257 notícia(s) relacionada(s).
Reunimos nesta página as publicações do Hack Alerta relacionadas a security.
Shai‑Hulud 2.0, identificado pela Wiz.io, comprometeu mais de 30.000 repositórios via pacotes NPM envenenados (notadamente @postman/tunnel-agent v0.6.7 e @asyncapi/specs v6.8.3), roubando ~500 tokens GitHub e até 400.000 segredos detectados por Trufflehog (2,5% verificados).
Um exploit contra a pool yETH do Yearn Finance em 30/11/2025 permitiu a mintagem massiva de tokens com um depósito de apenas 16 wei, resultando no roubo de ~US$9 milhões. A falha decorre de valores em cache (packed_vbs) que não foram zerados, permitindo state poisoning e mint excessiva de LP tokens.
Microsoft modificou silenciosamente a exibição do campo Target em arquivos .lnk para mitigar uma técnica usada desde 2017 que permitia ocultar comandos maliciosos. Pesquisas apontam quase 1.000 atalhos maliciosos; há divergência entre IDs CVE nas fontes.
Microsoft Threat Intelligence detectou e bloqueou uma campanha massiva de phishing (Storm-0900) que enviou dezenas de milhares de e-mails com temas de multa e exames, direcionando vítimas a uma landing page com falso CAPTCHA que validava interação antes de entregar XWorm.
A University of Pennsylvania e a University of Phoenix confirmaram serem vítimas de um ataque vinculado à campanha que explorou instâncias do Oracle E-Business Suite. As divulgações foram noticiadas em 3/12/2025; o resumo público não detalha volumes de dados ou tipos de informação acessada.
Fontes do mercado relatam que a ServiceNow estaria em processo para adquirir a Veza, empresa de identity security, por cerca de US$1 bilhão. A Veza foi avaliada em mais de US$800 milhões após rodada Series D (US$108M). Detalhes contratuais e confirmação oficial ainda não foram divulgados.
A CISA adicionou duas vulnerabilidades críticas do Android Framework ao seu catálogo de vulnerabilidades exploradas (KEV): CVE-2025-48572 (elevação de privilégios) e CVE-2025-48633 (divulgação de informações). A inclusão indica exploração ativa; agências federais têm até 23/12/2025 para aplicar correções. Detalhes técnicos permanecem limitados; a orientação é priorizar patch e mitigação.
CVE-2025-66412 no @angular/compiler é uma Stored XSS que permite execução via atributos de animação SVG. Versões corrigidas: 19.2.17, 20.3.15, 21.0.2; mitigação: atualizar e aplicar CSP.
O projeto Django liberou correções para duas vulnerabilidades críticas: CVE-2025-13372 (SQL injection de alta severidade, relacionada a FilteredRelation e ao uso de dictionary expansion em QuerySet.annotate()/alias() em projetos com PostgreSQL) e CVE-2025-64460 (DoS por complexidade algorítmica no serializador XML). Foram publicadas as releases 5.2.9, 5.1.15 e 4.2.27; o branch principal e o RC do Django 6.0 também receberam commits de correção.
A FTC propôs acordo com a Illuminate Education que exige apagar dados estudantis supérfluos e fortalecer controles de segurança após um incidente de 2021 que expôs cerca de 10 milhões de estudantes. O desfecho e detalhes técnicos do acordo não foram divulgados nas fontes.