Pacific News #276: Os filhos de Shai-Hulud
Assunto do momento: A era dos clones de Shai-Hulud começou.
O que aconteceu? O TeamPCP, grupo cibercriminoso focado em ataques à cadeia de suprimentos, abriu o código do malware Shai-Hulud. E, pouco tempo depois, clones do worm começaram a surgir no mundo cibernético.
Shai-Hulud: A sua primeira demonstração foi em setembro de 2025, em campanhas que atingiram milhares de pacotes npm e infectaram, possivelmente, centenas de milhares de desenvolvedores. Ele foi desenvolvido para roubar credenciais, tokens de API e segredos de máquinas infectadas, se propagando automaticamente através da injeção em pacotes.
Por que isso importa? O Shai-Hulud original foi usado em campanhas contra grandes expoentes do open-source, como Trivy, Bitwarden, Checkmarx, SAP e TanStack. Agora, com o malware em código aberto, a expectativa é de uma crescente ainda maior de ataques.
A era dos clones: De acordo com a Ox Security, logo após o malware ser publicado, quatro pacotes npm foram infectados pelo infostealer: @deadcode09284814/axios-util, axois-utils, chalk-tempalte e color-style-utils. Somados, contam com quase 3 mil downloads semanais.
Saiba mais: Os quatro malwares identificados coletam tipos distintos de dados, como endereços IP, configurações de nuvem, carteiras de criptomoedas e variáveis de ambiente, e um deles transforma a máquina da vítima em um nó de botnet para ataques DDoS, o que pode indicar afiliação com grupos de anarquia ou intenção de vender o serviço. Se você utiliza qualquer um deles, desinstale imediatamente, remova configurações maliciosas de IDEs e agentes de código como o Claude Code, rotacione todas as chaves das máquinas afetadas e verifique se há repositórios GitHub com a descrição "A Mini Sha1-Hulud has Appeared".
Google amplia verificação de imagens criadas por IA
O que aconteceu? O Google anunciou no Google I/O 2026 que o Circule para Pesquisar e outros serviços da empresa passarão a identificar se imagens e vídeos foram criados por inteligência artificial.
Por que isso importa? Conteúdos gerados por IA estão cada vez mais realistas e difíceis de distinguir. A novidade tenta aumentar a transparência e ajudar usuários a verificarem a origem de imagens encontradas online.
Como funciona? A checagem usa o padrão C2PA, tecnologia criada para rastrear a origem de mídias digitais. O sistema também usa o SynthID, marca d'água do Google para conteúdos gerados por IA.
Disponibilidade: O recurso será integrado ao Gemini, Busca, Google Lens, Chrome e aparelhos Pixel. Para usar, basta perguntar algo como: “essa imagem foi feita por IA?”
Saiba mais: Além de detectar possível uso de IA, o sistema poderá indicar se a imagem provavelmente foi capturada por uma câmera real, ajudando na verificação de autenticidade de conteúdos online.
Indonésia surge como novo polo de golpes cibernéticos
O que aconteceu: A Indonésia está se tornando um novo polo de operações de cibercrime e jogos de azar online ilegais no Sudeste Asiático. Somente neste mês, o país registrou três operações policiais que resultaram na prisão de mais de 550 suspeitos.
Como: A maioria dos criminosos entrou na Indonésia aproveitando a política de isenção de visto ou solicitando visto na chegada. Depois, permaneceu no país além do prazo permitido de 30 dias para atuar em complexos dedicados a golpes online. Criada para impulsionar o turismo, essa política passou a ser explorada por redes criminosas.
O impacto: Historicamente, os complexos de golpes cibernéticos estavam concentrados no Camboja, em Mianmar e na Tailândia. Com o aumento da repressão nesses países, os operadores passaram a migrar para Vietnã, Filipinas e, mais recentemente, Indonésia. Também há registros do surgimento dessas estruturas no Oriente Médio e na África.
Saiba mais: O governo indonésio já iniciou uma revisão do processo migratório e estuda revogar a isenção de visto para cidadãos de países vizinhos. A medida reflete a urgência de conter a realocação dessas operações criminosas.
Papo Rápido
@Ataques
O serviço de saúde pública de Nova Iorque, NYC Health, confirmou que sofreu um ataque cibernético de longa duração que permitiu o roubo de informações pessoais de mais de 1.8 milhão de usuários. De acordo com a notícia do vazamento, o NYCHHC confirmou que o ataque durou entre novembro de 2025 e fevereiro deste ano, utilizando um terceiro não identificado como vetor de acesso inicial. (TechCrunch)
A 7-Eleven admitiu ter sofrido uma violação de dados após o grupo de cibercriminosos ShinyHunters divulgar o roubo de milhares de registros do Salesforce, contendo informações pessoais e corporativas.(SecurityAffairs)
@Patches
A Drupal emitiu um alerta indicando que irá lançar uma atualização imprescindível de segurança para todos os produtos suportados no dia 20 de maio de 2026. O motivo? Possíveis exploits que podem ser desenvolvidos em dias ou até mesmo horas em cima de falhas conhecidas. A expectativa é que os patches venham para as versões 11.3.x. 11.2.x, 10.6.x e 10.5.x. (TheHackerNews)
A VulnCheck alertou que os primeiros ataques reais explorando uma vulnerabilidade crítica do NGINX, corrigida na semana passada, ocorreram durante o fim de semana. Registrada como CVE-2026-42945 (pontuação CVSS de 9,2) e apelidada de “Nginx Rift”, a falha é descrita como um estouro de buffer na memória heap do componente ngx_http_rewrite_module. A vulnerabilidade permaneceu oculta no código do NGINX por 16 anos. (SecurityWeek)
@Mundo
A INTERPOL deflagrou a Operação Ramz, que prendeu mais de 200 indivíduos por prática de crime cibernético, especialmente no Oriente Médio e Norte da África. Além disso, 53 servidores de phishing, malware e fraude online foram apreendidos. (BleepingComputer)
A Anthropic está revisando sua posição para permitir, no futuro, que usuários de seu modelo de cibersegurança, o Mythos, compartilhem informações sobre ameaças com terceiros expostos a vulnerabilidades semelhantes. Anunciado em 7 de abril, o Mythos faz parte do “Projeto Glasswing”, uma iniciativa controlada que concede acesso ao modelo Claude Mythos Preview (ainda não lançado) a grandes empresas como Amazon, Microsoft, Nvidia e Apple, para fins defensivos de segurança cibernética. (Reuters)
Quer saber mais? Siga-nos nas redes sociais: Linkedin, Instagram.
Segurança nunca é demais, ainda mais nos dias de hoje.
Compartilhe o conhecimento, espalhe a segurança!
Siga nossa Newsletter e se mantenha atualizado sobre as últimas tendências em Cybersec!
Escrito por: Thaís Hudari Abib, Murilo Lopes e Cíntia Baltar
Arte: George Lopes e Anselmo Costa
