Radar do tema
O dia foi marcado por alertas críticos da Microsoft sobre uma vulnerabilidade zero-day no Exchange Server já explorada em ataques e por uma campanha autom...
O dia foi marcado por alertas críticos da Microsoft sobre uma vulnerabilidade zero-day no Exchange Server já explorada em ataques e por uma campanha automatizada chamada Megalodon que injetou mais de 5.700 commits malic...
A Microsoft emitiu um alerta urgente sobre uma falha zero-day no Exchange Server que já está sendo explorada por atacantes em operações reais. A empresa recomenda que administradores apliquem imediatamente as medidas de mitigação disponíveis para proteger servidores corporativos.
Abrir fonteUma operação automatizada codinomeada Megalodon comprometeu 5.561 repositórios do GitHub em apenas seis horas, injetando backdoors por meio de pipelines de CI/CD. A análise da OX Security revelou a escala inédita do ataque à cadeia de suprimentos de código.
Abrir fonteO Drupal informou que a falha CVE-2026-9082 já está sendo explorada por hackers pouco depois de sua divulgação. Empresas de segurança detectaram ataques contra milhares de sites que utilizam o CMS.
Abrir fonteUm criminoso digital está comercializando um banco de dados com 340 milhões de perfis do OnlyFans, montado a partir da combinação de dados de vazamentos antigos com perfis públicos. A base teria sido construída cruzando informações para vincular contas reais da plataforma.
Abrir fonteA Ubiquiti lançou correções para as falhas CVE-2026-34908, CVE-2026-34909 e CVE-2026-34910, que permitiam alterações não autorizadas no sistema, traversal de caminho e injeção de comandos. Usuários de equipamentos UniFi devem atualizar imediatamente.
Abrir fontePesquisadores construíram um pipeline de automação em três dias capaz de descobrir vulnerabilidades reais em plugins WordPress a um custo de US$ 20 por falha. O resultado reacendeu o debate sobre a capacidade de agentes de IA em encontrar bugs em escala.
Abrir fonteO FBI publicou um alerta sobre o Kali365, um serviço baseado no Telegram que permite a criminosos capturar tokens OAuth legítimos e obter acesso persistente a contas do Microsoft 365. A ferramenta foi identificada após ataques registrados em abril.
Abrir fonteObservado pela primeira vez em abril, o Kali365 abusa de páginas legítimas de autorização de dispositivos da Microsoft para conceder acesso persistente a aplicações controladas por criminosos. O crescimento rápido da ferramenta preocupou as autoridades norte-americanas.
Abrir fonteO FBI alertou para os riscos de uma nova onda de ataques de phishing possibilitada pelo Kali365, ferramenta que permite a criminosos obter tokens de acesso do Microsoft 365 e burlar autenticação multifator. O alerta destaca a sofisticação crescente dos serviços de cibercrime como serviço.
Abrir fonteO Chromium, base de navegadores como Chrome, Edge e Opera, contém uma vulnerabilidade não corrigida que permite a atacantes executar código JavaScript de forma persistente, transformando o navegador em um bot. A falha foi divulgada acidentalmente pelo Google antes da correção.
Abrir fonteO GitHub e a Grafana Labs foram atingidos por um comprometimento na cadeia de suprimentos ligado à biblioteca TanStack, em um dos episódios mais significativos da semana. O panorama inclui ainda uma falha crítica no NGINX sob exploração ativa.
Abrir fonteAtive a curadoria gratuita por email ou no seu grupo de WhatsApp.
Outros temas