Login Inscreva-se
Newsletter

Pacific News #277: A Bruxa

Pacific News #277: A Bruxa

Assunto do momento: Violação do código-fonte do GitHub

O que aconteceu? O grupo cibercriminoso TeamPCP alegou ter invadido os sistemas internos do GitHub e extraído dados proprietários da organização, incluindo código-fonte. As informações supostamente roubadas teriam sido colocadas à venda em fóruns clandestinos.

Evidências: Além de divulgar uma lista de arquivos e capturas de tela com nomes de arquivos de repositórios, o TeamPCP afirmou estar disposto a fornecer amostras dos dados a potenciais compradores para comprovar a autenticidade do material. Em comunicado publicado no X, o GitHub confirmou ter identificado um acesso não autorizado.

Por que isso importa? Embora o GitHub afirme não haver, até o momento, evidências de comprometimento de dados de clientes armazenados fora de seus repositórios internos  como informações de empresas, organizações e usuários da plataforma, o incidente levanta preocupações sobre possíveis vazamentos e riscos à cadeia de suprimentos de software. 

Saiba mais: O TeamPCP, oficialmente rastreado pelo Google Threat Intelligence Group como UNC6780, é conhecido por conduzir ataques contra cadeias de suprimentos. Em 2026, o grupo foi associado a incidentes envolvendo o Trivy Vulnerability Scanner, a Checkmarx e o LiteLLM.

CISA deixou repositório público com credenciais expostas por 6 meses

O que aconteceu? A CISA, agência responsável pela defesa cibernética americana,  deixou um repositório no GitHub chamado "Private-CISA" aberto ao público por seis meses, contendo senhas em texto limpo, chaves privadas, tokens e segredos. 

Por que isso importa? Cada categoria de credencial exposta abre um caminho de ataque diferente. Chaves AWS e tokens do Azure para acesso à infraestrutura em nuvem, manifestos Kubernetes e arquivos ArgoCD para comprometer pipelines de deploy, certificados SAML para falsificar identidades. 

A descoberta: O pesquisador Guillaume Valadon, da GitGuardian, encontrou o repositório em 14 de maio. De início, achou se tratar de uma fraude, afinal, a CISA não iria publicar algo tão óbvio. No entanto, a autenticidade foi confirmada pelo portal CERT/CC.

A derrubada: Valadon escalou o caso para o jornalista Brian Krebs, que pressionou. O repositório foi derrubado ainda naquele dia, às 18h. Seis meses de exposição resolvidos em 26 horas. 

Saiba mais: Além das credenciais em si, o repositório era um catálogo de práticas inseguras, com senhas armazenadas em texto limpos, backups commitados direto no Git e também um guia explícito de como desativar o secret scanning do próprio GitHub. Como não bastassem os segredos, o responsável pelos commits misturou um e-mail corporativo da CISA com um e-mail pessoal do Yahoo e criou o repositório em uma conta pessoal do GitHub.

Papo Rápido

@Ataques

Agentes maliciosos exploraram CVE-2024-12802 em appliances SonicWall Gen6 para burlar o MFA e acessar redes corporativas, mesmo em dispositivos com firmware atualizado, pois a correção exige uma reconfiguração manual do servidor LDAP que muitos admins ignoraram. (BleepingComputer)

Banana RAT, um malware desenvolvido por cibercriminosos brasileiros e distribuído como trojan bancário, possui um subsistema específico para fraudar o Pix. Quando a vítima tenta pagar uma conta por meio de um QR code, o malware detecta e decodifica a imagem na tela, substituindo os dados originais pelos das contas dos criminosos. (TecMundo

@Patches

A Microsoft corrigiu duas vulnerabilidades no Defender ativamente exploradas: uma de escalonamento de privilégios (CVE-2026-41091, CVSS 7.8) que permite acesso SYSTEM e uma de negação de serviço (CVE-2026-45498, CVSS 4.0). A boa notícia: a atualização é automática, não requerendo nenhuma ação manual. (TheHackerNews

De acordo com o pesquisador de vulnerabilidades Aonan Guan, a Anthropic corrigiu silenciosamente um problema que permitiria a um atacante contornar o sandbox de rede do Claude Code, possibilitando o roubo de dados. (SecurityWeek)

@Mundo

Autoridades de 16 países desarticularam a "First VPN", serviço usado em praticamente todos os grandes casos de ransomware investigados pela Europol. Na operação, 33 servidores em 27 países foram apreendidos, domínios derrubados e o administrador ucraniano foi identificado e questionado. (BleepingComputer)

A Microsoft desarticulou a operação Fox Tempest, que desde maio de 2025 vendia certificados de assinatura de código a gangues de ransomware (como Rhysida, Akira e Qilin) fazendo malware parecer software legítimo ao Windows. O grupo criou mais de 580 contas fraudulentas para abusar do próprio serviço de assinatura da Microsoft, cobrando entre US$ 5 mil e US$ 9,5 mil por certificado. (TheRegister)

Quer saber mais? Siga-nos nas redes sociais: LinkedinInstagram.
Segurança nunca é demais, ainda mais nos dias de hoje.
Compartilhe o conhecimento, espalhe a segurança!

Siga nossa Newsletter e se mantenha atualizado sobre as últimas tendências em Cybersec!

Escrito por: Thaís Hudari AbibMurilo Lopes e Cíntia Baltar
Arte: George Lopes e Anselmo Costa

Veja mais