← Voltar ao blog
Briefing de segurança4 min read2026-04-30

Briefing de segurança, 30 de abril de 2026: backdoor de supply chain em npm da SAP, bypass de auth no cPanel e bug root Copy Fail no Linux

O tema desta manhã é simples: quando a infraestrutura confiável é envenenada, os atacantes não precisam de truques exóticos.


Resumo: Três histórias merecem atenção imediata nesta manhã: pacotes npm oficiais da SAP foram adulterados para roubar segredos de desenvolvedores e de CI, cPanel e WHM liberaram um patch emergencial para um bypass crítico de autenticação, e mantenedores Linux correm para corrigir a nova falha de escalada de privilégios Copy Fail.


1. O comprometimento do npm da SAP mira direto em segredos de dev e CI

Quatro pacotes npm oficiais da SAP ligados ao Cloud Application Programming Model e ao Cloud MTA foram modificados com uma cadeia maliciosa de preinstall. Segundo BleepingComputer, Aikido e Socket, a carga baixa Bun, executa um stealer ofuscado e procura tokens do GitHub, tokens do npm, chaves SSH, credenciais de cloud, segredos do Kubernetes e variáveis de ambiente de CI/CD. Pior: ela aparentemente também varre a memória de runners e tenta se autopropagar com os tokens roubados.


2. O patch emergencial do cPanel para o bypass de auth não é manutenção opcional

cPanel e WHM lançaram um update emergencial para a CVE-2026-41940, um bypass de autenticação com severidade 9.8 que atinge praticamente todas as versões suportadas, exceto as mais novas. A Namecheap bloqueou temporariamente as portas de gestão expostas antes mesmo de os patches saírem, o que já diz bastante sobre a gravidade. Se um atacante entrar no cPanel, leva sites, email, bancos e configs; se entrar no WHM, pode dominar o servidor inteiro e todos os tenants hospedados ali.


3. Copy Fail dá aos atacantes Linux um caminho pós-compromisso para root brutalmente simples

The Register informa que a nova falha Copy Fail, CVE-2026-31431, permite que um usuário local sem privilégios escreva quatro bytes controlados no page cache de qualquer arquivo legível e transforme isso em root. O PoC é minúsculo, dribla alertas clássicos de eventos de filesystem e o impacto vai muito além de laptops: containers com kernel compartilhado, runners de CI e hosts Linux multi-tenant são exatamente onde uma escalada local vira risco externo real depois de qualquer foothold inicial.

O que fazer hoje

Comece pela supply chain de software, depois feche planos de controle de hosting expostos e então corrija limites de privilégio do Linux onde atacantes já podem executar código. A falha comum aqui é confiança cega em infraestrutura que todos presumiam segura.

Fontes

  • BleepingComputer sobre os pacotes npm oficiais da SAP comprometidos e a pesquisa complementar da Aikido e da Socket.
  • BleepingComputer sobre cPanel/WHM CVE-2026-41940 e a orientação do patch emergencial.
  • The Register sobre a CVE-2026-31431 “Copy Fail”, com referências de patch para Debian, Ubuntu, SUSE e Red Hat.