O tema desta manhã é simples: quando a infraestrutura confiável é envenenada, os atacantes não precisam de truques exóticos.
Resumo: Três histórias merecem atenção imediata nesta manhã: pacotes npm oficiais da SAP foram adulterados para roubar segredos de desenvolvedores e de CI, cPanel e WHM liberaram um patch emergencial para um bypass crítico de autenticação, e mantenedores Linux correm para corrigir a nova falha de escalada de privilégios Copy Fail.
Quatro pacotes npm oficiais da SAP ligados ao Cloud Application Programming Model e ao Cloud MTA foram modificados com uma cadeia maliciosa de preinstall. Segundo BleepingComputer, Aikido e Socket, a carga baixa Bun, executa um stealer ofuscado e procura tokens do GitHub, tokens do npm, chaves SSH, credenciais de cloud, segredos do Kubernetes e variáveis de ambiente de CI/CD. Pior: ela aparentemente também varre a memória de runners e tenta se autopropagar com os tokens roubados.
cPanel e WHM lançaram um update emergencial para a CVE-2026-41940, um bypass de autenticação com severidade 9.8 que atinge praticamente todas as versões suportadas, exceto as mais novas. A Namecheap bloqueou temporariamente as portas de gestão expostas antes mesmo de os patches saírem, o que já diz bastante sobre a gravidade. Se um atacante entrar no cPanel, leva sites, email, bancos e configs; se entrar no WHM, pode dominar o servidor inteiro e todos os tenants hospedados ali.
The Register informa que a nova falha Copy Fail, CVE-2026-31431, permite que um usuário local sem privilégios escreva quatro bytes controlados no page cache de qualquer arquivo legível e transforme isso em root. O PoC é minúsculo, dribla alertas clássicos de eventos de filesystem e o impacto vai muito além de laptops: containers com kernel compartilhado, runners de CI e hosts Linux multi-tenant são exatamente onde uma escalada local vira risco externo real depois de qualquer foothold inicial.
Comece pela supply chain de software, depois feche planos de controle de hosting expostos e então corrija limites de privilégio do Linux onde atacantes já podem executar código. A falha comum aqui é confiança cega em infraestrutura que todos presumiam segura.