Login Inscreva-se
Newsletter

Pacific News #269: O Olhar do Vigia

Pacific News #269: O Olhar do Vigia

Assunto do momento: Vercel confirma novos detalhes sobre incidente de segurança ligado à Context.ai

O que aconteceu? A Vercel identificou um acesso não autorizado aos seus sistemas internos decorrente de uma violação na ferramenta de terceiros Context.ai. A investigação, conduzida com o apoio da Google Mandiant, revelou que, além do grupo inicial de clientes impactados, um pequeno número adicional de contas foi comprometido. Notavelmente, a análise também identificou invasões isoladas e anteriores a este evento, possivelmente causadas por métodos independentes, como engenharia social ou malware local nos usuários. 

Contexto e Vetor de Ataque: O incidente central originou-se na Context.ai, cujo aplicativo OAuth no Google Workspace foi comprometido. Isso permitiu que os atacantes assumissem o controle da conta individual de um funcionário da Vercel que utilizava a ferramenta. De posse desse acesso, os invasores realizaram uma movimentação lateral para o ambiente interno da plataforma, onde conseguiram enumerar e descriptografar variáveis de ambiente.

Ações e Recomendações: A Vercel classificou os atacantes como altamente sofisticados, dada a velocidade operacional e o conhecimento técnico da API da plataforma. Como medida de precaução, a empresa recomenda: rotação imediata de segredos (API keys, tokens e senhas) e revisão de logs de atividade em busca de comportamentos suspeitos.

Saiba mais: O episódio serve como um alerta crítico para administradores de TI sobre os riscos de permissões excessivas em aplicações OAuth de terceiros. Para auxiliar a comunidade, a Vercel publicou um Indicador de Comprometimento (IOC) específico da aplicação OAuth da Context.ai, permitindo que outras organizações verifiquem se também foram expostas.

Um Worm npm está se propagando através de ambientes de desenvolvedores em todo o mundo

O que aconteceu? Pesquisadores da Socket e StepSecurity identificaram uma nova ameaça à cadeia de suprimentos do npm: pacotes publicados pela Namastex Labs, empresa de soluções de IA, foram comprometidos para roubar credenciais de desenvolvedores e se autopropagar por novas publicações em uma técnica similar à do ataque CanisterWorm, do grupo TeamPCP.

O ataque: Um script de mais de mil linhas é acionado automaticamente durante a instalação do pacote, varrendo variáveis de ambiente, chaves SSH, credenciais de nuvem e até  dados de carteiras digitais, como MetaMask, Phantom, Exodus e Bitcoin.

Comportamento: Ao encontrar um token de publicação npm ou credenciais PyPI, o malware identifica todos os pacotes associados, incrementa a versão e republica com o payload injetado. Qualquer desenvolvedor que instalar esses pacotes sem fixar uma versão exata torna-se o próximo vetor de propagação, em um mecanismo de contágio automático entre ecossistemas.

Pacotes afetados: 

  • @automagik/genie (4.260421.33-4.260421.39)
  • pgserve (1.1.11–1.1.13)
  • @fairwords/websocket (1.0.38-1.0.39)
  • @fairwords/loopback-connector-es (1.4.3-1.4.4)
  • @openwebconcept/theme-owc@1.0.3
  • @openwebconcept/design-tokens@1.0.3

O impacto: Os dados coletados são enviados para dois endpoints de exfiltração, um deles hospedado na mesma infraestrutura usada pelo CanisterWorm. Diferente de servidores convencionais, canisters ICP não podem ser derrubados por autoridades, tornando a infraestrutura resistente a takedowns.

O que fazer? Remova imediatamente todas as versões comprometidas dos sistemas e pipelines de CI/CD e revogue toda credencial que possa ter estado exposta. Verifique nos diretórios de scripts a presença dos arquivos check-env.js e public.pem como indicadores de comprometimento, e revise os logs de pipeline por instalações realizadas após 21 de abril Se credenciais PyPI também estavam presentes, inspecione ambientes Python em busca de injeções via .pth.

Papo Rápido

@Ataques

A agência de inteligência holandesa revelou que seu país enfrenta a maior ameaça à sua segurança nacional desde o fim da Segunda Guerra Mundial, com destaque para o aumento de riscos vindos da Rússia, especialmente por meio de ataques cibernéticos. (Reuters)

Dados médicos de mais de 500 mil voluntários do UK Biobank, um dos maiores bancos de informações de saúde do mundo, estão listados à venda em um site de comércio chinês. A denúncia partiu do Ministro britânico de Tecnologia, Ian Murray, que identificou os registros disponíveis na plataforma Alibaba. (TheRegister)

@Atualizações

A Apple corrigiu uma falha nos serviços de notificações, identificada como CVE-2026-28950, nas versões iOS 26.4.2 e iPadOS 26.4.2, bem como no iOS 18.7.8 e iPadOS 18.7.8. A correção foi lançada logo após o FBI recuperar cópias de mensagens do Signal a partir do iPhone de um suspeito, mesmo após terem sido apagadas no aplicativo. Segundo relatos, essas mensagens foram encontradas no armazenamento interno de notificações do iPhone. (BleepingComputer)

A CISA dá a agências do governo dos EUA duas semanas para corrigir o BlueHammer, falha crítica no Microsoft Defender que permite a invasores obter controle total do sistema — já explorada em ataques reais com indícios de origem russa. (BleepingComputer)

@Mundo

Segundo a Mozilla, o novo modelo de IA da Anthropic, voltado para a cibersegurança, o Claude Mythos, identificou 271 vulnerabilidades no Firefox. Bobby Holley, CTO do navegador, afirmou que nenhum dos bugs encontrados estava além da capacidade de detecção de um pesquisador humano altamente qualificado. As falhas foram corrigidas nesta semana com o lançamento da versão 150. (SecurityWeek)

Um APT alinhado à China está monitorando silenciosamente instituições governamentais da Mongólia. A campanha, nomeada GopherWhisper, opera com um arsenal de ferramentas desenvolvidas em Go e abusa de plataformas legítimas como Discord, Slack e Microsoft 365 para comunicação com seus servidores de controle. (TheHackerNews)

Quer saber mais? Siga-nos nas redes sociais: LinkedinInstagram.
Segurança nunca é demais, ainda mais nos dias de hoje.
Compartilhe o conhecimento, espalhe a segurança!

Siga nossa Newsletter e se mantenha atualizado sobre as últimas tendências em Cybersec!

Escrito por: Thaís Hudari AbibMurilo Lopes e Cíntia Baltar
Arte: George Lopes e Anselmo Costa

Veja mais