As Principais Notícias de Segurança Cibernética de Abril de 2026
Um resumo dos principais eventos de segurança cibernética de abril de 2026, incluindo a controvérsia em torno do Mythos da Anthropic, ataques à cadeia de suprimentos, uma nova LPE no kernel Linux e o roubo de criptomoedas por hackers norte-coreanos.
MundiX News·12 de maio de 2026·10 min de leitura·👁 5 views
As Principais Notícias de Segurança Cibernética de Abril de 2026
Olá a todos! Reunimos os eventos de segurança da informação mais interessantes de abril em nosso resumo. No mês passado, o Mythos da Anthropic foi manchete, mais uma vez declarando uma revolução em segurança cibernética, da qual ainda não se vê nada além de relações públicas. O hack do supercomputador chinês, que não aconteceu, também causou muito barulho.
Abril também foi o mês de inúmeros ataques à cadeia de suprimentos - eles foram relatados quase todos os dias. Além disso, foi descoberto um precursor desconhecido do Stuxnet, a pior LPE foi encontrada no kernel Linux em muito tempo, e hackers norte-coreanos roubaram mais de meio bilhão de dólares em criptomoedas. Leia sobre isso e outras notícias importantes do mês passado abaixo!
Navegação pelas notícias
Mitos sobre Mythos
O incrível hack do supercomputador chinês
Copy Fail, LPE no kernel Linux
Bypass de autenticação no cPanel
Pesquisadores anunciam um mês de ataques à cadeia de suprimentos
Precursor desconhecido do Stuxnet
Grande golpe de criptomoeda para os norte-coreanos
Mitos sobre Mythos
O tópico mais quente nas manchetes de abril foi a Anthropic, que
em torno de seu novo modelo Mythos, novamente sobre segurança da informação. “Encontrei milhares de zero-days em todos os principais sistemas, capacidades sem precedentes, uma revolução no mundo da segurança cibernética” e assim por diante. Uma descoberta incrível ou marketing comum em torno de um novo modelo? Sim, como sempre.
Se você passar pelas charnecas pomposas do anúncio, nada revolucionário aconteceu. “Encontra zero-days” - e quem não os encontra agora? “Autonomia, fuga da sandbox” - hype tirado de instruções. “Perigoso demais para o público em geral” - a velha conversa que acompanha o lançamento de cada novo modelo. “Milhares de zero-days” - onde estão as provas? Eles não estão lá. Assim como ainda não existem relatórios técnicos claros que possam apoiar as declarações bombásticas.
No saldo seco, o modelo [supostamente] encontra vulnerabilidades e escreve exploits melhor, o resto é marketing e declarações sem confirmação. Se seus benchmarks correspondem ao hype? Dificilmente. Mas aqueles que não entendem como o marketing de IA funciona e leem os anúncios com a boca aberta, a fantasia está fervilhando tanto que no porão da Anthropic um AGI com um QI de quase 200 está aparecendo, pronto para dominar o mundo inteiro.
no primeiro dia. E o mundo estremeceu com o super-IA em mãos não autorizadas? Sim, parece que não. A Bloomberg escreve que o acesso foi obtido por membros da comunidade no Discord, que estão mexendo em novos LLMs - em um caso, através do ambiente do contratante, cujo funcionário, provavelmente, vazou o acesso. Aqueles que estão ansiosos por novidades em IA desde então supostamente usam regularmente o modelo e enviaram capturas de tela e vídeos de seu trabalho.
Eles escrevem que não está claro se o Mythos foi usado indevidamente para explorar essas mesmas vulnerabilidades. Mas eles poderiam! Mas isso não é certo. A mistura de manchetes “Mythos está armado e extremamente perigoso” e “Nerds do Discord encontraram acesso a ele em seu tempo livre”, é claro, é picante: agora algum congressista ficará indignado com tudo isso, e a Anthropic terá que revisar drasticamente sua estratégia de relações públicas.
em torno do produto sensacional da Anthropic. Em uma postagem de blog com o título bombástico “Os dias de zero-day estão contados”, a empresa anunciou 271 vulnerabilidades descobertas pelo Mythos na versão Firefox 150. Mas há um problema: os números não batem. De jeito nenhum.
Quais são os números, na verdade? Do boletim de segurança da versão mais recente publicado no mesmo dia: ele tem 41 CVEs, três deles marcados como encontrados por Claude. Ao mesmo tempo, no Firefox 148, 51 CVEs, 22 da Anthropic com 112 relatórios de bugs - crescimento negativo de 5:1 para 90:1. Onde estão as vulnerabilidades, Claudovski?
que, por enquanto, a explicação mais provável é que a Mozilla mudou para um sistema métrico alternativo. Em outras palavras, eles estão contando duplicatas, não-CVEs, pequenos bugs, problemas de memória e outros casos extremos de uma nova maneira.
23 das 25 vulnerabilidades de memória Claude encontradas anteriormente em uma grande e bela base de código C++, o que de alguma forma sugere. Portanto, por enquanto, o ceticismo saudável pede para não ceder às provocações de IA, esperar por relatórios técnicos completos com divulgações e manter um olho nos bastidores.
, incluindo defesa e alta tecnologia, e está tentando vender tudo isso. Parece ser o hack do ano, se não da década? Vamos dar uma olhada dentro.
Na superfície, a julgar pelo texto, há um hacker, amostras e especialistas em segurança cibernética que as estudaram. E acesso aos sistemas por muitos meses - para roubar secretamente 10 petabytes, levou apenas seis meses. Na verdade, havia apenas uma postagem de um anônimo no BF com amostras no Mega e a venda de uma lista de arquivos por 10 XMR. Como especialista, um anônimo com
É plausível? Uma modesta experiência em segurança da informação sugere vagamente que vazamentos desse nível parecem diferentes.
Mas quando você é um jornalista da CNN, o mundo está cheio de maravilhas, e uma postagem falsa do BF se transforma em uma publicação sobre o terrível estado da segurança cibernética na China. Se você tirar de lado a incompetência banal, com esse objetivo, aparentemente, o artigo foi escrito. J - jornalismo. Infelizmente, as manchetes barulhentas se espalharam pela rede, o público em geral está confiante na realidade do hack incrível, e até mesmo conectou o Mythos da campanha de relações públicas da Anthropic às suas fantasias - afinal, quem deve hackear supercomputadores, se não super-IA?
Copy Fail, LPE no kernel Linux
Leia sobre os CVEs mais interessantes do mês passado em nossa
seleção tradicional, e aqui mencionaremos alguns importantes. No kernel Linux, no último dia de abril, uma vulnerabilidade sob LPE foi revelada. E não simples, mas para quase todas as distribuições lançadas desde 2017. E sem uma condição de corrida.
No módulo algif_aead, um erro lógico que permite que um usuário local obtenha root com um script simples que edita o PageCache de qualquer arquivo, incluindo setuid. Na verdade, um análogo do Dirty Pipe, mas com uma cobertura muito maior. O exploit é elementar, portátil, confiável, com uma prova de conceito de 10 linhas e uma longa lista de distribuições por ~10 anos - potencialmente a pior LPE no contexto do Linux em muito tempo. Mais detalhes sobre a vulnerabilidade
Na sexta-feira passada, a CISA adicionou a vulnerabilidade à lista de exploradas ativamente - os primeiros sinais foram no dia seguinte à divulgação. Copy Fail sacudiu significativamente o ecossistema Linux, após a publicação do PoC em Python, variantes em Go e Rust foram notadas.
Enquanto isso, uma tempestade surgiu entre os Linuxers: rapidamente
que a vulnerabilidade não foi apenas encontrada com o apoio do LLM, mas a divulgação foi coordenada com sua ajuda - no momento da publicação dos patches, as principais distribuições não tinham, mas havia um site elegante com PoC público e tudo o que o acompanha. Então, se para a Theori foi um movimento de cavalo para as relações públicas de seu produto de IA, não funcionou muito bem.
Bypass de autenticação no cPanel
Um evento da última semana de abril do mundo da infraestrutura de hospedagem foi uma vulnerabilidade crítica no painel de controle cPanel & WHM para ignorar a autenticação. Em todas as versões. E com um exploit ativo como zero-day desde fevereiro.
, 9.8 no CVSS: No oficial, este é “processamento incorreto de sessões, onde os dados do usuário são gravados em arquivos de sessão no lado do servidor antes da autenticação e sem saneamento”. No não oficial, soa principalmente obsceno no formato “Como isso foi parar na produção, o que você está fazendo lá?!”
O usuário grava arbitrariamente em arquivos de sessão pré-autenticação e obtém a administração. E isso não é em um projeto escolar do tipo “Meu primeiro servidor”, mas em um painel no qual mais de 70 milhões de domínios estão pendurados. Como você pode adivinhar, os administradores estão em completo deleite. Análise de vulnerabilidade em
os sites. Os invasores usam um criptografador em Go, ele criptografa arquivos com a extensão .sorry, daí o nome condicional - Sorry 2026 Ransomware.
Nos fóruns, os proprietários inocentes de sites comprometidos fazem perguntas urgentes como “O que é Go?” e “Como posso restaurar arquivos sem um backup?” Em geral, o processo de pensamento como em uma agência governamental, depois que a criptografia aprendeu sobre a existência de ransomware, backups e outras coisas surpreendentes.
Ao mesmo tempo, o contador de comprometimentos está funcionando ao vivo: sites criptografados são indexados por mecanismos de pesquisa com IDs TOX de invasores. A geografia
sozinho; na emissão, as vítimas de todo o mundo - a unidade internacional em nosso tempo só acontece assim.
Pesquisadores anunciam um mês de ataques à cadeia de suprimentos
Abril foi o mês de numerosos ataques à cadeia de suprimentos, nem todos podem ser listados, e sua caligrafia é característica: oportunista, barulhenta, com uma curta janela de comprometimento. Aqui estão apenas alguns exemplos.
os invasores comprometeram uma das APIs, e o site entregou instaladores trojanizados com RAT. As versões CPU-Z 2.19, HWMonitor 1.63, HWMonitor Pro 1.57 e PerfMonitor 2.04 foram afetadas, então verifique.
Eles duraram, no entanto, não muito tempo: o desenvolvedor anunciou uma janela de 6 horas, a Kaspersky a designou em 19. O ataque foi realizado pelos mesmos invasores que entregaram instaladores falsos do FileZilla em março. Ao mesmo tempo, os nerds de segurança da informação em alguns lugares
: a infraestrutura C2 da mesma campanha foi reutilizada no ataque, a carga maliciosa foi copiada dela - o mesmo RAT, e até mesmo do YARA já público não foi limpo. Na saída, trabalho de má qualidade, detecção instantânea e tédio - devolva-nos os ataques ao nível do SolarWinds. O que posso dizer… Ou talvez não precise?
no npm para entregar um infostealer - é claro, em um ataque à cadeia de suprimentos. Acima, o scanner de vulnerabilidade Checkmarx KICS foi comprometido, incluindo imagens Docker e extensões VSCode e Open VSX, isso também afetou o Bitwarden CLI.
Na verdade, eles se livraram com um susto: apenas o mecanismo de entrega de pacotes foi afetado, apenas no npm e apenas no CLI. E o tempo de reação - minha homenagem: algumas horas do comprometimento à mitigação.
que os dados nos armazenamentos de usuários não foram afetados, eles também não sofreram com a produção, e o pacote malicioso foi baixado por apenas 334 sortudos. Mas, após os sucessos lendários do LastPass na proteção de dados do usuário, qualquer movimento na área do gerenciador de senhas causa imediatamente tremores em todos os envolvidos. Desta vez, mais ou menos funcionou.
no PyPI. A versão 0.23.3 veio com um infostealer em 24-25 de abril. O pacote tem 1,1 milhão de downloads mensais, então o efeito potencial de tal ataque é sólido.
Mas foi apenas mais um oportunismo: barulhento, torto, com um vetor de ataque familiar via CI e comprometimento instantaneamente notado - mesmo a noite de sexta-feira não ajudou. O número de usuários afetados no
relatório pós-incidente não foi nomeado, mas a janela de comprometimento é de ~12 horas, respectivamente, há alguma cobertura.
lightning e intercom-client no PI - pacotes populares com milhões de downloads, tudo como deveria ser. E esta é apenas uma parte da campanha com o autodenominado irônico “Mini Shai-Hulud”.
O selvagem Mini Shai-Hulud apareceu no final de abril e comprometeu quatro pacotes SAP no npm com uma cobertura decente em seu ecossistema de desenvolvedores e vários outros grandes no PyPI e PHP. Tudo isso acontece no espírito dos incidentes anteriores da TeamPCP: infostealer, muito barulho, algumas horas de comprometimento - os pesquisadores só têm tempo para bater nos mantenedores e escrever relatórios sobre os rastros do roubo.
No entanto, do Shai-Hulud, apenas o nome: o roubado é criptografado, e em localidades RU o malware é desativado. O autor do original único só queria ver o ecossistema em chamas, e isso é apenas uma pálida paródia para monetização. As consequências da visita de tal convidado aos repositórios podem ser vistas no
traços de uma estrutura para sabotar equipamentos científicos/de engenharia, como o Stuxnet. Mas data de 2005.
A estrutura recebeu o codinome Fast16 e tem um modelo de sabotagem diferente do Stuxnet: corrige software especializado daqueles anos para que ele forneça resultados incorretos - e esta é a energia nuclear, design, hidrodinâmica. A ferramenta é avançada mesmo para os padrões modernos: patching na memória, LUA VM, interceptação do sistema de arquivos no nível do kernel e assim por diante.
Ou seja, esta é uma estrutura de trabalho para cibersabotagem cinco anos antes do Stuxnet - aquele raro caso em que a realidade se aproxima um pouco das fantasias conspiratórias do público em geral sobre as capacidades da APT. Como resultado, verifica-se que os nerds da NSA não esperaram, mas estavam se preparando já no início dos anos 2000, e potencialmente a linha do tempo de tais operações se move muito para a esquerda.
Grande golpe de criptomoeda para os norte-coreanos
Sentindo falta de roubos de criptomoedas barulhentos? No início de abril,
que a plataforma DeFi Drift congelou depósitos e saques após o hack. Estima-se que mais de US$ 280 milhões foram roubados - então este não é apenas o maior roubo de criptomoedas de 2026, mas também um candidato ao
chegaram, e quais. Os invasores se passaram por traders por seis meses, querendo se conectar ao ecossistema do protocolo, e entraram na confiança antes de realizar o hack.
A Drift afirma que eles foram contatados no outono de 2025 em uma grande conferência de criptomoedas. Bem-sucedidos, profissionais, não coreanos - pessoas de fachada contratadas. Após o conhecimento, um bate-papo TG apareceu, no qual a comunicação foi sobre o protocolo, incluindo um depósito de mais de um milhão de dólares dos “traders”. Em geral, o onboarding DeFi padrão.
Como resultado, um contribuidor potencialmente comprometido através de um clone do repositório sob a forma de código de seu armazenamento, o outro - através do aplicativo TestFlight da carteira. Devemos dar aos norte-coreanos o devido: eles trazem sua arte ao nível dos thrillers de espionagem. Mas a atmosfera nas conferências depois disso, é claro, será tensa. Um criptobro amigável ou um espião da RPDC? Quem sabe!
E então outro bangue de nossos irmãos norte-coreanos soou: em 18 de abril, Lazarus roubou mais ~US$ 300 milhões da plataforma DeFi KelpDao. Juntamente com o hack da Drift, isso é US$ 600 milhões em menos de um mês.
Mas nem tudo é tão cor-de-rosa no acampamento dos combatentes de criptomoedas com o imperialismo ocidental: em alguns dias, o conselho de segurança da Arbitrum - a plataforma éter, através de cujo ecossistema o roubado do KelpDao foi -
~US$ 70 milhões. Dizem que a decisão não foi fácil: levou longas horas de debate sobre questões técnicas, éticas e políticas - afinal, o blockchain deve ser livre, e eles não entendem totalmente como agir em situações de emergência. Mais 10 anos se passarão, e os criptos inventarão atos regulatórios e outros códigos criminais criptográficos.
Enquanto isso, após os grandes hacks de abril, a indústria está tremendo: em seu contexto, os investidores retiraram US$ 15 bilhões - a fé no DeFi foi abalada. Agora, serão necessárias pelo menos algumas dezenas de postagens de blog sobre auditorias regulares e medidas de segurança de ponta para restaurá-la.
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
As Principais Notícias de Segurança Cibernética de Abril de 2026
Olá a todos! Reunimos os eventos de segurança da informação mais interessantes de abril em nosso resumo. No mês passado, o Mythos da Anthropic foi manchete, mais uma vez declarando uma revolução em segurança cibernética, da qual ainda não se vê nada além de relações públicas. O hack do supercomputador chinês, que não aconteceu, também causou muito barulho.
Abril também foi o mês de inúmeros ataques à cadeia de suprimentos - eles foram relatados quase todos os dias. Além disso, foi descoberto um precursor desconhecido do Stuxnet, a pior LPE foi encontrada no kernel Linux em muito tempo, e hackers norte-coreanos roubaram mais de meio bilhão de dólares em criptomoedas. Leia sobre isso e outras notícias importantes do mês passado abaixo!
Navegação pelas notícias
Mitos sobre Mythos
O incrível hack do supercomputador chinês
Copy Fail, LPE no kernel Linux
Bypass de autenticação no cPanel
Pesquisadores anunciam um mês de ataques à cadeia de suprimentos
Precursor desconhecido do Stuxnet
Grande golpe de criptomoeda para os norte-coreanos
Mitos sobre Mythos
O tópico mais quente nas manchetes de abril foi a Anthropic, que
em torno de seu novo modelo Mythos, novamente sobre segurança da informação. “Encontrei milhares de zero-days em todos os principais sistemas, capacidades sem precedentes, uma revolução no mundo da segurança cibernética” e assim por diante. Uma descoberta incrível ou marketing comum em torno de um novo modelo? Sim, como sempre.
Se você passar pelas charnecas pomposas do anúncio, nada revolucionário aconteceu. “Encontra zero-days” - e quem não os encontra agora? “Autonomia, fuga da sandbox” - hype tirado de instruções. “Perigoso demais para o público em geral” - a velha conversa que acompanha o lançamento de cada novo modelo. “Milhares de zero-days” - onde estão as provas? Eles não estão lá. Assim como ainda não existem relatórios técnicos claros que possam apoiar as declarações bombásticas.
No saldo seco, o modelo [supostamente] encontra vulnerabilidades e escreve exploits melhor, o resto é marketing e declarações sem confirmação. Se seus benchmarks correspondem ao hype? Dificilmente. Mas aqueles que não entendem como o marketing de IA funciona e leem os anúncios com a boca aberta, a fantasia está fervilhando tanto que no porão da Anthropic um AGI com um QI de quase 200 está aparecendo, pronto para dominar o mundo inteiro.
no primeiro dia. E o mundo estremeceu com o super-IA em mãos não autorizadas? Sim, parece que não. A Bloomberg escreve que o acesso foi obtido por membros da comunidade no Discord, que estão mexendo em novos LLMs - em um caso, através do ambiente do contratante, cujo funcionário, provavelmente, vazou o acesso. Aqueles que estão ansiosos por novidades em IA desde então supostamente usam regularmente o modelo e enviaram capturas de tela e vídeos de seu trabalho.
Eles escrevem que não está claro se o Mythos foi usado indevidamente para explorar essas mesmas vulnerabilidades. Mas eles poderiam! Mas isso não é certo. A mistura de manchetes “Mythos está armado e extremamente perigoso” e “Nerds do Discord encontraram acesso a ele em seu tempo livre”, é claro, é picante: agora algum congressista ficará indignado com tudo isso, e a Anthropic terá que revisar drasticamente sua estratégia de relações públicas.
em torno do produto sensacional da Anthropic. Em uma postagem de blog com o título bombástico “Os dias de zero-day estão contados”, a empresa anunciou 271 vulnerabilidades descobertas pelo Mythos na versão Firefox 150. Mas há um problema: os números não batem. De jeito nenhum.
Quais são os números, na verdade? Do boletim de segurança da versão mais recente publicado no mesmo dia: ele tem 41 CVEs, três deles marcados como encontrados por Claude. Ao mesmo tempo, no Firefox 148, 51 CVEs, 22 da Anthropic com 112 relatórios de bugs - crescimento negativo de 5:1 para 90:1. Onde estão as vulnerabilidades, Claudovski?
que, por enquanto, a explicação mais provável é que a Mozilla mudou para um sistema métrico alternativo. Em outras palavras, eles estão contando duplicatas, não-CVEs, pequenos bugs, problemas de memória e outros casos extremos de uma nova maneira.
23 das 25 vulnerabilidades de memória Claude encontradas anteriormente em uma grande e bela base de código C++, o que de alguma forma sugere. Portanto, por enquanto, o ceticismo saudável pede para não ceder às provocações de IA, esperar por relatórios técnicos completos com divulgações e manter um olho nos bastidores.
, incluindo defesa e alta tecnologia, e está tentando vender tudo isso. Parece ser o hack do ano, se não da década? Vamos dar uma olhada dentro.
Na superfície, a julgar pelo texto, há um hacker, amostras e especialistas em segurança cibernética que as estudaram. E acesso aos sistemas por muitos meses - para roubar secretamente 10 petabytes, levou apenas seis meses. Na verdade, havia apenas uma postagem de um anônimo no BF com amostras no Mega e a venda de uma lista de arquivos por 10 XMR. Como especialista, um anônimo com
É plausível? Uma modesta experiência em segurança da informação sugere vagamente que vazamentos desse nível parecem diferentes.
Mas quando você é um jornalista da CNN, o mundo está cheio de maravilhas, e uma postagem falsa do BF se transforma em uma publicação sobre o terrível estado da segurança cibernética na China. Se você tirar de lado a incompetência banal, com esse objetivo, aparentemente, o artigo foi escrito. J - jornalismo. Infelizmente, as manchetes barulhentas se espalharam pela rede, o público em geral está confiante na realidade do hack incrível, e até mesmo conectou o Mythos da campanha de relações públicas da Anthropic às suas fantasias - afinal, quem deve hackear supercomputadores, se não super-IA?
Copy Fail, LPE no kernel Linux
Leia sobre os CVEs mais interessantes do mês passado em nossa
seleção tradicional, e aqui mencionaremos alguns importantes. No kernel Linux, no último dia de abril, uma vulnerabilidade sob LPE foi revelada. E não simples, mas para quase todas as distribuições lançadas desde 2017. E sem uma condição de corrida.
No módulo algif_aead, um erro lógico que permite que um usuário local obtenha root com um script simples que edita o PageCache de qualquer arquivo, incluindo setuid. Na verdade, um análogo do Dirty Pipe, mas com uma cobertura muito maior. O exploit é elementar, portátil, confiável, com uma prova de conceito de 10 linhas e uma longa lista de distribuições por ~10 anos - potencialmente a pior LPE no contexto do Linux em muito tempo. Mais detalhes sobre a vulnerabilidade
Na sexta-feira passada, a CISA adicionou a vulnerabilidade à lista de exploradas ativamente - os primeiros sinais foram no dia seguinte à divulgação. Copy Fail sacudiu significativamente o ecossistema Linux, após a publicação do PoC em Python, variantes em Go e Rust foram notadas.
Enquanto isso, uma tempestade surgiu entre os Linuxers: rapidamente
que a vulnerabilidade não foi apenas encontrada com o apoio do LLM, mas a divulgação foi coordenada com sua ajuda - no momento da publicação dos patches, as principais distribuições não tinham, mas havia um site elegante com PoC público e tudo o que o acompanha. Então, se para a Theori foi um movimento de cavalo para as relações públicas de seu produto de IA, não funcionou muito bem.
Bypass de autenticação no cPanel
Um evento da última semana de abril do mundo da infraestrutura de hospedagem foi uma vulnerabilidade crítica no painel de controle cPanel & WHM para ignorar a autenticação. Em todas as versões. E com um exploit ativo como zero-day desde fevereiro.
, 9.8 no CVSS: No oficial, este é “processamento incorreto de sessões, onde os dados do usuário são gravados em arquivos de sessão no lado do servidor antes da autenticação e sem saneamento”. No não oficial, soa principalmente obsceno no formato “Como isso foi parar na produção, o que você está fazendo lá?!”
O usuário grava arbitrariamente em arquivos de sessão pré-autenticação e obtém a administração. E isso não é em um projeto escolar do tipo “Meu primeiro servidor”, mas em um painel no qual mais de 70 milhões de domínios estão pendurados. Como você pode adivinhar, os administradores estão em completo deleite. Análise de vulnerabilidade em
os sites. Os invasores usam um criptografador em Go, ele criptografa arquivos com a extensão .sorry, daí o nome condicional - Sorry 2026 Ransomware.
Nos fóruns, os proprietários inocentes de sites comprometidos fazem perguntas urgentes como “O que é Go?” e “Como posso restaurar arquivos sem um backup?” Em geral, o processo de pensamento como em uma agência governamental, depois que a criptografia aprendeu sobre a existência de ransomware, backups e outras coisas surpreendentes.
Ao mesmo tempo, o contador de comprometimentos está funcionando ao vivo: sites criptografados são indexados por mecanismos de pesquisa com IDs TOX de invasores. A geografia
sozinho; na emissão, as vítimas de todo o mundo - a unidade internacional em nosso tempo só acontece assim.
Pesquisadores anunciam um mês de ataques à cadeia de suprimentos
Abril foi o mês de numerosos ataques à cadeia de suprimentos, nem todos podem ser listados, e sua caligrafia é característica: oportunista, barulhenta, com uma curta janela de comprometimento. Aqui estão apenas alguns exemplos.
os invasores comprometeram uma das APIs, e o site entregou instaladores trojanizados com RAT. As versões CPU-Z 2.19, HWMonitor 1.63, HWMonitor Pro 1.57 e PerfMonitor 2.04 foram afetadas, então verifique.
Eles duraram, no entanto, não muito tempo: o desenvolvedor anunciou uma janela de 6 horas, a Kaspersky a designou em 19. O ataque foi realizado pelos mesmos invasores que entregaram instaladores falsos do FileZilla em março. Ao mesmo tempo, os nerds de segurança da informação em alguns lugares
: a infraestrutura C2 da mesma campanha foi reutilizada no ataque, a carga maliciosa foi copiada dela - o mesmo RAT, e até mesmo do YARA já público não foi limpo. Na saída, trabalho de má qualidade, detecção instantânea e tédio - devolva-nos os ataques ao nível do SolarWinds. O que posso dizer… Ou talvez não precise?
no npm para entregar um infostealer - é claro, em um ataque à cadeia de suprimentos. Acima, o scanner de vulnerabilidade Checkmarx KICS foi comprometido, incluindo imagens Docker e extensões VSCode e Open VSX, isso também afetou o Bitwarden CLI.
Na verdade, eles se livraram com um susto: apenas o mecanismo de entrega de pacotes foi afetado, apenas no npm e apenas no CLI. E o tempo de reação - minha homenagem: algumas horas do comprometimento à mitigação.
que os dados nos armazenamentos de usuários não foram afetados, eles também não sofreram com a produção, e o pacote malicioso foi baixado por apenas 334 sortudos. Mas, após os sucessos lendários do LastPass na proteção de dados do usuário, qualquer movimento na área do gerenciador de senhas causa imediatamente tremores em todos os envolvidos. Desta vez, mais ou menos funcionou.
no PyPI. A versão 0.23.3 veio com um infostealer em 24-25 de abril. O pacote tem 1,1 milhão de downloads mensais, então o efeito potencial de tal ataque é sólido.
Mas foi apenas mais um oportunismo: barulhento, torto, com um vetor de ataque familiar via CI e comprometimento instantaneamente notado - mesmo a noite de sexta-feira não ajudou. O número de usuários afetados no
relatório pós-incidente não foi nomeado, mas a janela de comprometimento é de ~12 horas, respectivamente, há alguma cobertura.
lightning e intercom-client no PI - pacotes populares com milhões de downloads, tudo como deveria ser. E esta é apenas uma parte da campanha com o autodenominado irônico “Mini Shai-Hulud”.
O selvagem Mini Shai-Hulud apareceu no final de abril e comprometeu quatro pacotes SAP no npm com uma cobertura decente em seu ecossistema de desenvolvedores e vários outros grandes no PyPI e PHP. Tudo isso acontece no espírito dos incidentes anteriores da TeamPCP: infostealer, muito barulho, algumas horas de comprometimento - os pesquisadores só têm tempo para bater nos mantenedores e escrever relatórios sobre os rastros do roubo.
No entanto, do Shai-Hulud, apenas o nome: o roubado é criptografado, e em localidades RU o malware é desativado. O autor do original único só queria ver o ecossistema em chamas, e isso é apenas uma pálida paródia para monetização. As consequências da visita de tal convidado aos repositórios podem ser vistas no
traços de uma estrutura para sabotar equipamentos científicos/de engenharia, como o Stuxnet. Mas data de 2005.
A estrutura recebeu o codinome Fast16 e tem um modelo de sabotagem diferente do Stuxnet: corrige software especializado daqueles anos para que ele forneça resultados incorretos - e esta é a energia nuclear, design, hidrodinâmica. A ferramenta é avançada mesmo para os padrões modernos: patching na memória, LUA VM, interceptação do sistema de arquivos no nível do kernel e assim por diante.
Ou seja, esta é uma estrutura de trabalho para cibersabotagem cinco anos antes do Stuxnet - aquele raro caso em que a realidade se aproxima um pouco das fantasias conspiratórias do público em geral sobre as capacidades da APT. Como resultado, verifica-se que os nerds da NSA não esperaram, mas estavam se preparando já no início dos anos 2000, e potencialmente a linha do tempo de tais operações se move muito para a esquerda.
Grande golpe de criptomoeda para os norte-coreanos
Sentindo falta de roubos de criptomoedas barulhentos? No início de abril,
que a plataforma DeFi Drift congelou depósitos e saques após o hack. Estima-se que mais de US$ 280 milhões foram roubados - então este não é apenas o maior roubo de criptomoedas de 2026, mas também um candidato ao
chegaram, e quais. Os invasores se passaram por traders por seis meses, querendo se conectar ao ecossistema do protocolo, e entraram na confiança antes de realizar o hack.
A Drift afirma que eles foram contatados no outono de 2025 em uma grande conferência de criptomoedas. Bem-sucedidos, profissionais, não coreanos - pessoas de fachada contratadas. Após o conhecimento, um bate-papo TG apareceu, no qual a comunicação foi sobre o protocolo, incluindo um depósito de mais de um milhão de dólares dos “traders”. Em geral, o onboarding DeFi padrão.
Como resultado, um contribuidor potencialmente comprometido através de um clone do repositório sob a forma de código de seu armazenamento, o outro - através do aplicativo TestFlight da carteira. Devemos dar aos norte-coreanos o devido: eles trazem sua arte ao nível dos thrillers de espionagem. Mas a atmosfera nas conferências depois disso, é claro, será tensa. Um criptobro amigável ou um espião da RPDC? Quem sabe!
E então outro bangue de nossos irmãos norte-coreanos soou: em 18 de abril, Lazarus roubou mais ~US$ 300 milhões da plataforma DeFi KelpDao. Juntamente com o hack da Drift, isso é US$ 600 milhões em menos de um mês.
Mas nem tudo é tão cor-de-rosa no acampamento dos combatentes de criptomoedas com o imperialismo ocidental: em alguns dias, o conselho de segurança da Arbitrum - a plataforma éter, através de cujo ecossistema o roubado do KelpDao foi -
~US$ 70 milhões. Dizem que a decisão não foi fácil: levou longas horas de debate sobre questões técnicas, éticas e políticas - afinal, o blockchain deve ser livre, e eles não entendem totalmente como agir em situações de emergência. Mais 10 anos se passarão, e os criptos inventarão atos regulatórios e outros códigos criminais criptográficos.
Enquanto isso, após os grandes hacks de abril, a indústria está tremendo: em seu contexto, os investidores retiraram US$ 15 bilhões - a fé no DeFi foi abalada. Agora, serão necessárias pelo menos algumas dezenas de postagens de blog sobre auditorias regulares e medidas de segurança de ponta para restaurá-la.
📤 Compartilhar & Baixar
🧰 Ferramentas recomendadas
Divulgação: alguns links são patrocinados. Podemos receber comissão se você comprar — sem custo extra para você. Só indicamos o que faz sentido para a comunidade.
