uma fraqueza no subsistema de controle de tráfego pode dar root a usuários locais sem privilégios; o CVE-2026-46331 já tem exploit público e afeta RHEL, Debian e Ubuntu.

Grupo mira governos e infraestrutura crítica no Sudeste Asiático com backdoor sob medida para roubar dados, executar comandos e ocultar rastros, explorando servidores e redes em ao menos 10 organizações.

Pesquisadores identificaram pacotes npm e Go adulterados que usavam tarefas do VS Code para instalar um infostealer em Windows, Linux e macOS, roubando credenciais, carteiras e dados de desenvolvedores.

A operadora japonesa informou que invasores acessaram um sistema de e-mail usado por cinco ISPs e podem ter obtido endereços e senhas de até 14,22 milhões de clientes após explorar falha em software terceirizado.

Brecha em assistente da Amazon permitia executar comandos via repositório malicioso e roubar credenciais na nuvem; a correção já foi liberada.

A plataforma apagou mais de 57 mil episódios e não comunicou às autoridades, segundo relatório que aponta falha de moderação ao conter anúncios de farmácias online que vendiam opioides sem receita.

A empresa liberou Sol, Terra e Luna em prévia restrita, com foco em defesa, pesquisa de vulnerabilidades e proteção reforçada contra uso abusivo, enquanto monitora riscos de dupla utilização.

Uma ferramenta de programação automatizada pode abrir uma shell maliciosa ao executar um repositório aparentemente limpo, expondo variáveis de ambiente, chaves de API e arquivos locais sem levantar suspeitas.

A empresa removeu 119 extensões maliciosas da Edge Add-ons que escondiam código em imagens e fontes para roubar credenciais, fraudar anúncios e atingir até 2,6 milhões de usuários.

Justiça dos EUA derrubou sites que transmitiam jogos da Copa sem autorização, em operação global que também mirou servidores na América do Sul e na Europa, com alerta sobre malware e conexões inseguras.

O golpe usa ZIP com fotos e instala TonRAT em máquinas da recepção, mascarando mensagens como Booking Manager e abusando de Calendly e Google para burlar filtros.

Pesquisadores do Citizen Lab apontam que autoridades acessaram o iPhone do ativista Andrey Pivovarov em 2021, apesar da promessa da empresa de cortar vendas ao país; o laudo cita buscas por opositores.

Quatro suspeitos foram presos por invadir contas e explorar SIM swapping para roubar milhões de dólares em criptoativos, com lavagem por rede financeira distribuída.

golpistas usam recibos falsos no app da Shopify para enganar vítimas, obter credenciais e códigos OTP, ou induzi-las a instalar software de acesso remoto. A orientação é não ligar e confirmar cobranças com o banco.

A empresa prorrogou em silêncio até 12 de outubro de 2027 as atualizações de segurança gratuitas para consumidores, dando mais tempo para migrar ao Windows 11 sem deixar PCs pessoais desprotegidos.

Uma análise revelou que o bloqueador Adblock for YouTube pode executar JavaScript arbitrário e acessar páginas em todos os sites, elevando o risco de vazamento de dados e abuso de sessões.

A plataforma ganhou BitM, quase 70 novos domínios e filtros anti-análise para roubar credenciais com mais precisão em sessões falsas, elevando o risco de invasão de contas e BEC.

Hackers exploraram a CVE-2026-20245 em zero-day para ganhar root, criar conta clandestina e apagar rastros em dispositivos Cisco Catalyst SD-WAN, segundo a Mandiant.

malware tenta burlar IA de análise com mensagens falsas, rouba dados de navegadores e do Keychain, e usa Telegram como C2; investigadores atribuem a ação a threat actors alinhados à Coreia do Norte.

Nathan Austad, o “Snoopy”, pegou 18 meses por invadir 60 mil contas, adicionar meios de pagamento e desviar US$ 600 mil; ele ainda terá de pagar multa e ressarcir mais de US$ 1,3 milhão.