剣 KENSAI
← Back to archive
Relatório Diário de Inteligência

KENSAI Pesquisa de Segurança

Terça-feira, 25 de março de 2026 — 04:00 CET
4
Violações de Dados
3
CVEs Críticos
3
Ataques à Cadeia de Suprimentos
1
Condenação por Ransomware

⚡ TL;DR — O Que Importa Hoje

  • Ofensiva do TeamPCP na cadeia de suprimentos continua — Pacote LiteLLM no PyPI comprometido com coletores de credenciais e ferramentas de movimentação lateral em K8s; GitHub Actions da Checkmarx também comprometidas
  • CVE-2026-4681 (PTC Windchill) — Zero-day de RCE crítico tão grave que a polícia alemã BKA acordou administradores de sistemas à noite para entregar o comunicado pessoalmente
  • Violação de dados de funcionários da HackerOne — através do administrador de benefícios comprometido Navia
  • Violação da QualDerm — 3,1 milhões de registros médicos roubados
  • Lapsus$ alega ter hackeado a AstraZeneca — repositórios de código, credenciais e dados de funcionários supostamente comprometidos
  • FCC proíbe roteadores fabricados no exterior — todos os roteadores de consumo fabricados fora dos EUA agora proibidos para venda
  • RSAC 2026 começa — anúncios importantes de fornecedores em andamento
🔴 Vulnerabilidades Críticas
CVE-2026-4681 — PTC Windchill / FlexPLM Execução Remota de Código (Zero-Day)
PTC Inc. · 24 de março de 2026 · SEM PATCH DISPONÍVEL
Vulnerabilidade crítica de desserialização nos sistemas de gestão do ciclo de vida do produto Windchill e FlexPLM que permite execução remota de código sem autenticação. A gravidade é sem precedentes — a polícia federal alemã (BKA) enviou agentes a empresas em todo o país durante o fim de semana, acordando administradores de sistemas à noite para entregar o comunicado pessoalmente. A PTC publicou IoCs incluindo indicadores de webshell (GW.class, arquivos dpr_*.jsp) e padrões suspeitos de user-agent. Nenhum patch disponível ainda; o fabricante recomenda aplicar regras de negação de caminhos de servlet no Apache/IIS imediatamente e desconectar instâncias expostas à internet.
CRÍTICOZERO-DAYRCEPLMMANUFATURA
→ BleepingComputer
🛡️ Relevância KENSAI: Sistemas PLM são amplamente utilizados nos setores de manufatura e defesa da região DACH — alvos centrais de conformidade NIS2. Este zero-day impacta diretamente as organizações industriais atendidas pela KENSAI.
Vulnerabilidade Crítica no Citrix NetScaler — Divulgação de Informações sem Autenticação
Citrix · 24 de março de 2026
Uma vulnerabilidade de leitura fora dos limites no Citrix NetScaler pode ser explorada remotamente sem autenticação para ler informações sensíveis da memória. Múltiplas empresas de segurança alertam que a exploração é iminente dado o amplo uso de dispositivos NetScaler. As organizações devem aplicar patches imediatamente.
CRÍTICOPRE-AUTHNETSCALERREDE
→ SecurityWeek
Chrome 146 — Oito Correções de Segurança de Memória de Alta Gravidade
Google · 24 de março de 2026
O Google lançou o Chrome 146 com patches para oito bugs de segurança de memória afetando sete componentes diferentes. As organizações devem forçar a atualização do navegador imediatamente em todas as suas frotas.
ALTONAVEGADORMEMORY-SAFETY
→ SecurityWeek
⛓️ Ataques à Cadeia de Suprimentos — Ofensiva do TeamPCP
Pacote LiteLLM no PyPI Comprometido (Versões 1.82.7–1.82.8)
TeamPCP · 24 de março de 2026 · SUPPLY CHAIN
O ator de ameaças TeamPCP — responsável pelos recentes comprometimentos do Trivy e KICS — agora comprometeu o popular pacote Python LiteLLM no PyPI. O payload é um ataque em três estágios:

Estágio 1: Coletor de credenciais que varre chaves SSH, credenciais cloud, segredos K8s, carteiras de criptomoedas e arquivos .env
Estágio 2: Kit de movimentação lateral em Kubernetes implantando pods privilegiados em cada nó
Estágio 3: Backdoor persistente via systemd (sysmon.service) consultando um domínio C2 para binários adicionais

As versões maliciosas foram removidas do PyPI. Qualquer pessoa que instalou litellm 1.82.7 ou 1.82.8 deve considerar seu ambiente totalmente comprometido.
CRÍTICOSUPPLY-CHAINPYPIK8SROUBO-CREDENCIAIS
→ The Hacker News
🛡️ Relevância KENSAI: O LiteLLM é amplamente utilizado em pipelines de IA/LLM. Este ataque demonstra o risco crescente de comprometimentos na cadeia de suprimentos de ferramentas de IA — uma área-chave para as capacidades de SCA e SBOM da KENSAI.
GitHub Actions da Checkmarx Comprometidas via Credenciais CI Roubadas
TeamPCP · 24 de março de 2026 · SUPPLY CHAIN
O TeamPCP comprometeu dois workflows de GitHub Actions mantidos pela Checkmarx (checkmarx/ast-github-action e checkmarx/kics-github-action) usando credenciais CI roubadas — provavelmente obtidas da violação anterior na cadeia de suprimentos do Trivy. Trata-se do mesmo ator de ameaças expandindo seu alcance através de dependências CI/CD interconectadas.
CRÍTICOSUPPLY-CHAINCI/CDGITHUB-ACTIONS
→ The Hacker News
Campanha "Ghost" — 7 Pacotes npm Maliciosos Roubando Carteiras Crypto
ReversingLabs · 24 de março de 2026 · SUPPLY CHAIN
Sete pacotes npm publicados pelo usuário "mikilanjillo" estão roubando carteiras de criptomoedas e credenciais. Os pacotes incluem nomes como react-performance-suite, react-state-optimizer-core, react-fast-utilsa e ai-fast-auto-trader — projetados para parecer bibliotecas legítimas de utilitários React e IA.
ALTOSUPPLY-CHAINNPMROUBO-CRYPTO
→ The Hacker News
💀 Violações de Dados
QualDerm — 3,1 Milhões de Registros de Pacientes Roubados
QualDerm Partners · 24 de março de 2026
Hackers roubaram informações pessoais, registros médicos e dados de seguros de saúde dos sistemas internos da QualDerm. 3,1 milhões de indivíduos afetados — uma das maiores violações do setor de saúde neste trimestre.
VIOLAÇÃOSAÚDE3.1M REGISTROS
→ SecurityWeek
Violação de Dados de Funcionários da HackerOne via Administrador de Benefícios Navia
HackerOne · 24 de março de 2026
A plataforma de bug bounty HackerOne está notificando centenas de funcionários de que seus dados foram roubados após o comprometimento da Navia, uma administradora de benefícios dos EUA utilizada pela empresa. Trata-se de uma violação de dados de terceiros/cadeia de suprimentos — o atacante não atingiu a HackerOne diretamente.
VIOLAÇÃOTERCEIROSDADOS-RH
→ BleepingComputer
Infinite Campus — Dados de Estudantes K-12 Roubados pelo ShinyHunters
Infinite Campus · 24 de março de 2026
O amplamente utilizado sistema de informação estudantil K-12 Infinite Campus alerta seus clientes sobre uma violação de dados após uma tentativa de extorsão pelo ator de ameaças ShinyHunters. Dados de estudantes e escolas em risco.
VIOLAÇÃOEDUCAÇÃOEXTORSÃO
→ BleepingComputer
Lapsus$ Alega Ter Hackeado a AstraZeneca — Repositórios de Código, Credenciais e Dados de Funcionários
AstraZeneca · 24 de março de 2026
O grupo de extorsão Lapsus$ alega ter violado a AstraZeneca, supostamente comprometendo repositórios de código internos, credenciais e dados de funcionários. Sob investigação.
VIOLAÇÃOFARMACÊUTICAEXTORSÃO
→ SecurityWeek
Ministério das Finanças dos Países Baixos — Violação de Dados de Funcionários
Países Baixos · 24 de março de 2026
O Ministério das Finanças dos Países Baixos divulgou uma violação que afeta dados de funcionários. Os detalhes ainda estão surgindo, mas isso se soma a um padrão de entidades governamentais europeias sendo atacadas.
VIOLAÇÃOGOVERNOUE
→ BleepingComputer
🛡️ Relevância KENSAI: Violações em governos da UE reforçam a urgência da conformidade NIS2 — a narrativa de vendas principal da KENSAI para o mercado DACH/UE.
Mazda — Dados de Funcionários e Parceiros Roubados
Mazda · 24 de março de 2026
Hackers roubaram IDs internos, nomes, endereços de e-mail e IDs de parceiros comerciais de um sistema de gestão interna. O alcance do impacto ainda está sendo avaliado.
VIOLAÇÃOAUTOMOTIVO
→ SecurityWeek
⚖️ Ransomware e Forças da Lei
Intermediário de Acesso do Ransomware Yanluowang Condenado a 81 Meses
Departamento de Justiça dos EUA · 24 de março de 2026
Um cidadão russo foi condenado a quase 7 anos (81 meses) em uma prisão federal dos EUA após se declarar culpado de atuar como intermediário de acesso inicial (IAB) para o grupo de ransomware Yanluowang. As operações causaram aproximadamente US$ 9 milhões em danos. Uma vitória para a cooperação internacional na aplicação da lei.
RANSOMWAREFORÇAS-DA-LEICONDENAÇÃO
→ BleepingComputer
🎣 Campanhas de Malware e Phishing
FAUX#ELEVATE — Currículos Falsos Implantando Mineradores de Criptomoedas e Ladrões de Informações
Securonix · 24 de março de 2026
Uma campanha de phishing em andamento visa ambientes corporativos francófonos usando arquivos VBScript ofuscados disfarçados de currículos. O kit de ferramentas multiuso combina roubo de credenciais, exfiltração de dados e mineração de Monero. Utiliza Dropbox para staging, sites WordPress marroquinos para C2 e SMTP do mail.ru para exfiltração.
ALTOPHISHINGCRYPTOMININGINFOSTEALER
→ The Hacker News
Malvertising na Temporada de Impostos — ScreenConnect RAT via BYOVD
24 de março de 2026 · Ativa desde janeiro de 2026
Uma campanha de publicidade maliciosa em grande escala abusa do Google Ads para atacar usuários dos EUA que buscam documentos fiscais. Distribui instaladores fraudulentos do ConnectWise ScreenConnect que implantam o "HwAudKiller" — uma ferramenta que usa a técnica Bring Your Own Vulnerable Driver (BYOVD) com um driver da Huawei para desativar produtos EDR/AV. Ativa desde janeiro, provavelmente se intensificará à medida que o prazo fiscal nos EUA se aproxima.
ALTOMALVERTISINGBYOVDEDR-BYPASS
→ The Hacker News
🏛️ Política, Indústria e Ferramentas
FCC Proíbe Todos os Roteadores de Consumo Fabricados no Exterior
FCC · 24 de março de 2026
A Comissão Federal de Comunicações atualizou sua Lista de Produtos Restritos para incluir todos os roteadores de consumo fabricados em países estrangeiros, proibindo a venda de novos modelos nos Estados Unidos. Uma escalada significativa na abordagem dos EUA para a segurança da cadeia de suprimentos de hardware.
POLÍTICASUPPLY-CHAINHARDWARE
→ BleepingComputer
Firefox 149 — VPN Integrada Gratuita (50GB/mês)
Mozilla · 24 de março de 2026
A Mozilla lançou o Firefox 149 com uma VPN integrada oferecendo até 50GB de tráfego mensal sem custo. Um movimento notável em direção à privacidade por padrão nos navegadores convencionais.
FERRAMENTAPRIVACIDADENAVEGADOR
→ BleepingComputer
Conferência RSAC 2026 — Anúncios do Dia 1
RSAC · 24 de março de 2026
A conferência RSA 2026 teve início com uma onda de anúncios de fornecedores. Temas-chave emergentes: Guardian Agents (agentes de IA que supervisionam outros agentes de IA — o Gartner publicou seu primeiro Guia de Mercado), governança de IA agêntica, e convergência contínua de identidade + segurança na nuvem.
INDÚSTRIARSACAI-SECURITY
→ SecurityWeek
Primeiro Guia de Mercado do Gartner para "Guardian Agents"
Gartner · Publicado em 25 de fev., reportado em 24 de mar.
O Gartner publicou seu Guia de Mercado inaugural para Guardian Agents — agentes de IA que supervisionam outros agentes de IA para garantir que suas ações estejam alinhadas com objetivos e limites estabelecidos. Esta nova categoria é diretamente relevante à medida que plataformas de IA agêntica migram de ferramentas passivas para agentes autônomos com acesso real a sistemas.
MERCADOAI-GOVERNANCEGARTNER
→ The Hacker News
🛡️ Relevância KENSAI: A categoria Guardian Agent valida o mercado para supervisão de segurança de IA — diretamente adjacente ao posicionamento da KENSAI. Vale acompanhar para oportunidades de conteúdo e posicionamento.
AWS Bedrock — 8 Vetores de Ataque Mapeados pela XM Cyber
XM Cyber · 23 de março de 2026
A equipe de pesquisa de ameaças da XM Cyber mapeou oito vetores de ataque dentro de ambientes AWS Bedrock. Quando agentes de IA podem consultar Salesforce, acionar funções Lambda ou extrair dados de bases de conhecimento do SharePoint, eles se tornam nós de infraestrutura com permissões e caminhos acessíveis a ativos críticos. A pesquisa destaca a superfície de ataque em expansão da IA agêntica em ambientes cloud.
ALTOCLOUDAI-SECURITYAWS
→ The Hacker News
🌍 Geopolítica e Ameaças Estatais
Polônia Enfrentou Onda de Ciberataques em 2025, Incluindo Ataque ao Setor Energético
Poland CERT · 24 de março de 2026
A Polônia relata um aumento significativo de ciberataques ao longo de 2025, incluindo uma infiltração destrutiva no sistema energético do país em dezembro, com suspeita de origem na Rússia. O relatório retrospectivo destaca as ameaças contínuas patrocinadas por estados contra a infraestrutura crítica europeia.
STATE-SPONSOREDENERGIAUE
→ SecurityWeek
Rede de Câmeras de Vigilância do Irã Sequestrada por Israel para Targeting
SecurityWeek · 24 de março de 2026
Israel supostamente sequestrou a rede nacional de câmeras de vigilância de rua do Irã, originalmente construída para reprimir a dissidência, e a transformou em uma ferramenta de targeting. O papel na morte do líder supremo do Irã destaca como sistemas de vigilância estão se tornando ativos de guerra.
CIBERGUERRAVIGILÂNCIASTATE-SPONSORED
→ SecurityWeek
Stryker — Arquivo Malicioso Vinculado a Hackers do Governo Iraniano
FBI · 24 de março de 2026
O FBI publicou um alerta descrevendo malware utilizado por hackers do governo iraniano em um ataque à Stryker. Um arquivo malicioso foi encontrado durante a investigação. Os detalhes das ferramentas vinculadas ao Irã agora são públicos para fins de inteligência de ameaças.
STATE-SPONSOREDIRÃMALWARE
→ SecurityWeek
📊 Padrões de Ameaças Emergentes
1. Ataques à Cadeia de Suprimentos Estão Acelerando
O comprometimento em cascata do TeamPCP (Trivy → KICS → LiteLLM → Checkmarx) mostra como uma única violação CI/CD pode se propagar através de ferramentas de código aberto interconectadas. A campanha "Ghost" no npm reforça o padrão. Espere mais.

2. Ferramentas de IA São a Nova Superfície de Ataque
LiteLLM (proxy de IA), vetores de ataque no AWS Bedrock, governança de Guardian Agent — três histórias separadas apontando que a infraestrutura de IA agêntica está se tornando alvo prioritário. Organizações que implantam agentes de IA precisam de supervisão de segurança agora.

3. BYOVD Está Se Popularizando
A campanha de publicidade maliciosa na temporada de impostos usando um driver da Huawei para desativar EDR demonstra que BYOVD (Bring Your Own Vulnerable Driver) não é mais uma técnica exclusiva de APT — campanhas de malware comercial estão adotando-a.

4. Governos Europeus Sob Pressão Sustentada
A violação do Ministério das Finanças dos Países Baixos, os ataques ao setor energético polonês e a emergência do PTC Windchill (que desencadeou a mobilização da BKA) retratam a infraestrutura da UE sob ameaça persistente — reforçando a urgência da conformidade NIS2.

5. O Risco de Terceiros/Fornecedores Continua Subestimado
A HackerOne foi violada através de uma administradora de benefícios. A AstraZeneca supostamente violada. A Mazda através de um sistema de gestão interno. O vetor de ataque através de fornecedores e parceiros continua sendo o elo mais fraco.