A lição desta manhã é feia e familiar: quando caminhos confiáveis de admin ou desenvolvimento são envenenados, os atacantes não precisam de elegância para causar estrago.
Top line: Cinco histórias importam nesta manhã: a CISA quer patch rápido em Windows, o comprometimento de supply chain saltou de pacotes npm da SAP para PyTorch Lightning e intercom-client, as tentativas contra o bypass do cPanel estão ativas, o Linux Copy Fail barateia root e o Google precisou corrigir uma falha de severidade máxima no Gemini CLI.
A BleepingComputer informa que a CISA adicionou uma falha de Windows explorada ativamente ao catálogo KEV e impôs prazo às agências federais. O sinal é claro: se a CISA força movimento urgente, as empresas devem assumir que já existe exploração real em campo.
The Hacker News relata que as versões maliciosas 2.6.2 e 2.6.3 do PyTorch Lightning publicadas em 30 de abril estão ligadas à mesma atividade Mini Shai-Hulud que atingiu pacotes npm relacionados à SAP. O malware busca segredos de GitHub, npm, SSH, nuvem, Kubernetes e CI. Cada laptop de dev ou runner afetado deve ser tratado como incidente.
BleepingComputer e The Register descrevem o bypass de autenticação de cPanel/WHM como crítico, explorado e grave o bastante para exigir patches emergenciais. Esse tipo de falha leva direto a sites, caixas de e-mail, bancos de dados e às vezes frotas inteiras de hospedagem.
The Register e The Hacker News descrevem Copy Fail (CVE-2026-31431) como uma LPE de Linux que transforma um foothold modesto em root nas principais distribuições. Isso importa onde código menos confiável já pode rodar localmente: CI, servidores compartilhados, jump boxes e contêineres com kernel compartilhado.
The Register e The Hacker News relatam que o Google corrigiu uma falha de execução de comandos de severidade máxima no Gemini CLI e no workflow relacionado de GitHub Actions, além de problemas no Cursor que também permitem execução de código. É chato operacionalmente, mas pior é deixar um caminho de execução em host aberto.
Aplique patches urgentes em Windows, gire segredos tocados por instalações comprometidas, feche o buraco do cPanel, corrija kernels Linux onde a execução local importa e reteste a CI assistida por IA após as atualizações do Gemini. O padrão é direto: a tubulação operacional de confiança está sob ataque.