← Voltar ao blog
Briefing de segurança5 min de leitura2026-05-01

Briefing de segurança, 1º de maio de 2026: alerta Windows da CISA, ataque de supply chain SAP/PyTorch, 0-day do cPanel, Copy Fail e RCE no Gemini CLI

A lição desta manhã é feia e familiar: quando caminhos confiáveis de admin ou desenvolvimento são envenenados, os atacantes não precisam de elegância para causar estrago.


Top line: Cinco histórias importam nesta manhã: a CISA quer patch rápido em Windows, o comprometimento de supply chain saltou de pacotes npm da SAP para PyTorch Lightning e intercom-client, as tentativas contra o bypass do cPanel estão ativas, o Linux Copy Fail barateia root e o Google precisou corrigir uma falha de severidade máxima no Gemini CLI.


1. A ordem de patch da CISA para Windows significa que isso não é backlog opcional

A BleepingComputer informa que a CISA adicionou uma falha de Windows explorada ativamente ao catálogo KEV e impôs prazo às agências federais. O sinal é claro: se a CISA força movimento urgente, as empresas devem assumir que já existe exploração real em campo.


2. O caso SAP npm já era grave; PyTorch Lightning prova que a campanha está se expandindo

The Hacker News relata que as versões maliciosas 2.6.2 e 2.6.3 do PyTorch Lightning publicadas em 30 de abril estão ligadas à mesma atividade Mini Shai-Hulud que atingiu pacotes npm relacionados à SAP. O malware busca segredos de GitHub, npm, SSH, nuvem, Kubernetes e CI. Cada laptop de dev ou runner afetado deve ser tratado como incidente.


3. cPanel e WHM seguem em fogo real

BleepingComputer e The Register descrevem o bypass de autenticação de cPanel/WHM como crítico, explorado e grave o bastante para exigir patches emergenciais. Esse tipo de falha leva direto a sites, caixas de e-mail, bancos de dados e às vezes frotas inteiras de hospedagem.


4. Copy Fail mostra por que “só local” é triagem preguiçosa

The Register e The Hacker News descrevem Copy Fail (CVE-2026-31431) como uma LPE de Linux que transforma um foothold modesto em root nas principais distribuições. Isso importa onde código menos confiável já pode rodar localmente: CI, servidores compartilhados, jump boxes e contêineres com kernel compartilhado.


5. O fix do Gemini CLI do Google fecha um CVSS 10, mas pode quebrar automação

The Register e The Hacker News relatam que o Google corrigiu uma falha de execução de comandos de severidade máxima no Gemini CLI e no workflow relacionado de GitHub Actions, além de problemas no Cursor que também permitem execução de código. É chato operacionalmente, mas pior é deixar um caminho de execução em host aberto.

O que fazer hoje

Aplique patches urgentes em Windows, gire segredos tocados por instalações comprometidas, feche o buraco do cPanel, corrija kernels Linux onde a execução local importa e reteste a CI assistida por IA após as atualizações do Gemini. O padrão é direto: a tubulação operacional de confiança está sob ataque.

Fontes

  • BleepingComputer sobre a ordem urgente de patch da CISA para Windows.
  • BleepingComputer e The Hacker News sobre o comprometimento SAP npm e o avanço para PyTorch Lightning.
  • BleepingComputer e The Register sobre o bypass de cPanel/WHM.
  • The Register e The Hacker News sobre Copy Fail (CVE-2026-31431).
  • The Register e The Hacker News sobre o fix do Gemini CLI do Google.