Em 11 de maio de 2026, um grupo de atacantes identificado como “TeamPCP” publicou 84 versoes maliciosas de 42 pacotes do ecossistema TanStack no npm. O TanStack e uma das familias de bibliotecas JavaScript mais populares do mundo, incluindo pacotes como TanStack Query (antigo React Query), TanStack Router e TanStack Table, usados por milhoes de projetos corporativos e open source.

O ataque explorou uma cadeia de tres vulnerabilidades no GitHub Actions: o padrao “Pwn Request” (via pull_request_target), envenenamento de cache entre forks e extracao de tokens OIDC da memoria do runner. O resultado foi acesso direto ao pipeline de publicacao no npm, permitindo que o atacante distribuisse pacotes trojanizados sem alterar o repositorio principal do projeto.

Como a OpenAI foi atingida

A OpenAI confirmou que dois dispositivos corporativos foram comprometidos em consequencia do incidente. Segundo comunicado oficial da empresa a Reuters, material limitado de credenciais foi exfiltrado de repositorios de codigo. Porem, nenhum dado de usuario, propriedade intelectual ou sistema de producao foi afetado.

A causa raiz especifica na cadeia da OpenAI foi uma misconfiguracao no workflow de GitHub Actions usado para assinar o aplicativo macOS do ChatGPT. A configuracao usava uma tag flutuante (@v3) em vez de um hash de commit especifico. Quando a tag foi comprometida, o pipeline da OpenAI puxou automaticamente o codigo malicioso durante o processo de build.

A resposta incluiu isolamento imediato dos sistemas afetados, restricao temporaria de workflows de deploy e revogacao de certificados de assinatura de codigo. Usuarios do ChatGPT Desktop, Codex e Atlas no macOS foram orientados a atualizar seus aplicativos.

Um padrao que se repete

O grupo TeamPCP, que assina seus ataques como “Mini Shai-Hulud”, e o mesmo responsavel pelo comprometimento da ferramenta Trivy e de pacotes da Mistral AI em marco de 2026, usando tecnica similar. O padrao e consistente: projetos open source confiados por milhares de empresas sao comprometidos via seus pipelines de CI/CD, nao via falhas no codigo-fonte em si.

Segundo analise publicada pela Wiz, o ataque ao TanStack foi o primeiro a combinar as tres tecnicas (Pwn Request, cache poisoning e OIDC extraction) em uma unica cadeia no ecossistema npm. A sofisticacao do vetor indica que ataques de supply chain estao evoluindo rapidamente, e que a confianca implicita em dependencias populares precisa ser revisada.

O npm hospeda mais de 2 milhoes de pacotes. A maioria dos projetos corporativos depende de centenas ou milhares deles. Cada dependencia e um vetor de ataque potencial se o pipeline de publicacao do mantenedor nao tiver protecoes adequadas.

O que times de DevOps devem fazer agora

• Fixar dependencias por hash, nunca por tag. Tags e branches sao mutaveis. Um uses: action@v3 pode apontar para codigo diferente amanha. Use o SHA completo do commit: uses: action@abc123def456.
• Auditar workflows que usam pull_request_target. Esse trigger executa o workflow com permissoes do repositorio base, mesmo para PRs vindos de forks. Se combinado com checkout do codigo do PR, abre uma porta direta para injecao de codigo malicioso.
• Monitorar pacotes com ferramentas de SCA. Solucoes como Snyk, Socket.dev ou Dependabot alertam quando versoes suspeitas sao publicadas. O TanStack comprometido foi detectado em menos de seis horas, mas apenas por equipes que tinham monitoramento ativo.
• Revisar permissoes de tokens OIDC. Se seus workflows emitem tokens OIDC para autenticacao com servicos cloud (AWS, Azure, GCP), valide que o escopo segue o principio de privilegio minimo.

O que observar daqui

Ataques de supply chain se tornaram o vetor preferido de grupos sofisticados porque oferecem alcance massivo com esforco concentrado. Comprometer uma dependencia popular atinge todos que a consomem, de startups a gigantes como a OpenAI.

Para empresas que operam pipelines de CI/CD em ambientes criticos, a mensagem e clara: a seguranca da cadeia de dependencias precisa ser parte do checklist basico, ao lado de testes automatizados e controle de acesso. Auditar workflows de GitHub Actions, fixar versoes por hash e monitorar pacotes com SCA nao sao praticas avancadas. Sao o minimo necessario para nao ser a proxima vitima de um incidente como este.

Fontes

• OpenAI Says No User Data Breached After Security Issue With Open-Source Library
• Postmortem: TanStack npm supply-chain compromise
• Mini Shai-Hulud Strikes Again: TanStack + more npm Packages Compromised

The post Ataque supply chain ao TanStack npm expoe riscos em pipelines appeared first on Audaz Tecnologia.

Um relatorio da empresa de ciberseguranca ReliaQuest, baseado em analise de incidentes reais com clientes, revelou numeros que mudam a equacao da defesa cibernetica. Em 2025, o tempo medio para inicio de um ataque caiu para 34 minutos — 29% mais rapido que no ano anterior. Mas o dado mais alarmante e o menor tempo registrado: apenas 4 minutos entre o comprometimento inicial e o inicio da movimentacao lateral.

Para contextualizar: o tempo medio que uma equipe de SOC leva para triar um alerta e entre 20 e 40 minutos. Quando o atacante ja esta dentro em 4 minutos, a janela de resposta manual praticamente nao existe.

Como a IA acelerou os atacantes

A inteligencia artificial nao apenas automatizou fases do ataque — ela comprimiu a cadeia inteira. O relatorio identifica tres vetores principais:

• Reconhecimento automatizado: IAs generativas fazem varredura de perfis em redes sociais, sites corporativos e bases de dados publicas para selecionar alvos com precisao
• Engenharia social aprimorada: roteiros de phishing gerados por IA sao mais convincentes e personalizados — 59% dos ataques do tipo ClickFix ja envolvem distribuicao de malware assistida por IA
• Automacao de exploits: 80% dos grupos de ransomware utilizam ferramentas de IA para identificar e explorar vulnerabilidades com velocidade que antes exigia equipes especializadas

O resultado e um cenario onde atacantes operam com eficiencia industrial, enquanto muitas equipes de defesa ainda dependem de processos manuais e analise humana para cada alerta.

O que precisa mudar na defesa

Se o ataque leva 4 minutos, a deteccao e resposta precisam acontecer em menos. Isso exige mudancas estruturais:

• Automacao na resposta a incidentes: playbooks automatizados que isolam hosts comprometidos, bloqueiam IPs e revogam credenciais sem esperar intervencao humana. Ferramentas como Wazuh permitem configurar respostas ativas que executam em segundos
• Deteccao baseada em comportamento: assinaturas de malware sao facilmente mutadas por IA. Deteccao por anomalia de comportamento — logins em horarios atipicos, movimentacao lateral anomala, escalonamento de privilegios — e mais resiliente
• Segmentacao de rede real: nao basta ter VLANs no papel. Politicas de microssegmentacao efetivas limitam o raio de explosao mesmo quando o atacante entra. Firewalls internos e zero-trust reduzem o valor de cada comprometimento individual
• Teste de tempo de resposta: exercicios de red team e tabletop nao devem medir apenas se a equipe detecta — mas em quanto tempo. Se a deteccao leva mais de 15 minutos, o processo precisa ser revisado

IA tambem na defesa

A mesma tecnologia que acelera os atacantes pode ser aliada da defesa. Correlacao de alertas por IA reduz o volume de falsos positivos e prioriza os incidentes que realmente importam. Analise preditiva de ameacas pode identificar padroes de ataque antes do comprometimento. Mas a adocao ainda e desigual: enquanto 80% dos grupos de ransomware ja usam IA ofensiva, muitas equipes de seguranca corporativa ainda estao avaliando pilotos.

O que observar daqui

A tendencia e irreversivel: o custo de executar ataques sofisticados esta caindo, e a velocidade esta subindo. Empresas que dependem exclusivamente de resposta humana a alertas de seguranca estao operando com uma desvantagem estrutural. A prioridade para 2026 e clara: automatizar o maximo possivel da cadeia de deteccao e resposta, reservando a analise humana para decisoes estrategicas e investigacoes complexas. O tempo de reacao ja nao e mais medido em horas — e em minutos.

Fontes

• Hackers a jato: IA reduz tempo de ataque digital para apenas 4 minutos — Canaltech
• AI accelerates attack breakout — Infosecurity Magazine

The post IA reduziu o tempo de ataque para 4 minutos: o que sua equipe precisa mudar appeared first on Audaz Tecnologia.

Existe uma frase recorrente em reunioes de TI: “Estamos protegidos, temos backup”. Na pratica, essa confianca pode ser fatal. Analise recente publicada pelo The Hacker News alerta que estrategias tradicionais de backup estao se mostrando insuficientes contra as tecnicas atuais de ransomware — e o motivo e mais simples do que parece: os atacantes sabem que voce tem backup, e atacam ele primeiro.

Grupos modernos de ransomware comprometem os sistemas de backup ja nos primeiros dias de permanencia na rede, frequentemente em torno do decimo dia apos o acesso inicial. Quando a encriptacao massiva acontece, a vitima descobre que seus snapshots estao corrompidos, suas replicas foram apagadas e seus RPOs e RTOs se tornam inalcancaveis.

Dupla extorsao: criptografar nao basta mais

O modelo de negocio do ransomware evoluiu. A dupla extorsao combina duas pressoes simultaneas:

• Criptografia dos dados: o ataque classico que torna os sistemas indisponiveis.
• Exfiltracao previa: antes de criptografar, os atacantes copiam dados sensiveis para servidores externos. Mesmo que a empresa restaure tudo a partir do backup, os dados ja vazaram.

Isso significa que restaurar o backup nao resolve o problema completo. A empresa evita o downtime, mas ainda enfrenta o risco regulatorio e reputacional do vazamento. Para organizacoes sujeitas a LGPD, o cenario exige notificacao a ANPD e aos titulares afetados — independentemente de ter restaurado os sistemas.

Onde as estrategias tradicionais falham

A maioria das empresas de medio porte no Brasil opera com uma combinacao de backup em disco local, replicacao para um servidor secundario e, no melhor caso, uma copia em nuvem. Essa arquitetura tem tres pontos frageis criticos:

1. Credenciais compartilhadas: se o backup usa as mesmas credenciais de dominio que o restante da rede, o atacante com privilegio de dominio apaga tudo com um unico comando.
2. Backups conectados a rede: um share SMB montado permanentemente no servidor de backup e tao vulneravel quanto qualquer outro volume quando o ransomware se propaga lateralmente.
3. Backups nao testados: pesquisas do setor indicam que uma parcela significativa das empresas nunca realizou um teste completo de restauracao. O backup existe no papel, mas falha quando e acionado de verdade.

Checklist pratico: o que mudar hoje

A defesa contra ransomware moderno exige repensar o backup como parte de uma estrategia integrada de resiliencia, nao como recurso isolado. Aqui esta o que times de infraestrutura devem priorizar:

• Backups imutaveis: armazenamento onde os dados gravados nao podem ser alterados ou excluidos durante um periodo definido (WORM — Write Once, Read Many). Servicos de object storage com politica de imutabilidade (como S3 Object Lock ou equivalentes em OCI) garantem que mesmo um administrador comprometido nao consiga apagar os snapshots.
• Copia air-gapped: pelo menos uma copia de backup deve estar fisicamente desconectada da rede. Fitas LTO em cofre, discos removiveis armazenados offline ou replicacao para um ambiente com credenciais totalmente independentes.
• Regra 3-2-1-1-0: tres copias dos dados, em dois tipos de midia diferentes, uma fora do site, uma imutavel ou offline, com zero erros verificados no ultimo teste de restauracao.
• Testes regulares de restauracao: agende restauracoes completas trimestrais em ambiente isolado. Valide o tempo real de recuperacao contra o RTO contratado. Se a restauracao leva 48 horas e o RTO prometido e 4 horas, ha um problema que precisa ser resolvido antes do incidente.
• Deteccao comportamental: monitorar padroes anomalos de acesso a arquivos — criptografia massiva, renomeacao em lote, exclusao de shadow copies — com ferramentas de deteccao de intrusao e monitoramento de integridade de arquivos. Quanto antes a atividade de ransomware e detectada, menor o volume de dados comprometidos.
• Segmentacao de credenciais: o sistema de backup deve operar com contas de servico dedicadas, sem relacao com o Active Directory principal. Autenticacao multifator no console de gerenciamento do backup e obrigatoria.

O backup e necessario, mas nao e suficiente

Nenhuma dessas medidas substitui as camadas anteriores de defesa: patching em dia, segmentacao de rede, privilegio minimo, monitoramento continuo. O backup e a ultima linha, nao a unica. O erro mais comum e trata-lo como seguro de vida sem verificar se a apolice esta em dia.

Para equipes de TI que operam ambientes criticos, a pergunta nao e “temos backup?”, mas sim: “nosso backup sobrevive a um adversario que sabe que temos backup e veio preparado para destrui-lo?”. Se a resposta nao for um sim confiante e verificado, e hora de revisar a estrategia antes que o proximo incidente faca isso por voce.

Fontes

• Why Your Backups Might Not Save You When Ransomware Hits
• CISA Known Exploited Vulnerabilities Catalog

The post Por que seus backups podem falhar contra ransomware moderno appeared first on Audaz Tecnologia.

Como os golpes tem sido feitos

Dois tipos de golpes têm sido mais comuns:

1. Alteração fraudulenta do quadro societário
   Os golpistas acessam indevidamente a conta Gov.br de uma empresa, alteram o quadro societário e abrem uma nova conta bancária em nome da empresa, se passando por representantes legais.
2. Compra de empresas para fraudes financeiras
   Neste caso, os criminosos adquirem empresas que já possuem limites de crédito aprovados. Após a compra, realizam alterações no quadro societário junto à Junta Comercial, atualizam dados cadastrais, substituem sócios e operadores legais, contratam empréstimos e realizam o saque dos valores (cash out), deixando dívidas e prejuízos para trás.

Em ambas as situações, os fraudadores utilizam contratos com assinatura digital através do Gov.br, o que reforça a necessidade de atenção máxima ao monitoramento de acessos e dados associados à sua conta.

Como se proteger destes golpes no Gov.br

Para evitar surpresas desagradáveis, aqui vão algumas dicas essenciais de segurança:

• Habilite o login com biometria e autenticação em dois fatores (2FA)
  Isso adiciona uma camada extra de proteção contra acessos não autorizados.
• Limite o uso a dispositivos confiáveis
  No próprio app do Gov.br, você pode configurar quais aparelhos têm permissão para acessar sua conta.
• Monitore regularmente as informações cadastradas
  Verifique com frequência se houve alguma alteração estranha nos dados da sua conta ou empresa.
• Desconfie de links suspeitos
  Evite clicar em mensagens ou e-mails que pedem dados pessoais, senhas ou redirecionam para sites desconhecidos.
• Atualize sua senha com frequência
  E lembre-se de criar combinações fortes, únicas e diferentes para cada serviço online.

Essas opções de segurança podem ser ativadas diretamente no aplicativo Gov.br, na aba “Segurança da Conta”, no menu principal.

Ficar atento é a melhor forma de se proteger. Se perceber qualquer movimentação suspeita ou alteração nos dados da sua empresa, entre em contato com seus canais oficiais e tome providências rapidamente.

Ficou com dúvidas ou quer saber mais?

Deixe um comentário ou entre em contato com um especialista em segurança digital.

The post Alerta de Segurança: Golpes Envolvendo a Plataforma Gov.br appeared first on Audaz Tecnologia.