A empresa de cibersegurança Trellix confirmou um incidente envolvendo acesso não autorizado a parte de seu repositório de código-fonte, levantando preocupações sobre a segurança de cadeias de desenvolvimento e proteção de propriedade intelectual no setor. De acordo com o comunicado oficial, a companhia identificou recentemente o comprometimento e iniciou imediatamente uma resposta ao incidente, envolvendo especialistas forenses e autoridades policiais. Apesar da gravidade potencial desse tipo de violação, a empresa afirmou que, até o momento, não há evidências de que o código-fonte tenha sido alterado, explorado ou impactado em seus processos de distribuição. Embora detalhes técnicos ainda sejam limitados, esse tipo de incidente geralmente envolve comprometimento de credenciais, falhas em controles de acesso ou exploração de integrações com ferramentas de desenvolvimento — um vetor cada vez mais comum em ataques à cadeia de suprimentos de software. O acesso a repositórios de código pode permitir desde a análise de vulnerabilidades até a inserção de código malicioso em versões futuras, dependendo do nível de acesso obtido pelos invasores. A Trellix não divulgou quais dados específicos foram acessados, nem o período em que os atacantes permaneceram dentro do ambiente comprometido. Também não há, até o momento, atribuição oficial a grupos hackers ou evidências públicas sobre a origem do ataque. Fundada em 2022 após a fusão entre a divisão enterprise da McAfee e a FireEye, a Trellix atua como uma das principais fornecedoras de soluções de segurança corporativa. A fusão ocorreu no mesmo período em que a Mandiant — braço de inteligência de ameaças da FireEye — foi adquirida pelo Google por US$ 5,4 bilhões. Embora a empresa afirme que não houve impacto direto no código-fonte, especialistas alertam que o simples acesso não autorizado já representa um risco relevante. Isso porque atacantes podem mapear a arquitetura das soluções, identificar possíveis falhas e preparar ataques mais sofisticados no futuro — mesmo sem alterar diretamente o código. O incidente reforça uma tendência crescente de ataques direcionados a ambientes de desenvolvimento, especialmente repositórios, pipelines CI/CD e plataformas de versionamento. Esses ambientes se tornaram alvos estratégicos por concentrarem ativos críticos, como código proprietário, credenciais e integrações com sistemas internos. Além disso, casos como esse destacam a importância de práticas robustas de segurança em desenvolvimento, incluindo controle rigoroso de acesso, autenticação multifator, monitoramento de atividades suspeitas e auditorias contínuas em repositórios de código. A Trellix informou que novas atualizações serão divulgadas conforme o avanço das investigações, indicando que o caso ainda está em andamento.

Dois profissionais da área de cibersegurança foram condenados a quatro anos de prisão nos Estados Unidos por participação direta em ataques de ransomware ligados à operação BlackCat ransomware group, também conhecida como ALPHV. O caso expõe um cenário preocupante: especialistas que deveriam proteger sistemas acabaram utilizando seu conhecimento técnico para conduzir ataques e extorsões contra empresas. Ryan Goldberg, de 40 anos, e Kevin Martin, de 36, atuaram entre abril e dezembro de 2023 executando ataques contra múltiplas vítimas em território norte-americano. Ambos se declararam culpados em dezembro de 2025, após investigação conduzida pelo U.S. Department of Justice. Um terceiro envolvido, Angelo Martino, também participou da operação e aguarda sentença prevista para julho de 2026. A operação criminosa seguia o modelo de Ransomware-as-a-Service (RaaS), no qual os hackers obtêm acesso à infraestrutura do grupo BlackCat mediante pagamento de comissão. No caso, os envolvidos concordaram em repassar 20% dos valores obtidos em resgates aos operadores do ransomware, mantendo os 80% restantes entre eles. A cadeia de ataque envolvia etapas típicas de campanhas de ransomware. Inicialmente, os hackers realizavam o acesso às redes das vítimas, explorando vulnerabilidades ou credenciais comprometidas. Em seguida, implantavam o ransomware para criptografar sistemas críticos e, simultaneamente, exfiltravam dados sensíveis — prática conhecida como dupla extorsão. Após o comprometimento, iniciava-se a fase de negociação, na qual as vítimas eram pressionadas a pagar para recuperar o acesso aos sistemas e evitar a divulgação dos dados roubados. Em um dos casos documentados, os criminosos conseguiram extorquir cerca de US$ 1,2 milhão em Bitcoin, valor posteriormente lavado para dificultar o rastreamento. Um dos pontos mais críticos do caso envolve o uso indevido de conhecimento privilegiado. Todos os envolvidos atuavam profissionalmente na área de segurança da informação. Kevin Martin e Angelo Martino trabalhavam na empresa DigitalMint, especializada em resposta a incidentes e negociação de ransomware, enquanto Goldberg ocupava o cargo de gerente de resposta a incidentes na Sygnia. Segundo as autoridades, Martino utilizou sua posição como negociador para obter informações confidenciais das vítimas, incluindo limites de apólices de seguro cibernético, e repassá-las aos operadores do ransomware para maximizar os valores exigidos nos resgates — uma prática que agrava significativamente o impacto financeiro das vítimas. O grupo BlackCat, apesar de já não estar mais ativo, foi um dos mais relevantes no ecossistema de ransomware nos últimos anos, sendo responsável por ataques a mais de 1.000 organizações globalmente. Sua operação utilizava técnicas avançadas, incluindo criptografia robusta, evasão de detecção e plataformas próprias de vazamento de dados. O caso reforça uma tendência preocupante no cenário de ameaças: o abuso de acesso privilegiado e conhecimento técnico por insiders. Profissionais com experiência em defesa podem se tornar ameaças altamente eficazes quando atuam maliciosamente, especialmente em contextos onde possuem acesso a informações sensíveis e processos críticos. Além disso, o episódio evidencia riscos no modelo de negócios de empresas que atuam em resposta a incidentes e negociação de ransomware, levantando questionamentos sobre governança, segregação de funções e controles internos.

Uma nova campanha de ciberespionagem atribuída a hackers alinhados à China está mirando governos, setores de defesa, jornalistas e ativistas em diversas regiões do mundo, combinando exploração de vulnerabilidades conhecidas, implantes avançados e campanhas de phishing altamente direcionadas. Pesquisadores da Trend Micro identificaram o cluster de atividade como SHADOW-EARTH-053, ativo desde pelo menos dezembro de 2024. O grupo tem como principal vetor de entrada a exploração de vulnerabilidades conhecidas — as chamadas N-days — em servidores expostos à internet, especialmente Microsoft Exchange e aplicações baseadas em IIS. Após a exploração inicial, os hackers implantam web shells como o Godzilla, permitindo acesso remoto persistente aos sistemas comprometidos. A cadeia de ataque segue um padrão bem definido. Após a invasão inicial, os invasores utilizam os web shells para execução remota de comandos e reconhecimento do ambiente. Em seguida, implantam o backdoor ShadowPad por meio de técnicas de DLL side-loading, abusando de executáveis legítimos assinados digitalmente para carregar código malicioso sem levantar suspeitas. Em alguns casos, os hackers também exploraram a vulnerabilidade React2Shell (CVE-2025-55182), utilizada para distribuir uma variante Linux do malware Noodle RAT, ampliando a capacidade de controle remoto sobre os sistemas afetados. Esse tipo de abordagem demonstra a flexibilidade operacional do grupo, que consegue atuar tanto em ambientes Windows quanto Linux. Para manter comunicação com a infraestrutura comprometida e evitar detecção, os invasores utilizam ferramentas legítimas e open source como IOX, GOST e Wstunnel, além de técnicas de empacotamento com RingQ para ofuscação de payloads. A elevação de privilégios é realizada com ferramentas conhecidas como Mimikatz, enquanto a movimentação lateral ocorre por meio de RDP customizado e implementações como Sharp-SMBExec. Os alvos principais incluem países da Ásia, como Índia, Tailândia, Malásia, Sri Lanka, Taiwan e Paquistão, além de um país europeu membro da OTAN: a Polônia. A escolha dos alvos indica um foco claro em coleta de inteligência estratégica, especialmente em governos e setores críticos. Paralelamente, outra vertente da campanha envolve ataques de phishing conduzidos por grupos também ligados à China, identificados como GLITTER CARP e SEQUIN CARP. Esses grupos têm como alvo jornalistas, ativistas e organizações da sociedade civil, incluindo membros da diáspora uigur, tibetana, taiwanesa e de Hong Kong. Essas campanhas utilizam engenharia social avançada, com e-mails que simulam comunicações legítimas de jornalistas, organizações internacionais e até alertas de segurança de empresas de tecnologia. O objetivo é induzir as vítimas a fornecer credenciais, acessar páginas falsas ou conceder permissões OAuth para aplicativos maliciosos. Um dos recursos observados é o uso de pixels de rastreamento 1x1 em e-mails, que permitem aos hackers confirmar se a mensagem foi aberta e coletar informações do dispositivo da vítima. Além disso, há uso de kits de phishing AiTM, que capturam credenciais e tokens de sessão em tempo real. Os pesquisadores também observaram sobreposição de infraestrutura e táticas entre diferentes grupos, sugerindo um ecossistema distribuído de operações, possivelmente envolvendo empresas contratadas para executar atividades de espionagem em nome do Estado chinês. Esse modelo reforça uma tendência crescente de “terceirização” de operações cibernéticas ofensivas. O impacto dessas campanhas vai além do comprometimento técnico. Trata-se de operações de espionagem e repressão digital transnacional, com foco em vigilância, coleta de inteligência e monitoramento de opositores políticos e jornalistas. Isso amplia significativamente o risco para organizações e indivíduos envolvidos em temas sensíveis. Diante desse cenário, especialistas recomendam a aplicação imediata de patches de segurança, especialmente em servidores expostos, além da implementação de controles compensatórios como WAF e IPS para bloquear tentativas de exploração. Também é essencial reforçar a segurança de identidade, monitorar acessos suspeitos e investir em conscientização contra phishing direcionado.

Uma nova campanha de ataque à cadeia de suprimentos de software está colocando desenvolvedores e ambientes de integração contínua (CI/CD) sob risco ao distribuir pacotes maliciosos disfarçados como bibliotecas legítimas nos ecossistemas Ruby e Go. A operação, atribuída à conta “BufferZoneCorp”, utilizou técnicas avançadas para comprometer pipelines, roubar credenciais sensíveis e estabelecer persistência nos sistemas afetados. De acordo com análise da Socket, os invasores publicaram múltiplos pacotes — incluindo Ruby Gems e módulos Go — que imitavam bibliotecas amplamente utilizadas, como activesupport-logger, devise-jwt e go-retryablehttp. Essa técnica de mascaramento tem como objetivo enganar desenvolvedores e ferramentas automatizadas, aumentando as chances de instalação em projetos reais. A campanha segue um modelo sofisticado de ataque com uso de “sleeper packages”, ou seja, bibliotecas aparentemente benignas que permanecem inativas até receberem atualizações maliciosas. Esse tipo de abordagem é especialmente perigoso, pois permite que os pacotes passem por verificações iniciais e sejam incorporados a pipelines antes da ativação do código malicioso. A cadeia de ataque começa no momento da instalação do pacote. No caso dos Ruby Gems, o código malicioso é executado automaticamente durante o processo de instalação, coletando variáveis de ambiente e arquivos sensíveis do sistema. Entre os dados capturados estão chaves SSH, credenciais da AWS, arquivos de configuração como .npmrc e .netrc, tokens do GitHub CLI e credenciais do próprio RubyGems. Essas informações são então exfiltradas para servidores controlados pelos hackers por meio de endpoints externos. Já os módulos Go apresentam um nível ainda mais avançado de comprometimento, focando diretamente em pipelines de CI/CD, especialmente aqueles baseados em GitHub Actions. Esses pacotes manipulam o ambiente de execução ao explorar funções como init(), permitindo que o código seja executado automaticamente ao importar o módulo. Uma das técnicas mais críticas envolve a manipulação de variáveis como GITHUB_ENV e GITHUB_PATH, além da redefinição de proxies HTTP e HTTPS. Os módulos maliciosos criam um executável falso do Go dentro de diretórios de cache e alteram o PATH do sistema para que esse binário seja executado antes do legítimo. Na prática, isso permite interceptar e modificar comandos executados durante o pipeline sem interromper o funcionamento do processo. O wrapper malicioso atua como um intermediário invisível, capturando informações, alterando comportamentos e repassando a execução ao binário legítimo para evitar suspeitas — uma técnica clássica de evasão. Além disso, os invasores implantam persistência adicionando uma chave pública SSH diretamente no arquivo ~/.ssh/authorized_keys, garantindo acesso remoto contínuo ao ambiente comprometido. Essa abordagem transforma um ataque inicial de cadeia de suprimentos em um comprometimento persistente de infraestrutura. O impacto é significativo, especialmente em ambientes corporativos que dependem fortemente de automação de builds e deploys. Um único pacote comprometido pode expor segredos críticos, permitir acesso a repositórios privados, comprometer pipelines de entrega de software e abrir caminho para ataques mais amplos, incluindo movimentação lateral e inserção de código malicioso em aplicações distribuídas. Esse tipo de campanha reflete uma tendência crescente no cenário de ameaças: ataques direcionados à cadeia de suprimentos de software, com foco em desenvolvedores e pipelines CI/CD como vetores estratégicos. Em vez de atacar diretamente a infraestrutura final, os hackers comprometem o processo de desenvolvimento, atingindo múltiplos alvos de forma escalável. Como medidas de mitigação, especialistas recomendam remover imediatamente os pacotes comprometidos, revisar arquivos sensíveis, validar alterações no arquivo authorized_keys, rotacionar todas as credenciais potencialmente expostas e analisar logs de rede em busca de comunicações suspeitas. Também é fundamental adotar práticas como verificação de dependências, uso de ferramentas de análise de segurança em pipelines e políticas de confiança zero para ambientes de desenvolvimento.

Grupos hackers estão intensificando uma nova modalidade de ataque contra empresas que dependem fortemente de aplicações SaaS, combinando engenharia social por telefone, abuso de login corporativo e movimentação dentro de ambientes confiáveis para roubar dados com rapidez e deixar poucos rastros. Segundo pesquisadores da CrowdStrike, dois grupos identificados como Cordial Spider, também conhecido como BlackFile, CL-CRI-1116, O-UNC-045 e UNC6671, e Snarky Spider, também rastreado como O-UNC-025 e UNC6661, vêm conduzindo campanhas de roubo de dados e extorsão com alto impacto operacional. Ambos estariam ativos desde pelo menos outubro de 2025 e apresentam semelhanças relevantes em suas táticas, técnicas e procedimentos. A principal característica dessas campanhas é que os ataques ocorrem quase inteiramente dentro de ambientes SaaS legítimos, como Google Workspace, Microsoft SharePoint, Salesforce, HubSpot e outros serviços integrados ao provedor de identidade corporativo. Isso reduz a necessidade de instalação de malware, dificulta a detecção por ferramentas tradicionais e acelera o tempo entre o comprometimento inicial e a exfiltração de dados. A cadeia de ataque começa com vishing, técnica de phishing por voz em que os hackers se passam por profissionais de suporte, equipe de TI ou help desk. Durante a ligação, a vítima é induzida a acessar uma página falsa com aparência de portal de autenticação SSO. Essas páginas usam técnicas de adversary-in-the-middle, ou AiTM, permitindo capturar credenciais, tokens de sessão e, em alguns casos, códigos de autenticação multifator. Com esses dados em mãos, os hackers acessam o provedor de identidade da organização, como Okta, Microsoft Entra ID ou outros sistemas de SSO. Esse ponto é crítico porque o IdP funciona como uma porta de entrada única para diversas aplicações corporativas. Ao comprometer uma sessão autenticada, os invasores não precisam explorar separadamente cada aplicação SaaS. Eles abusam da relação de confiança entre o provedor de identidade e os serviços conectados. Após o acesso inicial, os grupos registram um novo dispositivo na conta comprometida para contornar mecanismos de MFA e manter persistência. Em alguns casos, dispositivos legítimos já cadastrados são removidos, reduzindo a capacidade da vítima de recuperar rapidamente o acesso. Em seguida, os hackers configuram regras na caixa de entrada para apagar automaticamente alertas relacionados ao registro de novos dispositivos ou atividades suspeitas, uma técnica simples, mas eficaz para atrasar a resposta do time de segurança. A movimentação lateral ocorre dentro do próprio ecossistema SaaS. Os invasores consultam diretórios internos de funcionários, identificam contas privilegiadas e usam novas rodadas de engenharia social para ampliar privilégios. Com acesso elevado, passam a buscar documentos sensíveis, relatórios financeiros, bases comerciais, registros de clientes, informações operacionais e arquivos estratégicos em plataformas corporativas. A Unit 42, da Palo Alto Networks, e o RH-ISAC avaliaram que o grupo CL-CRI-1116 tem mirado especialmente empresas dos setores de varejo e hotelaria desde fevereiro de 2026. A escolha desses segmentos não é aleatória: são ambientes com grande volume de dados de clientes, operações distribuídas, equipes numerosas e forte dependência de sistemas SaaS para vendas, atendimento, marketing, RH e gestão financeira. Outro ponto relevante é o uso de técnicas living-off-the-land, nas quais os hackers exploram recursos legítimos do próprio ambiente para executar ações maliciosas. Em vez de implantar ferramentas externas facilmente detectáveis, eles usam funcionalidades nativas de contas, e-mail, autenticação, permissões e armazenamento em nuvem. Também foram observados proxies residenciais para mascarar a origem dos acessos e burlar filtros baseados em reputação de IP. A Mandiant, do Google, já havia associado essa evolução de atividade a campanhas com características semelhantes às do grupo ShinyHunters, conhecido por operações de extorsão baseadas em roubo de dados. O elo comum está no uso agressivo de engenharia social, foco em credenciais, abuso de MFA e pressão sobre empresas a partir da exposição ou ameaça de divulgação de informações sensíveis. O impacto para as organizações é significativo. Ataques desse tipo podem resultar em vazamento de dados de clientes, interrupção de operações internas, exposição de informações comerciais, perdas financeiras, danos reputacionais e riscos regulatórios. Como a atividade ocorre dentro de plataformas legítimas, muitas empresas podem não perceber rapidamente que dados estão sendo acessados ou transferidos. O caso reforça uma tendência maior no cibercrime: a migração de ataques tradicionais baseados em malware para operações centradas em identidade, SaaS e engenharia social. À medida que empresas transferem processos críticos para a nuvem, o controle de identidade passa a ser um dos principais alvos dos hackers. Proteger apenas endpoints e redes já não é suficiente; é necessário monitorar sessões, dispositivos registrados, alterações em MFA, regras de e-mail, acessos anômalos e movimentações entre aplicações SaaS. Para reduzir o risco, organizações devem fortalecer políticas de MFA resistente a phishing, como chaves FIDO2, revisar privilégios em aplicações SaaS, monitorar alterações em dispositivos confiáveis, auditar regras de caixa de entrada, treinar usuários contra golpes de vishing e implementar detecção comportamental em provedores de identidade e plataformas cloud.

Um jovem de 15 anos está no centro de uma investigação conduzida pelas autoridades francesas após suspeitas de envolvimento em um ataque cibernético contra a Agência Nacional de Documentos Seguros (ANTS), órgão responsável pela emissão de passaportes, carteiras de identidade, permissões de residência e carteiras de motorista no país. Segundo o Ministério Público de Paris, o adolescente teria atuado sob o pseudônimo “breach3d”, utilizado para anunciar a venda de um banco de dados contendo entre 12 e 18 milhões de registros de cidadãos em fóruns clandestinos. A investigação foi iniciada após a unidade de crimes cibernéticos identificar a circulação dessas informações em marketplaces underground. Posteriormente, a própria ANTS confirmou a detecção de atividades incomuns em sua infraestrutura, reforçando a hipótese de comprometimento real dos sistemas. O caso levanta preocupações significativas, já que a agência administra uma das plataformas digitais mais sensíveis do governo francês, incluindo também um novo aplicativo de verificação de idade voltado à proteção de menores em redes sociais. Do ponto de vista técnico, o ataque apresenta indícios de uma cadeia completa de intrusão, incluindo acesso não autorizado inicial — possivelmente via exploração de vulnerabilidades ou credenciais comprometidas — seguido de persistência no ambiente, extração massiva de dados e posterior tentativa de monetização. As autoridades alegam que o suspeito participou ativamente de múltiplas etapas da operação, incluindo a manutenção de acesso ao sistema e o uso de ferramentas específicas para invasão, o que pode indicar um nível avançado de conhecimento técnico, mesmo considerando a idade do investigado. Entre os dados potencialmente comprometidos estão credenciais de acesso, nomes completos, e-mails, datas de nascimento e identificadores únicos de contas. Informações adicionais, como endereços residenciais, números de telefone e locais de nascimento, também podem ter sido expostas. Esse tipo de vazamento amplia significativamente o risco de fraudes, engenharia social e ataques de Account Takeover (ATO), além de possíveis impactos regulatórios e reputacionais para o governo francês. Sob a legislação local, crimes relacionados ao acesso fraudulento e extração de dados de sistemas governamentais podem resultar em penas de até sete anos de prisão e multas que chegam a €300 mil. Apesar da menoridade do suspeito, o Ministério Público solicitou sua formalização como acusado e a imposição de supervisão judicial, indicando a gravidade do caso. O incidente ocorre em um contexto mais amplo de aumento de ataques cibernéticos na França. Nas últimas semanas, outros casos chamaram a atenção das autoridades, incluindo a prisão de um hacker de 20 anos, conhecido como “HexDex”, ligado a dezenas de ataques contra instituições públicas e organizações privadas, além da detenção, em janeiro, de um jovem de 18 anos acusado de vazar dados de mais de um milhão de membros da Federação Francesa de Tiro. A participação de indivíduos cada vez mais jovens em operações sofisticadas, muitas vezes impulsionados pela facilidade de acesso a ferramentas prontas, modelos de Crime-as-a-Service e comunidades online que incentivam a monetização de dados roubados. Para organizações públicas e privadas, o caso evidencia a necessidade urgente de fortalecer controles de acesso, monitoramento contínuo, segmentação de ambientes e proteção de identidades digitais.

Uma vulnerabilidade crítica no cPanel e no WebHost Manager (WHM) está colocando milhões de servidores em risco ao permitir que invasores obtenham acesso administrativo completo sem necessidade de autenticação. Identificada como CVE-2026-41940, a falha recebeu pontuação 9.8 no CVSS, indicando gravidade máxima, e já vem sendo explorada ativamente como zero-day em ataques reais. De acordo com o alerta divulgado pela própria cPanel e complementado por empresas como Namecheap e Rapid7, a vulnerabilidade afeta praticamente todas as versões modernas da plataforma, amplamente utilizada por provedores de hospedagem em todo o mundo. Cadeia de ataque: como a exploração acontece A falha está diretamente relacionada ao fluxo de autenticação do cPanel, especificamente na forma como sessões são criadas e carregadas antes mesmo da validação do usuário. O ataque segue uma cadeia relativamente sofisticada, mas altamente eficaz: Manipulação do processo de sessão Antes da autenticação, o serviço cpsrvd cria arquivos de sessão no disco. Esse comportamento abre espaço para manipulação. Injeção CRLF (Carriage Return Line Feed) Os invasores exploram uma falha de sanitização ao inserir caracteres especiais (\r\n) por meio de headers maliciosos, como o Basic Authorization. Corrupção do cookie de sessão Ao manipular o cookie whostmgrsession, o atacante consegue evitar o processo de criptografia esperado. Injeção de privilégios A vulnerabilidade permite inserir atributos arbitrários no arquivo de sessão — como user=root. Escalonamento direto para administrador Após o reload da sessão, o sistema reconhece o invasor como usuário autenticado com privilégios máximos. Esse tipo de falha é particularmente crítico porque elimina completamente a necessidade de credenciais válidas, caracterizando um authentication bypass não autenticado. Impacto real: comprometimento total do servidor O comprometimento de um ambiente cPanel vai muito além de um único site. Como o WHM opera no nível administrativo do servidor, o impacto é sistêmico: Acesso a todos os sites hospedados no servidor Leitura e modificação de bancos de dados Criação de contas backdoor Implantação de malware persistente Roubo de credenciais e dados sensíveis Movimentação lateral para redes de clientes Especialistas destacam que esse tipo de acesso equivale, na prática, a um controle total da infraestrutura. Exploração ativa e resposta emergencial Relatos indicam que a vulnerabilidade já vinha sendo explorada há pelo menos 30 dias antes da divulgação pública. A gravidade do cenário levou grandes provedores de hospedagem a adotarem medidas emergenciais, incluindo: Bloqueio de portas críticas (2083, 2087, 2095, 2096) Restrição temporária de acesso aos painéis Aplicação acelerada de patches Empresas como Namecheap chegaram a impedir o acesso dos próprios clientes aos painéis até a mitigação completa, evidenciando o nível de risco envolvido. Mitigações e recomendações A cPanel orienta ações imediatas para reduzir a superfície de ataque: Atualizar para versões corrigidas (ex: 11.86, 11.110, 11.118, entre outras) Executar o script de atualização: /scripts/upcp --force Reiniciar os serviços após atualização Bloquear temporariamente portas de acesso ao painel Monitorar indicadores de comprometimento (IoCs), como: Sessões com token_denied e cp_security_token Sessões pré-autenticadas com atributos válidos Presença de tfa_verified sem origem válida Campos de senha contendo quebras de linha Contexto maior: ataque à camada de gestão (management plane) Esse incidente reforça uma tendência crítica na cibersegurança moderna: ataques direcionados à camada de gerenciamento de infraestrutura. Plataformas como cPanel funcionam como “pontos de controle centralizados”, o que as torna alvos de alto valor. Quando comprometidas: O atacante não precisa explorar cada aplicação individualmente O controle é obtido de forma centralizada O impacto se multiplica rapidamente (efeito cascata) Esse tipo de exploração tem sido cada vez mais comum, especialmente em ambientes de hospedagem compartilhada, cloud e provedores SaaS.

Durante o AWS London Summit, o discurso oficial da Amazon Web Services reforçou uma narrativa cada vez mais comum no mercado: a de que a inteligência artificial está transformando o desenvolvimento de software em algo próximo de “mágica”. No entanto, declarações de engenheiros da própria Amazon indicam um cenário mais cauteloso — e muito mais dependente de supervisão humana. Segundo Steve Tarcza, diretor da divisão Amazon Stores, responsável por otimizar o desenvolvimento interno da companhia, a adoção de IA generativa não elimina etapas críticas do processo de engenharia. Pelo contrário: “nada vai para produção sem revisão humana”. Essa diretriz evidencia uma preocupação central com segurança, confiabilidade e governança — especialmente em um momento em que ferramentas baseadas em IA estão sendo incorporadas em pipelines de desenvolvimento. O contraste fica mais evidente quando comparado ao discurso apresentado no keynote por Alison Kay, executiva da AWS, que descreveu a tecnologia como capaz de escrever, testar, corrigir e implantar código de forma contínua — até mesmo enquanto engenheiros dormem. Um dos exemplos citados foi a reconstrução de um mecanismo de inferência do serviço Bedrock em apenas 76 dias por uma equipe reduzida, com auxílio de ferramentas de IA. Na prática, porém, o uso dessas tecnologias ainda enfrenta limitações conhecidas. Entre os principais desafios relatados estão as chamadas “alucinações” — quando a IA gera resultados incorretos ou inventados — e a dificuldade em manter o sistema dentro de limites definidos (guardrails). Em alguns casos, a IA chega a executar tarefas além do solicitado, introduzindo riscos adicionais no ciclo de desenvolvimento. Para mitigar esses problemas, a Amazon tem adotado abordagens como o desenvolvimento orientado por especificação (spec-driven development), no qual a IA primeiro gera um conjunto estruturado de tarefas que precisam ser revisadas e aprovadas antes da escrita de código. Ainda assim, a própria empresa reconhece que essa técnica não elimina falhas como prompt injection ou desvios de comportamento — apenas reduz sua ocorrência. Outro ponto crítico destacado é o risco estrutural de dependência excessiva da automação. Com o avanço da IA, muitas empresas vêm reduzindo equipes de engenharia, o que pode levar a um cenário perigoso: código sendo implantado sem validação humana adequada. Tarcza é enfático ao afirmar que esse caminho é equivocado e defende a continuidade na formação de novos profissionais, especialmente desenvolvedores juniores, que serão responsáveis por manter e evoluir esses sistemas no futuro. Do ponto de vista de segurança da informação, esse cenário levanta preocupações relevantes. A introdução de IA em pipelines de desenvolvimento amplia a superfície de ataque, especialmente quando combinada com vulnerabilidades como prompt injection, geração de código inseguro ou dependência de bibliotecas não confiáveis. Além disso, a execução automatizada de tarefas críticas — como deploys — pode se tornar um vetor de risco caso não haja mecanismos determinísticos e auditáveis. Por isso, a estratégia adotada pela Amazon prioriza sistemas determinísticos para etapas críticas, como deploy, mantendo a IA como ferramenta de suporte e não como elemento autônomo. Essa abordagem reflete uma tendência mais madura no uso de IA em ambientes corporativos: integração controlada, com forte governança e validação contínua. No fim, apesar do entusiasmo do mercado, o cenário atual indica que a IA ainda está longe de substituir completamente o papel humano no desenvolvimento de software. Em vez disso, seu maior valor está na redução de fricção operacional e aumento de produtividade — desde que acompanhada de controles rigorosos.

A Microsoft deu mais um passo na preservação da história da computação ao liberar publicamente o código-fonte do 86-DOS 1.00, sistema operacional que serviu como base para o icônico PC-DOS 1.00. A iniciativa amplia um movimento recente da empresa, que já havia disponibilizado o código do MS-DOS 4.0 no ano anterior, mas agora vai além ao incluir materiais históricos raros e artefatos originais do desenvolvimento. O pacote divulgado não se limita ao kernel do 86-DOS. Segundo os engenheiros Stacey Haffner e Scott Hanselman, a liberação inclui múltiplos snapshots de desenvolvimento do PC-DOS 1.00, além de utilitários clássicos como o CHKDSK e até listagens do próprio assembler utilizado na época. Trata-se de um acervo técnico que oferece uma visão detalhada da evolução inicial dos sistemas operacionais para computadores pessoais. Um dos aspectos mais relevantes da publicação é o contexto histórico. Diferente dos modelos modernos de versionamento, baseados em plataformas como GitHub, o desenvolvimento do 86-DOS era documentado por meio de listagens impressas, anotações manuais e documentos físicos. Parte desse material foi encontrada em folhas de papel armazenadas na garagem de Tim Paterson, responsável pelo desenvolvimento original do sistema em 1980. Essa abordagem analógica permite reconstruir uma espécie de “linha do tempo” do software, evidenciando como funcionalidades foram implementadas, erros identificados e corrigidos, e decisões técnicas tomadas ao longo do desenvolvimento. Em vez de commits digitais, os registros físicos mostram a evolução do código de forma tangível, oferecendo um nível de transparência raro para padrões atuais. O 86-DOS foi inicialmente criado por Tim Paterson e posteriormente licenciado pela Microsoft, que adquiriu os direitos completos em 1981, pouco antes do lançamento do IBM PC. Esse movimento foi decisivo para consolidar o domínio da empresa no mercado de sistemas operacionais nas décadas seguintes. O código também esteve no centro de disputas legais na época, especialmente por supostas similaridades com o sistema CP/M, amplamente utilizado naquele período. Do ponto de vista técnico, o material revela práticas de desenvolvimento focadas em eficiência extrema. Com recursos de hardware altamente limitados, os desenvolvedores precisavam otimizar cada byte de código, equilibrando funcionalidade e desempenho. Esse tipo de abordagem contrasta fortemente com o cenário atual, onde abundância de recursos muitas vezes reduz a pressão por otimização em baixo nível. Embora o uso prático do 86-DOS hoje seja restrito a entusiastas de computação retro e pesquisadores, o valor estratégico da liberação é significativo. O acervo funciona como uma base de estudo para historiadores de tecnologia, desenvolvedores interessados em sistemas de baixo nível e profissionais que buscam compreender a evolução das arquiteturas modernas. Além disso, a iniciativa reforça uma tendência crescente entre grandes empresas de tecnologia: abrir códigos históricos como forma de preservar conhecimento, fomentar pesquisa e fortalecer a comunidade. Para profissionais de segurança da informação, esse tipo de material também pode oferecer insights sobre a evolução de superfícies de ataque, práticas de desenvolvimento seguro (ou a ausência delas) e padrões que ainda influenciam sistemas atuais.

Uma nova vulnerabilidade crítica no Windows está sendo explorada ativamente por invasores e levanta preocupações sobre a eficácia de correções recentes da Microsoft. Identificada como CVE-2026-32202, a falha surgiu a partir de um patch incompleto para uma vulnerabilidade anterior já explorada em ataques atribuídos ao grupo russo APT28. O problema está relacionado ao Windows Shell e envolve uma técnica de coerção de autenticação que permite a exposição de informações sensíveis sem qualquer interação do usuário — um cenário classificado como zero-click. Na prática, a falha pode ser explorada por meio de spoofing de rede, levando o sistema da vítima a se autenticar automaticamente em um servidor controlado pelo invasor. A cadeia de ataque que originou esse cenário começa semanas antes. Em janeiro, o grupo APT28 explorou a vulnerabilidade CVE-2026-21510 em campanhas direcionadas contra alvos na Ucrânia e na União Europeia. Os ataques tinham início com e-mails de phishing que simulavam comunicações do centro hidrometeorológico ucraniano. Esses e-mails continham arquivos LNK maliciosos que exploravam outra falha, a CVE-2026-21513. A combinação dessas vulnerabilidades permitia contornar mecanismos de segurança do Windows, como o Defender SmartScreen, e executar código remotamente nas máquinas das vítimas. A Microsoft corrigiu essas falhas no Patch Tuesday de fevereiro, mas a correção deixou uma brecha residual. Foi durante a análise dessas correções que pesquisadores da Akamai identificaram o novo problema. Segundo o pesquisador Maor Dahan, mesmo após o patch, o sistema da vítima continuava se autenticando automaticamente em servidores controlados por invasores — um comportamento inesperado e perigoso. Essa falha residual permite que hackers capturem hashes de autenticação Net-NTLMv2, que podem ser reutilizados para se passar pelo usuário comprometido. Com isso, invasores conseguem acessar sistemas, movimentar-se lateralmente na rede e exfiltrar dados sensíveis sem necessidade de interação adicional da vítima. Do ponto de vista técnico, o problema está em uma lacuna entre a resolução de caminhos e a verificação de confiança em arquivos LNK processados automaticamente pelo sistema. Esse gap cria um vetor silencioso de roubo de credenciais, altamente eficaz em ambientes corporativos. A gravidade do cenário levou a CISA a incluir a vulnerabilidade no catálogo de falhas ativamente exploradas (Known Exploited Vulnerabilities), estabelecendo prazo até 12 de maio para que agências federais corrijam o problema. Embora ainda não haja confirmação oficial sobre os responsáveis pelos ataques atuais, o histórico recente indica forte possibilidade de envolvimento de grupos patrocinados por Estados, especialmente considerando o uso anterior da vulnerabilidade em campanhas de espionagem cibernética. O caso evidencia um problema recorrente na indústria: correções incompletas que eliminam o vetor principal de exploração, mas deixam superfícies residuais abertas. Em um cenário onde ataques são cada vez mais encadeados, essas falhas secundárias podem ser tão perigosas quanto as vulnerabilidades originais. Além disso, o incidente reforça uma tendência crescente: ataques sofisticados que combinam phishing, exploração de múltiplas vulnerabilidades e técnicas de coerção de autenticação para comprometer identidades digitais — um dos ativos mais críticos nas redes corporativas modernas.

Uma nova vulnerabilidade de escalada local de privilégios no kernel Linux acendeu o alerta entre distribuições e equipes de segurança. A falha, rastreada como CVE-2026-31431 e apelidada de Copy Fail, afeta o template criptográfico authencesn e permite que um usuário local sem privilégios grave quatro bytes controlados no page cache de qualquer arquivo legível do sistema. O impacto técnico é significativo porque o kernel utiliza o page cache ao carregar binários. Na prática, ao modificar a cópia em cache de um arquivo, o invasor consegue alterar o comportamento de execução de um binário sem modificar diretamente o arquivo no disco. Isso também evita a ativação de mecanismos de detecção baseados em eventos do sistema de arquivos, como inotify, dificultando a visibilidade por ferramentas que monitoram apenas alterações persistentes. Segundo a Theori, empresa que publicou a análise da falha, um exploit de prova de conceito com apenas 10 linhas em Python e 732 bytes seria capaz de editar um binário setuid para obter privilégios de root em praticamente todas as principais distribuições Linux lançadas desde 2017. A técnica lembra vulnerabilidades históricas de escalada local, como Dirty Cow e Dirty Pipe, mas os pesquisadores afirmam que o Copy Fail não depende de uma condição de corrida e possui aplicação mais ampla. A falha não pode ser explorada remotamente de forma isolada. No entanto, seu risco aumenta consideravelmente quando combinada com outros vetores, como execução remota de código em uma aplicação web, comprometimento via SSH, pipelines de CI/CD maliciosos ou ambientes que executam código não confiável. Por isso, o alerta é especialmente relevante para sistemas Linux multi-tenant, containers com kernel compartilhado, runners de CI e nós Kubernetes. O ponto mais sensível é o compartilhamento do page cache entre o host e ambientes containerizados. Em determinados cenários, a vulnerabilidade pode funcionar como uma primitiva para escape de container, permitindo que um invasor que já tenha acesso limitado a um ambiente isolado avance para privilégios mais elevados no host. Distribuições como Debian, Ubuntu e SUSE já começaram a liberar correções. A Red Hat, que inicialmente indicou que adiaria o patch, revisou sua orientação e passou a acompanhar outras distribuições na correção rápida do problema. A vulnerabilidade recebeu classificação de severidade alta, com pontuação CVSS de 7,8. A descoberta foi feita por Taeyang Lee, pesquisador da Theori, com apoio do Xint Code, ferramenta de varredura de segurança baseada em inteligência artificial da empresa. O caso reforça uma tendência crescente no setor: o uso de IA para identificar vulnerabilidades em larga escala, o que tem aumentado o volume de relatórios enviados a fornecedores e programas de bug bounty. Esse movimento já vem causando impacto no ecossistema de segurança. A Microsoft relatou recentemente um dos maiores volumes de correções de sua história, enquanto o programa Internet Bug Bounty suspendeu temporariamente premiações para avaliar como lidar com a explosão de submissões apoiadas por ferramentas de IA. O Copy Fail mostra que a automação pode acelerar descobertas importantes, mas também pressiona empresas e mantenedores a responder com mais rapidez.

A Microsoft anunciou que iniciará, a partir de julho de 2026, o bloqueio definitivo das conexões que utilizam versões legadas do protocolo Transport Layer Security (TLS) — especificamente as versões 1.0 e 1.1 — em serviços de e-mail via POP3 e IMAP4 no Exchange Online. A medida representa mais um passo na eliminação de tecnologias consideradas inseguras, mesmo após anos de alertas e adiamentos por conta da necessidade de compatibilidade com sistemas antigos. Embora o suporte oficial ao TLS 1.0 e 1.1 tenha sido encerrado ainda em 2020, a empresa manteve mecanismos de exceção para clientes que dependiam desses protocolos, permitindo que continuassem operando por meio de endpoints específicos. Em 2023, a Microsoft já havia sinalizado que essa flexibilidade seria temporária, destacando que uma parcela relevante de clientes POP3/IMAP4 ainda não suportava TLS 1.2 ou superior — versão atualmente considerada segura. Agora, esse período de tolerância chega ao fim. Do ponto de vista técnico, o TLS é responsável por garantir a confidencialidade e integridade das comunicações em rede, sendo amplamente utilizado em serviços de e-mail, web e APIs. No entanto, versões antigas como TLS 1.0 (lançada em 1999) e TLS 1.1 (2006) apresentam fragilidades conhecidas, incluindo vulnerabilidades a ataques como downgrade, exploração de cifras fracas e falhas na negociação de sessão segura. Essas limitações levaram à sua depreciação oficial em 2021 por órgãos e entidades de padronização. Na prática, o bloqueio funcionará interrompendo qualquer tentativa de conexão que utilize esses protocolos obsoletos. Isso pode afetar diretamente sistemas legados, dispositivos embarcados, aplicações antigas e bibliotecas desatualizadas que ainda não suportam TLS 1.2 ou superior. O impacto esperado, segundo a Microsoft, é limitado, já que a maior parte do tráfego atual já utiliza versões mais recentes. Ainda assim, organizações que optaram explicitamente por manter o uso dessas versões antigas podem enfrentar falhas operacionais, como interrupção no envio e recebimento de e-mails. Esse movimento reforça uma tendência mais ampla no cenário de cibersegurança: a eliminação progressiva de tecnologias legadas como estratégia de redução da superfície de ataque. Protocolos antigos frequentemente são explorados por hackers em ataques de interceptação (Man-in-the-Middle), exfiltração de dados e comprometimento de credenciais, especialmente em ambientes onde a atualização de sistemas não acompanha o ritmo das ameaças. Além disso, a decisão da Microsoft está alinhada com exigências regulatórias e frameworks de segurança, como PCI DSS e recomendações do NIST, que já há anos proíbem o uso de protocolos criptográficos obsoletos. A permanência dessas tecnologias em ambientes corporativos não apenas amplia riscos técnicos, mas também pode gerar não conformidade regulatória e impacto financeiro. Apesar de outras plataformas, como o Google Workspace, ainda manterem suporte parcial a essas versões antigas, a tendência global aponta para sua completa descontinuação. Navegadores modernos como Chrome, Firefox e Edge já abandonaram o suporte desde 2018, acelerando a pressão sobre empresas para modernizar suas infraestruturas. Diante desse cenário, a recomendação é clara: organizações devem mapear seus sistemas que ainda utilizam TLS 1.0 ou 1.1, atualizar bibliotecas e clientes de e-mail, e validar a compatibilidade com TLS 1.2 ou superior. Ignorar esse movimento pode resultar não apenas em falhas operacionais, mas também em exposição a riscos críticos de segurança.