Pesquisa de Segurança
⚡ Resumo — O Que Importa Hoje
- Ataque à cadeia de suprimentos do Trivy escala: o malware autopropagável CanisterWorm já infecta mais de 47 pacotes npm via GitHub Actions comprometidas
- Patch de emergência da Oracle: CVE-2026-21992 (CVSS 9.8) — RCE sem autenticação no Identity Manager, aplicar patch imediatamente
- DoJ derruba botnets DDoS recordes: mais de 3 milhões de dispositivos em 4 botnets IoT neutralizados (ataques de pico de 31,4 Tbps)
- FBI alerta sobre phishing russo no Signal/WhatsApp: milhares de contas já comprometidas visando governo e militares
- CVE-2026-33017 do Langflow explorado em 20 horas: RCE sem autenticação com CVSS 9.3 na ferramenta de pipelines de IA
- Violação da Navia expõe 2,7 milhões de registros: dados pessoais e de planos de saúde roubados entre dezembro de 2025 e janeiro de 2026
Comprometimento do Trivy Scanner gera CanisterWorm — 47 pacotes npm infectados
CríticoO ataque à cadeia de suprimentos do scanner de vulnerabilidades Trivy pelo grupo de ameaças TeamPCP escalou dramaticamente. Os atacantes comprometeram as GitHub Actions aquasecurity/trivy-action e aquasecurity/setup-trivy, sequestrando 75 tags para roubar segredos de CI/CD. Um ataque subsequente implantou o CanisterWorm, um worm autopropagável que usa canisters ICP (contratos inteligentes à prova de adulteração) que se espalhou para 47 pacotes npm, tornando-o extremamente difícil de conter.
VoidStealer contorna a criptografia vinculada a aplicações do Chrome via truque de depurador
AltoUm novo info-stealer chamado VoidStealer usa uma técnica inovadora para contornar a Criptografia Vinculada a Aplicações (ABE) do Chrome e extrair a chave mestra do navegador. Isso permite a descriptografia de todas as senhas armazenadas, cookies e dados sensíveis. A abordagem baseada em depurador representa uma evolução nas técnicas de roubo de credenciais que contorna as proteções mais recentes do Chrome.
CVE-2026-21992 — RCE sem autenticação no Oracle Identity Manager (CVSS 9.8)
CríticoA Oracle emitiu um patch de emergência fora do ciclo para uma vulnerabilidade crítica de execução remota de código sem autenticação no Identity Manager e Web Services Manager. A falha não requer autenticação e é explorável remotamente. Organizações que executam o Oracle Identity Manager devem aplicar o patch imediatamente — esta é uma publicação de emergência fora do ciclo trimestral regular.
CVE-2026-33017 — RCE sem autenticação no Langflow explorado em 20 horas
CríticoUma vulnerabilidade crítica no Langflow (CVSS 9.3), a popular ferramenta de pipelines de IA, foi explorada ativamente em apenas 20 horas após a divulgação pública. A falha combina a ausência de autenticação com injeção de código para alcançar execução remota de código via o endpoint POST /api/v1. Exploração ativa confirmada — aplicar patch ou desconectar imediatamente.
CVE-2026-20131 — Cisco Secure Firewall Management Center (Severidade Máxima)
CríticoA CISA ordenou que as agências federais apliquem o patch de uma vulnerabilidade de severidade máxima no Cisco Secure Firewall Management Center (FMC) até 22 de março. Esta foi adicionada ao catálogo KEV, indicando exploração confirmada. Organizações que executam o Cisco FMC devem verificar a aplicação do patch imediatamente.
CISA adiciona falhas da Apple, Craft CMS e Laravel Livewire ao KEV
AltoA CISA adicionou cinco vulnerabilidades ativamente exploradas ao catálogo de Vulnerabilidades Exploradas Conhecidas: CVE-2025-31277 (Apple, CVSS 8.8) e falhas no Craft CMS e Laravel Livewire. As agências federais devem aplicar o patch até 3 de abril de 2026. A exploração ativa foi confirmada.
Magento PolyShell — RCE sem autenticação via upload de imagem na API REST
CríticoA Sansec divulgou o "PolyShell", uma falha crítica na API REST do Magento que permite a atacantes não autenticados fazer upload de executáveis arbitrários disfarçados de imagens, alcançando execução de código e controle de contas. Milhares de sites Magento já estão sob ataque em uma campanha de defacement em andamento direcionada a plataformas de e-commerce e marcas globais desde 27 de fevereiro.
Vulnerabilidade do Quest KACE explorada contra o setor educacional
AltoUma vulnerabilidade crítica no Quest KACE (CVE-2025-32975) está potencialmente sendo explorada em ataques direcionados ao setor educacional. O Quest KACE é amplamente utilizado para gestão de sistemas e segurança de endpoints em escolas e universidades.
Violação de dados da Navia — 2,7 milhões de registros roubados
AltoA empresa de administração de benefícios Navia divulgou uma violação que afeta 2,7 milhões de indivíduos. Entre o final de dezembro de 2025 e meados de janeiro de 2026, hackers exfiltraram informações pessoais e dados de planos de saúde. Esta é uma das maiores violações relacionadas ao setor de saúde reportadas no primeiro trimestre de 2026.
FBI: inteligência russa ataca Signal e WhatsApp em campanha massiva de phishing
AltoO FBI e a CISA emitiram um alerta conjunto avisando que atores de ameaças vinculados à inteligência russa estão conduzindo campanhas de phishing contra usuários de Signal e WhatsApp. Os alvos incluem funcionários atuais e anteriores do governo dos EUA, militares, figuras políticas e jornalistas. Milhares de contas já foram comprometidas. Os atacantes obtêm acesso completo a mensagens e contatos e usam as contas comprometidas para realizar mais phishing a partir de identidades confiáveis.
Alertas do Azure Monitor usados para phishing de callback
MédioOs alertas do Microsoft Azure Monitor estão sendo utilizados como arma para enviar e-mails de phishing de callback com aparência legítima, se passando pela equipe de segurança da Microsoft. Os e-mails alertam sobre "cobranças não autorizadas" e usam a confiança na infraestrutura do Azure para contornar os filtros de segurança de e-mail.
EUA confirmam vínculo do Handala com o governo iraniano e apreendem domínios
MédioOs Estados Unidos confirmaram oficialmente que o grupo de hackers Handala opera em nome do governo iraniano e apreenderam vários domínios usados em suas operações psicológicas cibernéticas.
3 homens acusados de contrabandear hardware de IA para a China
IntelTrês indivíduos foram acusados de violar as leis de controle de exportações dos EUA ao conspirar para desviar grandes quantidades de servidores de IA de alto desempenho dos EUA para a China, destacando as tensões contínuas em torno das transferências de tecnologia de IA.
DoJ desativa 4 botnets IoT — 3 milhões de dispositivos, DDoS recorde de 31,4 Tbps
IntelO DoJ dos EUA, juntamente com Canadá e Alemanha, desarticulou a infraestrutura C2 das botnets AISURU, Kimwolf, JackSkid e Mossad. Essas botnets haviam escravizado mais de 3 milhões de dispositivos IoT (DVRs, câmeras, roteadores, TVs inteligentes) e lançaram ataques DDoS recordes atingindo 31,4 Tbps. Parceiros do setor privado incluíram Akamai, AWS, Cloudflare, Google e outros. O operador do Kimwolf está vinculado a um jovem de 23 anos em Ottawa; um jovem de 15 anos na Alemanha também é suspeito. Nenhuma prisão foi anunciada ainda.
Operação Alice — 373.000 sites da dark web derrubados
IntelA operação policial internacional "Operação Alice" fechou mais de 373.000 sites da dark web. Isso representa uma das maiores derrubadas coordenadas de infraestrutura ilícita na dark web até hoje.
Startups de segurança levantam mais de $282M esta semana
IntelPrincipais rodadas de financiamento em segurança esta semana:
- Oasis Security — $120M para gestão de acesso agêntico
- Cape — $100M para segurança celular / MVNO focado em privacidade
- Eclypsium — $25M para segurança da cadeia de suprimentos de dispositivos
- 1stProtect — $20M (stealth) para monitoramento de comportamento de endpoints
- Allure Security — $17M para proteção de marca online
Tendências-Chave Esta Semana
Análise1. Ataques à cadeia de suprimentos acelerando: O comprometimento do Trivy + CanisterWorm representa um novo paradigma — worms autopropagáveis em ecossistemas de pacotes usando C2 baseado em blockchain. Pipelines de CI/CD são agora uma superfície de ataque primária.
2. Tempo até a exploração diminuindo: O CVE-2026-33017 do Langflow foi transformado em arma em 20 horas após a divulgação. Os defensores têm menos de um dia para reagir a divulgações críticas — o patching automatizado não é mais opcional.
3. Superfície de ataque de ferramentas de IA expandindo: Tanto o Langflow (ferramenta de pipelines de IA) quanto as acusações de contrabando de hardware de IA destacam que a infraestrutura de IA é agora um alvo primário — tanto as ferramentas quanto o hardware.
4. Ataques de estados-nação a apps de mensagens: A inteligência russa atacando massivamente o Signal/WhatsApp sinaliza uma mudança de atacar e-mail para atacar aplicativos de mensagens criptografadas, minando o conselho de segurança de "simplesmente use o Signal".
5. Segurança agêntica emergindo: A rodada de $120M da Oasis Security para "gestão de acesso agêntico" e a tendência mais ampla em direção a ferramentas de segurança baseadas em IA refletem que a indústria está apostando fortemente em capacidades de defesa autônomas.
Oportunidades para a KENSAI Esta Semana
- Magento PolyShell: Milhares de sites de e-commerce afetados → KENSAI pode detectar isso via escaneamento DAST. Oportunidade de conteúdo para o mercado de e-commerce DACH.
- Ataques à cadeia de suprimentos: Trivy/CanisterWorm valida a proposta de valor de escaneamento SBOM/dependências da KENSAI. NIS2 exige gestão de riscos na cadeia de suprimentos.
- Janela de exploração de 20 horas: Argumento perfeito para a proposta de escaneamento contínuo da KENSAI — "Sua equipe de segurança consegue aplicar patches em 20 horas?"
- Rodada de $120M da Oasis: Valida o apetite do mercado por ferramentas de segurança autônomas — o posicionamento de pentest autônomo da KENSAI está em alta.
- Patches críticos da Oracle/Cisco: Destacar em conteúdo de conformidade NIS2 — requisitos obrigatórios de patching sob a diretiva.