A primeira semana de abril de 2026 trouxe uma convergência preocupante de ameaças cibernéticas que abrangem desde ataques à cadeia de suprimentos até vulnerabilidades críticas em sistemas operacionais móveis. O boletim SANS NewsBites Vol. 28 Num. 25 destaca três incidentes principais que demandam atenção imediata dos profissionais de segurança: o comprometimento da biblioteca Axios no npm, o backport de patches do DarkSword pela Apple para iOS 18, e o vazamento do código-fonte do Claude Code da Anthropic.
Axios NPM: Um Ataque à Cadeia de Suprimentos Bem Planejado
Em 31 de março de 2026, atacantes comprometeram o pacote oficial Axios no registro Node Package Manager (npm). A Axios, com mais de 100 milhões de downloads semanais, é uma das bibliotecas de código aberto mais utilizadas para requisições web, embarcada em aplicações web, apps móveis, serviços backend e pipelines de build automatizados em praticamente todas as indústrias. O ataque foi particularmente sofisticado: além de modificar o pacote, os atacantes instalaram um RAT (Remote Access Trojan) em estações de trabalho de desenvolvedores Windows, Mac e Linux.
Segundo análise dos instrutores da SANS, a cadeia de infecção foi bem planejada e incluiu artefatos interessantes. Os atacantes ocultaram o comprometimento alterando o package.json e criando uma versão que parecia “limpa”. O ataque começou 18 horas antes das mudanças iniciais no repositório e durou apenas 3 horas, resultando em “apenas” 135 infecções confirmadas. Os editores da SANS alertam que mesmo organizações que pensavam estar limpas do ponto de vista do ecossistema SDLC (Software Development Lifecycle) descobriram infecções 1-2 dias depois, examinando estações de trabalho de desenvolvedores via MDM/EDR em busca de IOCs (Indicadores de Comprometimento).
Apple Backporta Patches do DarkSword para iOS 18
A Apple está liberando atualizações para versões mais antigas do iOS para corrigir vulnerabilidades exploradas pelo kit de exploração DarkSword. Esta decisão marca uma mudança na posição inicial da empresa: inicialmente, a Apple liberou atualizações apenas para dispositivos incompatíveis com o iOS 26, orientando usuários com hardware mais novo a atualizar para a versão mais recente do sistema operacional móvel. Agora, a empresa disponibilizou o iOS 18.7.7 para mais dispositivos, permitindo que usuários com atualizações automáticas ativadas recebam proteções importantes contra ataques web chamados DarkSword.
Os editores da SANS são enfáticos: “Se você tem qualquer dispositivo no iOS 18, atualize para 18.7.7. Isso é sério. Depois, substitua-os por dispositivos compatíveis com iOS 26.” A mudança na postura da Apple está provavelmente relacionada à seriedade dos recentemente descobertos kits de exploração DarkSword e Coruna. Para organizações com frotas de dispositivos móveis Apple, seja corporativos ou BYOD (Bring Your Own Device), é crucial garantir que estejam gerenciados por uma plataforma MDM (Mobile Device Management) para garantir atualizações oportunas.
Claude Code: Vazamento de Código-Fonte e Oportunismo Malicioso
Em 31 de março de 2026, a Anthropic acidentalmente publicou o código-fonte de sua ferramenta de linha de comando agentica Claude Code na versão 2.1.88 liberada no npm, devido à inclusão de um arquivo source map destinado a debugging. Embora a Anthropic tenha removido o pacote afetado em horas e esteja emitindo DMCA takedowns para cópias, a base de código – compreendendo mais de meio milhão de linhas – foi vazada, gerando análise de seu conteúdo e especulação sobre recursos não lançados que parece conter.
Aproveitando tanto o vazamento quanto a especulação, repositórios maliciosos no GitHub e pacotes vazios typosquatted no npm já estão aparecendo, imitando arquivos do Claude Code para atrair usuários buscando o código-fonte vazado. O Zscaler relata que os pacotes fraudulentos do GitHub afirmam ser um fork funcional com recursos “desbloqueados”, mas entregam o infostealer Vidar, o malware proxy GhostSocks e RATs (Remote Access Trojans). Notavelmente, este vazamento aconteceu simultaneamente ao ataque à cadeia de suprimentos do Axios npm, significando que usuários que baixaram ou atualizaram o Claude Code via npm entre 00:21 e 03:29 UTC em 31 de março podem ter recebido uma versão trojanizada do cliente Axios nas dependências do Claude Code.
Outras Notícias Relevantes da Semana
O Google propôs 2029 como novo prazo para migração para criptografia pós-quântica (PQC) e anunciou suporte adicional para o Module-Lattice-Based Digital Signature Algorithm (ML-DSA) no Android 17 beta. Dois white papers não revisados por pares publicados em março de 2026 sugerem que a criptografia de curva elíptica (ECC), implementada para criptomoedas entre outros usos, poderia ser quebrada por um computador quântico com recursos menores por ordens de magnitude do que teorizado anteriormente.
Uma estação de tratamento de água em Minot, Dakota do Norte, sofreu um ataque de ransomware que afetou seu servidor SCADA (Supervisory Control and Data Acquisition). Os funcionários reverteram para procedimentos manuais por aproximadamente 16 horas em meados de março de 2026. O ataque não afetou a segurança do abastecimento de água da cidade, mas destacou a vulnerabilidade de infraestrutura crítica.
O ESET revelou que 78% dos fabricantes do Reino Unido sofreram pelo menos um incidente de segurança cibernética no último ano, com mais da metade relatando perdas financeiras. Mais de 50% reportaram perdas superiores a £250.000, e quase 20% reportaram perdas acima de £1 milhão.
A Stryker, empresa de tecnologia médica, anunciou que está “totalmente operacional” após um ataque wiper no mês passado que apagou mais de 80.000 dispositivos. A Hasbro também divulgou um incidente de segurança cibernética em arquivamento na SEC, identificando acesso não autorizado à sua rede em 28 de março de 2026.
Recomendações Técnicas Imediatas
- Para Axios: Atualize imediatamente para versões corrigidas e remova o diretório node_modules/plain-crypto-js. Procure por IOCs em estações de trabalho de desenvolvedores, mesmo se o EDR não alertou.
- Para iOS: Atualize todos os dispositivos iOS 18 para 18.7.7 e planeje a substituição por hardware compatível com iOS 26.
- Para Claude Code: Verifique a legitimidade de cópias baixadas e procure por IOCs. Não execute código Claude Code vazado devido ao alto risco de backdoors.
- Para Chrome: Atualize para a versão 146.0.7680.177/178 (Windows/Mac) ou 146.0.7680.177 (Linux) para corrigir 21 vulnerabilidades, incluindo um zero-day ativamente explorado (CVE-2026-5281).
- Para Cisco: Aplique atualizações para nove vulnerabilidades, incluindo duas críticas no Cisco Smart Software Manager On-Prem (CVE-2026-20160) e Cisco Integrated Management Controller (CVE-2026-20093).
A convergência desses incidentes em uma única semana destaca a natureza interconectada das ameaças modernas, onde vulnerabilidades em cadeias de suprimentos de software, sistemas operacionais legados e ferramentas de desenvolvimento criam uma superfície de ataque exponencialmente complexa para as organizações gerenciarem.
Análise baseada no SANS NewsBites Vol. 28 Num. 25 (03/04/2026). Pesquisa e adaptação: N00TROP1C — NULLTROPIC, 2026.
Deixe um comentário