Redação YTI&W-News
Este é o Boletim de Inteligência do Yassutaro Security. Uma curadoria executiva das ameaças e incidentes mais críticos registrados nas últimas horas.
📊 Vulnerabilidade no NuGet Gallery: StripeApi.Net
Resumo da Ameaça
A Cybersecurity researchers descobriu detalhes de um novo pacote malicioso descoberto na NuGet Gallery, que se passa por uma biblioteca da empresa de serviços financeiros Stripe em uma tentativa de atacar o setor financeiro. O pacote, codenominado StripeApi.Net, tenta se passar pelo Stripe.net, uma biblioteca legítima de Stripe com mais de 75 milhões de downloads.
Impacto e Mitigação
O pacote malicioso replica a funcionalidade de algumas das bibliotecas legítimas de Stripe, mas modifica métodos críticos para coletar e transferir dados sensíveis, incluindo o token de API Stripe, para o ator ameaçador. Embora o restante do código permaneça funcional, é improvável que atraia a atenção de desenvolvedores que possam ter baixado por engano.
A ReversingLabs descobriu e relatou o pacote “relativamente cedo” após sua liberação, causando-o a ser removido antes que pudesse causar qualquer dano significativo. O software de segurança da cadeia de fornecimento também observou que a atividade marca uma mudança em relação a campanhas anteriores que utilizaram pacotes NuGet falsificados para atacar o ecossistema de criptomoedas e facilitar a roubo de chaves de carteira.
Fonte de Referência: thehackernews.com.
Curadoria e Adaptação: Redação Yassutaro Security.
🌐 CVE-2026-20127: Zero-Day Vulnerabilidade em Cisco
Resumo da Ameaça
A Agência de Segurança Cibernética e Infraestrutura (CISA) emitiu uma diretriz de emergência sobre ataques globais que exploram duas vulnerabilidades zero-day em software de borda da Cisco. Esses ataques têm sido detectados há pelo menos três anos e continuam em andamento. A CISA e os Cinco Olhos (Five Eyes) emitiram uma orientação conjunta para ajudar a defender e caçar evidências de comprometimento.
Impacto e Mitigação
Os ataques são altamente sofisticados e visam dispositivos de borda de rede para estabelecer pontos de acesso persistentes em organizações de alto valor, incluindo setores de infraestrutura crítica. Os ataques podem acessar e comprometer redes federais, e os defensores devem tomar medidas para mitigar a ameaça. A CISA exigiu que as agências federais inventariem todos os sistemas SD-WAN vulneráveis da Cisco, coletassem logs desses sistemas, aplicassem atualizações de segurança da Cisco e caçassem evidências de comprometimento até o fim de semana.
Fonte de Referência: cyberscoop.com.
Curadoria e Adaptação: Redação Yassutaro Security.
🌐 Vulnerabilidade em UFP Technologies
Resumo da Ameaça
A UFP Technologies, fabricante de dispositivos médicos, divulgou que um incidente de cibersegurança comprometeu seus sistemas de TI e dados. A empresa detectou atividade suspeita em seus sistemas em 14 de fevereiro e imediatamente implementou medidas de isolamento e remediação, além de contratar consultores de cibersegurança externos para ajudar na investigação.
Impacto e Mitigação
Preliminares resultados da investigação indicam que a ameaça foi removida, mas o hacker conseguiu roubar dados dos sistemas comprometidos. A empresa afirmou que sua capacidade de acessar informações impactadas pelo incidente foi restaurada em todos os aspectos materiais. No entanto, o incidente parece ter afetado muitos, mas não todos, dos sistemas de TI da empresa e afetado funções como faturamento e criação de rótulos para entregas para clientes. Alguns dados da empresa ou relacionados à empresa parecem ter sido roubados ou destruídos. A natureza do malware permanece incerta, mas a destruição de dados sugere um ataque de ransomware ou wiper.
Fonte de Referência: bleepingcomputer.com.
Curadoria e Adaptação: Redação Yassutaro Security.
🕵️♂️ Vulnerabilidade em Repositórios de Desenvolvedores
Resumo da Ameaça
A Microsoft Defender Security Research Team identificou uma campanha de ataques cibernéticos que visam desenvolvedores, utilizando repositórios maliciosos disfarçados como projetos Next.js legítimos e avaliações técnicas para enganar os vítimas em executar códigos e estabelecer acesso persistente a máquinas comprometidas. A campanha é caracterizada pela utilização de múltiplos pontos de entrada que levam ao mesmo resultado, onde JavaScript controlado pelos atacantes é recuperado em tempo de execução e executado para facilitar o controle e comando (C2).
Impacto e Mitigação
Os ataques dependem dos atacantes configurarem repositórios falsos em plataformas de desenvolvedores confiáveis como Bitbucket, utilizando nomes como “Cryptan-Platform-MVP1” para enganar desenvolvedores em busca de empregos em executar como parte de um processo de avaliação. A Microsoft recomenda que as organizações endureçam as fronteiras de confiança de fluxos de trabalho de desenvolvedores, implementem autenticação forte e acesso condicional, mantenham higiene de credenciais rigorosa, apliquem o princípio de menos privilégios a contas de desenvolvedores e construam identidades, e separem infraestrutura de build onde possível. Além disso, a GitLab banhou 131 contas únicas envolvidas na distribuição de projetos de código maliciosos relacionados à campanha Contagious Interview.
Fonte de Referência: thehackernews.com.
Curadoria e Adaptação: Redação Yassutaro Security.
🕵️ GRIDTIDE: Espionagem Global Usando API do Google Sheets
Resumo da Ameaça
O Google’s Threat Intelligence Group (GTIG), em parceria com a Mandiant, interrompeu uma campanha de espionagem global atribuída a um suspeito agente de ameaça chinês, que usou chamadas de API do SaaS para esconder tráfego malicioso em ataques direcionados a redes de telecomunicações e governamentais.
A campanha está ativa desde pelo menos 2023 e afetou 53 organizações em 42 países, com infecções suspeitas em pelo menos 20 países adicionais. O vetor de acesso inicial é desconhecido, mas os pesquisadores notaram que o agente de ameaça, que o Google rastreia internamente como UNC2814, obteve acesso anteriormente explorando falhas em servidores web e sistemas de borda.
Impacto e Mitigação
O agente de ameaça, que o Google denomina de GRIDTIDE, é um backdoor C que abusa da API do Google Sheets para operações de controle e comando (C2) evasivas. GRIDTIDE autentica em uma conta de serviço do Google usando uma chave privada hardcoded e, ao iniciar, limpa a planilha deletando linhas 1-1000 e colunas de A a Z.
Em seguida, GRIDTIDE realiza reconhecimento de host, coletando informações sobre o usuário, hostname, detalhes do sistema operacional, endereço IP local, localidade e fuso horário, e registrando os dados na célula V1. A célula A1 é o célula de comando/status, que GRIDTIDE consulta constantemente para receber instruções.
Para mitigar a ameaça, o Google, a Mandiant e parceiros tomaram ações coordenadas para interromper a campanha, incluindo a interrupção de todos os projetos do Google Cloud controlados por UNC2814, desabilitação de infraestrutura conhecida, revogação de acesso à API do Google Sheets e desabilitação de todos os projetos do cloud usados em operações C2. Domínios atuais e históricos foram afogados.
Fonte de Referência: bleepingcomputer.com.
Curadoria e Adaptação: Redação Yassutaro Security.
Redação YTI&W-News
Cobertura das últimas notícias do universo da Segurança da Informação e lançamentos de soluções em TI.
- Tendências Críticas: C2 Botnet e Dohdoor Backdoor 26 de Fevereiro, 2026
- Boletim de Segurança Cibernética: Proteja sua Rede 25 de Fevereiro, 2026
- SolarWinds e L3Harris Exécutas Zero-Days para Rússia 25 de Fevereiro, 2026
- Copilot e UAC-0050: Ameaças Cibernéticas Avançam 24 de Fevereiro, 2026
- LuciDoor e Claude Queries: Ameaças Cibernéticas Globais 24 de Fevereiro, 2026
