Pacific News #281: A Oração sem Resposta
Assunto do momento: Um pesquisador perdeu a fé na Microsoft e divulgou um zero-day no VS Code
O que aconteceu? O pesquisador de segurança da informação Ammar Askar encontrou um zero-day no Visual Studio Code e, após perder a confiança no processo de divulgação de zero-days da Microsoft, resolveu publicá-lo por conta própria.
Por que isso importa? O zero-day permite que um atacante roube o token do GitHub da vítima apenas com o clique em um link, permitindo leitura e escrita em todos os repositórios, inclusive privados.
O cenário geral: A vulnerabilidade está no “github.dev”, o VS Code baseado em navegador. Acontece que o quando o domínio do GitHub entrega um OAuth token para o “github.dev”, o escopo do token é válido para todo repositório público ou privado que aquele usuário pode acessar.
Na prática: Um atacante com acesso para modificar o arquivo “.vscode/extensions.json” pode recomendar uma extensão maliciosa do VS Code e, se o alvo abrir o repositório por meio de um link github.dev especialmente criado, o ataque praticamente se executa sozinho.
O pulo do gato: Esse ataque contorna a confirmação de instalação. O atacante esconde código HTML malicioso dentro de um Jupyter Notebook que, ao ser aberto, simula automaticamente o atalho de teclado que aprova a instalação. A extensão maliciosa é então instalada e pode roubar tokens OAuth, dando ao atacante acesso aos repositórios da vítima – sem que ela perceba.
Notificações e o sequestro do Google Gemini no Android
O que aconteceu? No Android, o recurso Utilitários do Gemini pode ler e responder às suas notificações, incluindo as de aplicativos como o WhatsApp. O pesquisador Or Yair, da SafeBreach, descobriu que o agente que lê essas notificações trata o texto como instruções que pode executar. Portanto, qualquer coisa que possa enviar uma notificação para um telefone pode entregar uma carga útil. Para burlar as defesas do Google, o pesquisador usou uma técnica chamada Fake Context Alignment, na qual o Gemini era induzido a fazer perguntas de autorização em outro idioma (como chinês) ou ocultas em links de áudio silenciosos. O usuário, sem entender ou achar que era um bug, dizia “Sim”, validando a ação para o sistema de segurança do Google.
Por que isso importa? O ataque não exigia nenhum aplicativo malicioso instalado no celular da vítima. Qualquer pessoa ou sistema capaz de enviar uma mensagem que gerasse uma notificação no telefone do alvo poderia disparar o ataque.
O impacto: Invasores poderiam enviar comandos para o ecossistema Google Home conectado para abrir janelas eletrônicas, ligar aquecedores ou apagar as luzes. O Gemini poderia ser forçado a ditar mensagens falsas imitando contatos reais. Um motorista, por exemplo, poderia ouvir o assistente dizer falsamente: “Seu chefe pediu para você enviar os documentos para esta pasta do Drive”. O assistente podia abrir links maliciosos silenciosamente para rastrear a localização da vítima via IP ou forçar a entrada do celular em reuniões do Zoom, transmitindo áudio e vídeo em tempo real.
Saiba mais: Como a vulnerabilidade foi corrigida pelo Google diretamente nos servidores (lado do backend), os usuários não precisaram atualizar seus aplicativos manualmente para ficar protegidos. Não há indícios de que a falha tenha sido explorada por cibercriminosos antes do ajuste.
iFood confirma vazamento de dados, dimensão do caso segue incerta
O que aconteceu? O iFood confirmou um vazamento de dados que afetou cerca de 1,2 milhão de usuários, equivalente a 2% de sua base. Segundo a empresa, o incidente ocorreu em dezembro de 2025 e foi rapidamente contido.
Por que isso importa? Embora a empresa diga que o impacto foi limitado, os criminosos alegam ter acessado um volume muito maior de informações e contestam a versão do iFood sobre a origem do vazamento.
O impacto: Entre os dados expostos estão nome completo, CPF, telefone, email, histórico de endereços de entrega, data de cadastro e cartões parcialmente mascarados. O iFood afirma que senhas, dados financeiros e meios de pagamento não foram comprometidos.
Saiba mais: Os criminosos alegam ter explorado uma falha do tipo IDOR em um portal interno usado para responder às solicitações de autoridades. O grupo deu ao iFood até 10 de junho para negociar antes de uma possível divulgação dos dados.
Papo Rápido
@Ataques
Um grupo de ameaças da China, conhecido como TA4922, está expandindo seus ataques de phishing a diversas regiões do mundo, como Reino Unido, Alemanha, Itália e África do Sul. Munidos com diversas famílias de trojan de acesso remoto, o ator de ameaças tem motivação financeira. (TheHackerNews)
A startup Ultrahuman, conhecida pelo Ring Air, concorrente do Oura Ring, informou que atacantes obtiveram acesso não autorizado aos dados de seus clientes após roubarem as credenciais de um funcionário por meio de malware. (TechCrunch)
@Patches
A Cisco lançou atualizações de segurança para corrigir a CVE-2026-20230, vulnerabilidade crítica no Unified Communications Manager. O problema permite que atacantes remotos, sem qualquer privilégio, enviem requisições HTTP manipuladas para gravar arquivos no sistema operacional e escalar permissões até root. (BleepingComputer)
@Mundo
A CrowdStrike reportou um aumento de 15% em suas despesas operacionais do primeiro trimestre, à medida que a empresa de cibersegurança intensifica os investimentos em IA e desenvolvimento de produtos. (Reuters)
A CISA, o FBI e outras agências dos EUA alertaram que criminosos estão atacando sistemas automáticos de monitoramento de tanques de combustível expostos à internet, utilizados em setores de infraestrutura crítica.Os invasores comprometem o monitoramento de vazamentos, volumes e controles de bombas. (BleepingComputer)
Quer saber mais? Siga-nos nas redes sociais: Linkedin, Instagram.
Segurança nunca é demais, ainda mais nos dias de hoje.
Compartilhe o conhecimento, espalhe a segurança!
Siga nossa Newsletter e se mantenha atualizado sobre as últimas tendências em Cybersec!
Escrito por: Thaís Hudari Abib, Murilo Lopes e Cíntia Baltar
Arte: George Lopes e Anselmo Costa
