Resumo Semanal de Cibersegurança — 25 a 29 de Maio de 2026

Bem-vindos ao resumo semanal de cibersegurança da Desliga. Esta semana foi marcada por incidentes de grande impacto, novas vulnerabilidades críticas e tendências que reforçam a necessidade de vigilância constante no mundo digital. Confira os principais destaques de 25 a 29 de maio de 2026.

🔴 Incidentes e Ataques de Destaque

GitHub: 3.800 Repositórios Internos Comprometidos

O GitHub confirmou oficialmente que invasores comprometeram cerca de 3.800 repositórios internos através de uma versão adulterada da extensão Nx Console para o Visual Studio Code. A extensão foi envenenada num ataque à cadeia de suprimentos npm do TanStack, comprometendo o dispositivo de um funcionário. O incidente é um alerta crítico sobre os riscos de extensões de terceiros em ambientes de desenvolvimento corporativo.

Microsoft Derruba Serviço de Assinatura de Malware (MSaaS)

A Microsoft desmantelou uma operação criminosa denominada Malware-Signing-as-a-Service (MSaaS), atribuída ao grupo Fox Tempest. Os atacantes exploravam o sistema legítimo de Artifact Signing da Microsoft para assinar digitalmente código malicioso, conferindo aparência legítima ao malware e facilitando a distribuição de ransomware. A operação comprometeu milhares de máquinas em todo o mundo antes de ser interrompida.

CISA: Credenciais AWS GovCloud Expostas no GitHub

Um contratado da Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) manteve publicamente um repositório no GitHub que expôs credenciais de contas AWS GovCloud com altos privilégios, além de informações de acesso a sistemas internos da agência. Especialistas classificaram o incidente como um dos vazamentos de dados governamentais mais graves dos últimos tempos.

🛡️ Vulnerabilidades Críticas da Semana

• Microsoft Defender (CVE-2026-41091, CVSS 7.8): Duas zero-days ativamente exploradas — uma de escalação de privilégios até SYSTEM e outra de negação de serviço. Patches já disponíveis.

• Kernel Linux (CVE-2026-46333, CVSS 5.5): Falha de 9 anos que permite a utilizadores locais sem privilégios executar comandos como root em distribuições Linux populares.

• Cisco Secure Workload (Severidade Máxima): Vulnerabilidade crítica que permite a atacantes obter privilégios de Site Admin. Atualização imediata recomendada.

• Drupal Core (CVE-2026-9082, CVSS 6.5): Falha altamente crítica na API de base de dados que permite execução remota de código (RCE) em sites com PostgreSQL.

• Google Chromium (Zero-Day não corrigida): O Google expôs acidentalmente detalhes de uma falha que permite execução de JavaScript em segundo plano após fechar o browser, possibilitando RCE.

🌐 Ameaças Persistentes e Espionagem

Hackers Chineses Visam Telecomunicações com Novos Malwares

Uma campanha de ciber-espionagem atribuída a agentes chineses está a atacar provedores de telecomunicações com dois novos malwares: Showboat (Linux) e JFMBackdoor (Windows). O Showboat é um framework modular de pós-exploração capaz de abrir shells remotas, transferir ficheiros e operar como proxy SOCKS5, mantendo acesso persistente e encoberto.

Grupo Webworm Usa Discord e Microsoft Graph API como C2

O grupo de ameaça alinhado à China Webworm está a implantar backdoors personalizados (EchoCreep e GraphWorm) que utilizam o Discord e a Microsoft Graph API como canais de comando e controlo (C2). Esta técnica dificulta a deteção, pois o tráfego malicioso se mistura com comunicações corporativas legítimas.

📊 Tendências e Relatórios da Semana

Verizon DBIR 2026: Exploração de Vulnerabilidades Supera Roubo de Credenciais

O relatório anual Verizon Data Breach Investigations Report (DBIR) 2026 aponta uma virada estatística histórica: pela primeira vez, a exploração de vulnerabilidades superou o roubo de credenciais como principal vetor de acesso inicial. Este dado reforça a urgência de programas robustos de gestão de patches e atualização de sistemas.

Ransomware: Mais de 120 Grupos Ativos e Impacto Corporativo Crescente

A Europol reporta mais de 120 grupos de ransomware ativos, com ataques a causar impactos corporativos concretos: a Marks & Spencer cancelou bónus de 63.000 funcionários após um ataque, e as ações da Hasbro caíram 7,5%. O grupo ShinyHunters expandiu as suas operações, com novas vítimas de alto perfil como Vimeo, Udemy e Medtronic.

IA na Cibersegurança: Ferramenta de Defesa e Arma de Ataque

A Microsoft lançou as ferramentas open-source RAMPART e Clarity para testar a segurança de agentes de IA. Em paralelo, o WEF Global Cybersecurity Outlook 2026 alerta que a IA está a acelerar tanto a defesa como o crime, com ataques mais rápidos, complexos e desigualmente distribuídos a nível global.

🚔 Ações das Autoridades

• Derrubada do 'First VPN': Operação internacional encerrou o serviço de VPN utilizado por cibercriminosos para conduzir ataques de ransomware e roubo de dados.

• Ucrânia identifica operador de infostealer: Em cooperação com os EUA, a Ciberpolícia ucraniana identificou um jovem de 18 anos responsável pelo roubo de 28.000 contas de utilizadores de uma loja online californiana.

• Apple bloqueou +$11 mil milhões em fraudes: Em 6 anos de operação, a Apple impediu mais de 11 mil milhões de dólares em transações fraudulentas na App Store, incluindo 2,2 mil milhões só em 2025.

💡 Recomendações da Semana

1. Aplique imediatamente os patches do Microsoft Defender, Cisco Secure Workload e Drupal Core.

2. Reveja as extensões instaladas no VS Code e outros IDEs — remova as que não são estritamente necessárias.

3. Audite repositórios GitHub da sua organização para garantir que não existem credenciais ou segredos expostos.

4. Implemente gestão rigorosa de identidades e credenciais em ambientes cloud — uma única chave exposta pode comprometer toda a infraestrutura.

5. Mantenha sistemas Linux atualizados — a falha de 9 anos no kernel afeta configurações padrão de múltiplas distribuições.

Fique atento, mantenha os seus sistemas atualizados e partilhe este resumo com a sua equipa. A cibersegurança é uma responsabilidade coletiva.

— Equipa Desliga | Associação de Cibersegurança