador de criptomoedas Linuxsys. O ataque distribui o malware por meio de sites legítimos comprometidos, complicando sua detecção e ampliando o alcance da infecção.

Durante nove meses em 2024, Salt Typhoon permaneceu indetectado numa rede da Guarda Nacional dos EUA, extraindo arquivos de configuração de rede e credenciais de administrador, o que poderia comprometer mais redes governamentais. Este ataque destaca vulnerabilidades críticas e a sofisticação dos adversários cibernéticos.

Desenvolvido pela APT28, o malware LameHug utiliza a API do Hugging Face para executar comandos gerados via IA em sistemas comprometidos. Descoberto pelo CERT-UA da Ucrânia, o malware mira o roubo de dados e reconhecimento de sistemas, representando um paradigma inovador nos ataques cibernéticos.

Investigadores revelam que o malware Matanbuchus, evoluído para a versão 3.0, está sendo distribuído por chamadas falsas de Microsoft Teams. Disfarçando-se como suporte técnico, os atacantes enganam vítimas para executar scripts maliciosos, aproveitando-se de técnicas avançadas de evasão e execução direta na memória, dificultando a detecção por ferramentas de segurança.

Quatro falhas de segurança, três com gravidade 9.3, permitindo execução de comandos no host a partir de máquinas virtuais, foram sanadas pela VMware. As vulnerabilidades, descobertas no Pwn2Own Berlin.

CVE-2025-5777 , sofre ataques duas semanas antes da divulgação da PoC. Explorações vindas da China são identificadas por GreyNoise. Citrix critica por falta de transparência e atraso na confirmação do ataque, apesar da gravidade 9.3 do problema.

Grupo UNC6148 lança OVERSTEP, backdoor que compromete dispositivos SonicWall SMA 100, utilizando credenciais previamente exfiltradas. Este malware avançado possibilita ações como roubo de credenciais e evasão de detecção, desafiando as medidas de segurança atualizadas e expondo riscos significativos de extorsão de dados e implantação de ransomware.

A descoberta de Kentaro Kawane revela falhas graves em versões específicas do Cisco ISE e ISE-PIC, permitindo execução de código arbitrário com privilégios root. As versões afetadas 3.3 e 3.4 já possuem patches disponíveis para correção.

Pesquisadores de cibersegurança revelam vulnerabilidade nos dMSAs do Windows Server 2025, permitindo ataques de movimentação lateral e acesso persistente. A exploração exige a chave KDS root, facilitando a geração forçada de senhas para contas de serviço gerenciadas.

A Operação Eastwood, coordenada por Europol e Eurojust com apoio de 12 países, mirou na infraestrutura e membros do grupo hacktivista NoName057(16), responsável por ataques DDoS na Europa, Israel e Ucrânia. Com mais de 100 servidores desativados e duas prisões, a ação impactou mas não neutralizou definitivamente o coletivo sediado na Rússia.