📰 Informação fresquinha chegando para você!
Confira agora e compartilhe com seus amigos!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Os hackers estão explorando uma vulnerabilidade crÃtica no notebook Python reativo Marimo para implantar uma nova variante do malware NKAbuse hospedado no Hugging Face Spaces.
Os ataques que aproveitaram a falha de execução remota de código (CVE-2026-39987) começaram na semana passada para roubo de credenciais, menos de 10 horas depois que os detalhes técnicos foram divulgados publicamente, de acordo com dados da empresa de segurança em nuvem Sysdig.
Os pesquisadores da Sysdig continuaram monitorando as atividades relacionadas ao problema de segurança e identificaram ataques adicionais, incluindo uma campanha iniciada em 12 de abril que abusa da plataforma Hugging Face Spaces para exibir aplicativos de IA.
Hugging Face serve como uma plataforma focada em desenvolvimento de IA e aprendizado de máquina, atuando como um centro para ativos de IA, como modelos, conjuntos de dados, código e ferramentas, compartilhados entre a comunidade.
Hugging Face Spaces permite que os usuários implantem e compartilhem aplicativos da web interativos diretamente de um repositório Git, normalmente para demonstrações, ferramentas ou experimentos em torno de IA.
Nos ataques observados por Sysdig, o invasor criou um espaço chamado vsccode-modetx (um typosquat intencional para VS Code) que hospeda um script dropper (install-linux.sh) e um binário de malware com o nome kagent, também uma tentativa de imitar uma ferramenta legÃtima de agente de IA do Kubernetes.
Depois de explorar o Marimo RCE, o agente da ameaça executou um comando curl para baixar o script do Hugging Face e executá-lo. Como o Hugging Face Spaces é um endpoint HTTPS legÃtimo com uma reputação limpa, é menos provável que acione alertas.
O script dropper baixa o binário kagent, instala-o localmente e configura a persistência via systemd, cron ou macOS LaunchAgent.
De acordo com os pesquisadores, a carga útil é uma variante anteriormente não documentada do malware focado em DDoS NKAbuse. Os pesquisadores da Kaspersky relataram o malware no final de 2023 e destacaram seu novo abuso da tecnologia de rede ponto a ponto descentralizada NKN (New Kind of Network) para troca de dados.
Sysdig diz que a nova variante funciona como um trojan de acesso remoto que pode executar comandos shell no sistema infectado e enviar a saÃda de volta ao operador.
“O binário faz referência ao protocolo de cliente NKN, WebRTC/ICE/STUN para travessia NAT, gerenciamento de proxy e manipulação de comandos estruturados – correspondendo à famÃlia NKAbuse inicialmente documentada pela Kaspersky em dezembro de 2023”, menciona Sysdig no relatório.
Fonte: Sysdig
A Sysdig também detectou outros ataques notáveis explorando o CVE-2026-39987, incluindo um operador baseado na Alemanha que tentou 15 técnicas de shell reverso em múltiplas portas.
Eles então passaram para o movimento lateral extraindo credenciais de banco de dados de variáveis de ambiente e conectando-se ao PostgreSQL, onde enumeraram rapidamente esquemas, tabelas e dados de configuração.
Outro ator de Hong Kong usou credenciais .env roubadas para atingir um servidor Redis, verificando sistematicamente todos os 16 bancos de dados e despejando dados armazenados, incluindo tokens de sessão e entradas de cache de aplicativos.
Fonte: Sysdig
A conclusão geral é que a exploração do CVE-2026-39987 em estado selvagem aumentou em volume e táticas, e é crucial que os usuários atualizem para a versão 0.23.0 ou posterior imediatamente.
Se a atualização não for possÃvel, é recomendado bloquear o acesso externo ao endpoint ‘/terminal/ws’ através de um firewall ou bloqueá-lo totalmente.
Pentesting automatizado cobre apenas 1 de 6 superfÃcies.
O pentesting automatizado prova que o caminho existe. O BAS prova se seus controles o impedem. A maioria das equipes executa uma sem a outra. Este whitepaper mapeia seis superfÃcies de validação, mostra onde termina a cobertura e fornece aos profissionais três perguntas de diagnóstico para qualquer avaliação de ferramenta.
Obtenha sua cópia agora
Os ataques que aproveitaram a falha de execução remota de código (CVE-2026-39987) começaram na semana passada para roubo de credenciais, menos de 10 horas depois que os detalhes técnicos foram divulgados publicamente, de acordo com dados da empresa de segurança em nuvem Sysdig.
Os pesquisadores da Sysdig continuaram monitorando as atividades relacionadas ao problema de segurança e identificaram ataques adicionais, incluindo uma campanha iniciada em 12 de abril que abusa da plataforma Hugging Face Spaces para exibir aplicativos de IA.
Hugging Face serve como uma plataforma focada em desenvolvimento de IA e aprendizado de máquina, atuando como um centro para ativos de IA, como modelos, conjuntos de dados, código e ferramentas, compartilhados entre a comunidade.
Hugging Face Spaces permite que os usuários implantem e compartilhem aplicativos da web interativos diretamente de um repositório Git, normalmente para demonstrações, ferramentas ou experimentos em torno de IA.
Nos ataques observados por Sysdig, o invasor criou um espaço chamado vsccode-modetx (um typosquat intencional para VS Code) que hospeda um script dropper (install-linux.sh) e um binário de malware com o nome kagent, também uma tentativa de imitar uma ferramenta legÃtima de agente de IA do Kubernetes.
Depois de explorar o Marimo RCE, o agente da ameaça executou um comando curl para baixar o script do Hugging Face e executá-lo. Como o Hugging Face Spaces é um endpoint HTTPS legÃtimo com uma reputação limpa, é menos provável que acione alertas.
O script dropper baixa o binário kagent, instala-o localmente e configura a persistência via systemd, cron ou macOS LaunchAgent.
De acordo com os pesquisadores, a carga útil é uma variante anteriormente não documentada do malware focado em DDoS NKAbuse. Os pesquisadores da Kaspersky relataram o malware no final de 2023 e destacaram seu novo abuso da tecnologia de rede ponto a ponto descentralizada NKN (New Kind of Network) para troca de dados.
Sysdig diz que a nova variante funciona como um trojan de acesso remoto que pode executar comandos shell no sistema infectado e enviar a saÃda de volta ao operador.
“O binário faz referência ao protocolo de cliente NKN, WebRTC/ICE/STUN para travessia NAT, gerenciamento de proxy e manipulação de comandos estruturados – correspondendo à famÃlia NKAbuse inicialmente documentada pela Kaspersky em dezembro de 2023”, menciona Sysdig no relatório.
Fonte: Sysdig
A Sysdig também detectou outros ataques notáveis explorando o CVE-2026-39987, incluindo um operador baseado na Alemanha que tentou 15 técnicas de shell reverso em múltiplas portas.
Eles então passaram para o movimento lateral extraindo credenciais de banco de dados de variáveis de ambiente e conectando-se ao PostgreSQL, onde enumeraram rapidamente esquemas, tabelas e dados de configuração.
Outro ator de Hong Kong usou credenciais .env roubadas para atingir um servidor Redis, verificando sistematicamente todos os 16 bancos de dados e despejando dados armazenados, incluindo tokens de sessão e entradas de cache de aplicativos.
Fonte: Sysdig
A conclusão geral é que a exploração do CVE-2026-39987 em estado selvagem aumentou em volume e táticas, e é crucial que os usuários atualizem para a versão 0.23.0 ou posterior imediatamente.
Se a atualização não for possÃvel, é recomendado bloquear o acesso externo ao endpoint ‘/terminal/ws’ através de um firewall ou bloqueá-lo totalmente.
Pentesting automatizado cobre apenas 1 de 6 superfÃcies.
O pentesting automatizado prova que o caminho existe. O BAS prova se seus controles o impedem. A maioria das equipes executa uma sem a outra. Este whitepaper mapeia seis superfÃcies de validação, mostra onde termina a cobertura e fornece aos profissionais três perguntas de diagnóstico para qualquer avaliação de ferramenta.
Obtenha sua cópia agora
#samirnews #samir #news #boletimtec #hackers #exploram #falha #do #marimo #para #implantar #malware #nkabuse #do #hugging #face
🔔 Siga-nos para não perder nenhuma atualização!
Postar um comentário