BolhaSec News #42 - 30/03/2025 a 05/04/2025

O que tem nessa edição?

Além do tradicional formato com ~4 resumos das notícias de segurança mais interessantes da semana, adicionei a seção Dump com menções a notícias que achei interessantezinha, mas não o suficiente para terem seus resumos na seção principal.

Vários pacotes NPM de crypto hackeados: Vários pacotes NPM relacionados a blockchain foram hackeados e agora estão entregando malwares infostealers. A lista inclui pacotes com mais de 9 anos de idade e que não recebiam atualizações há anos. Somados, esses pacotes tiveram +500,000 downloads ao longo dos anos. Pesquisadores da Sonatype acreditam contas antigas de mantenedores foram comprometidas, provavelmente através credential stuffing. [securityweek]

De LLM jailbreaking a 1-click session hijacking: Alguns dias atrás escrevi um blog sobre uma vulnerabilidade interessante que encontrei em um novo produto de uma startup de brasileiros bem famosa e amada pelos seus usuários tech. A parte interessante é como um LLM jailbreaking pode levar a um self XSS, pra um stored XSS e posteriormenta para um session hijacking. [devto]

Hacker vaza dados de clientes da Samsung: Hacker vaza 270.000 tickets de clientes supostamente extraídos de um portal de suporte ao cliente da Samsung Alemanha, usando credenciais comprometidas há muito tempo. Aparentemente, as credenciais usadas no ataque foram vazadas em 2021 e nunca foram rotacionadas [securityweek]

“Camelgate”, ou como a Cloudflare bloqueou todos os pacotes NPM com o termo camel: Essa semana, vi um tweet engraçado do @bmacabeus: "Cloudflare bloqueou todos os pacotes NPM que tenham camel no nome”. Interessante, não? Acontece que o bloqueio foi real e foi causado por uma regra nova adicionada no WAF da CF contra tentativas de exploração do CVE-2025-29891 (Apache Camel - Remote Code Execution) 🫠. Depois de ter causado uma tarde de folga para vários devs que tiveram seus pipelines quebrados, a CF desativou a regra e tudo foi resolvido ♥️. [twitter] [github] [ycombinator] [cloudflare]

Novela do Vazamento da Oracle: Nas últimas edições da newsletter, comentamos sobre a novela que está a situação do vazamento da Oracle. Um lado dizia que houve vazamento e o outro dizia que não houve. Agora parecem ter entrado em consenso, apesar de não oficialmente. De acordo com o SecurityWeek, agora existem vários relatórios independentes da Oracle notificando privadamente clientes afetados e confirmando que ocorreu uma violação de dados. Agora, o FBI e a CrowdStrike estão investigando o incidente, mas ainda não houve atualização sobre o posicionamento da Oracle 🤷‍♂️ [securityweek]

Dump

• Why You Should Track Down Expired Domain Names [darkreading]

• 20,000 Hacked WordPress Sites Used in Redirect Scheme [darkreading]

• Former NFL, Michigan Assistant Coach Matt Weiss Charged With Hacking for Athletes' Intimate Photos [securityweek]

• We hacked Google’s A.I Gemini and leaked its source code (at least some part) [blog]

Para acompanhar as notícias em tempo real, temos grupo no Telegram e conta no BlueSky e no Threads, onde as nóticias são postadas todos os dias, assim que são lançadas. Links ⬇️

• Telegram #bolhasec news

• Bolhasec no Bluesky

• Bolhasec no Threads