Multa recorde para a Coupang, violação de usuários do Claude Code e outros eventos de cibersegurança - ForkLog

# Recorde de multa para Coupang, invasão de usuários do Claude Code e outros eventos de cibersegurança

Reunimos as notícias mais importantes do mundo da cibersegurança da semana.

• A Microsoft desativou dezenas de repositórios no GitHub após ataque a usuários do Claude Code.
• Hackers ativistas atacaram usuários da Ucrânia usando uma vulnerabilidade no WinRAR.
• OpenClaw falhou em testes de phishing.
• Um pesquisador insatisfeito continuou a "guerra" com a Microsoft após patches de vulnerabilidades anteriores.

Microsoft desativou dezenas de repositórios no GitHub após ataque a usuários do Claude Code

A Microsoft temporariamente fechou o acesso a dezenas de seus repositórios de código aberto no GitHub após a introdução de malware no código. A campanha de hackers Miasma foi reportada por analistas da Cloudsmith e OpenSourceMalware.

Pelo menos 70 projetos foram afetados, muitos relacionados à plataforma Azure. São repositórios com ferramentas usadas por desenvolvedores em aplicações de IA, incluindo Claude Code, Gemini CLI e VS Code.

Segundo especialistas, o malware tinha como alvo roubar senhas e outras credenciais sensíveis. Ele era ativado quando os usuários abriam ferramentas comprometidas.

A Cloudsmith recomendou medidas de proteção:

• trocar imediatamente chaves SSH, tokens do GitHub, senhas de serviços na nuvem (Azure/GCP) e acessos a sistemas de build automatizado;
• procurar processos ocultos nos editores de código (VS Code), utilitários de IA não autorizados e novas pastas (repositórios) desconhecidas na conta do GitHub da empresa;
• no futuro, evitar baixar atualizações de bibliotecas de terceiros da internet. Criar uma lista de programas permitidos e monitorá-los.

Ben Hope, representante da Microsoft, afirmou em comentário ao TechCrunch que a empresa removeu temporariamente alguns repositórios para verificar conteúdo potencialmente malicioso. Alguns já foram restaurados.

Hackers ativistas atacaram usuários da Ucrânia usando uma vulnerabilidade no WinRAR

Hackers dos grupos SHADOW-EARTH-066 (UAC-0226) e Gamaredon atacaram agências governamentais ucranianas usando uma vulnerabilidade no arquivador WinRAR. Informaram pesquisadores da Trend Micro e Sekoia.

A falha de bypass de diretórios permite que hackers, ao descompactar um arquivo, salvem silenciosamente arquivos maliciosos fora da pasta de destino — diretamente na inicialização automática.

Exemplo de documento de isca, usado para criar sensação de urgência e obrigar a interação. Fonte: Trend Micro Segundo especialistas, as cadeias de infecção funcionam assim:

• SHADOW-EARTH-066. Usa arquivos compactados com PDFs falsos para instalação oculta do infostealer GIFTEDCROOK. O programa rouba senhas de navegadores e documentos-alvo. Notavelmente, devido às bloqueios na Rússia, os hackers deixaram de usar Telegram para exfiltração de dados, migrando para seus próprios servidores;
• Gamaredon. Grupo ligado ao FSB, usa exploits em escala industrial. Seus ataques em várias etapas incluem carregadores que entregam o cavalo de Troia GammaWorm (distribuído via USB infectado) e o stealer GammaSteel (faz upload de arquivos roubados para a nuvem AWS).

Especialistas destacam que a integração profunda da versão não atualizada do WinRAR na rotina das organizações na Ucrânia faz dele um ponto de entrada ideal para campanhas de hackers.

OpenClaw falhou em testes de phishing

Pesquisadores da Varonis testaram o OpenClaw como agente de IA para lidar com e-mails e concluíram que o sistema é vulnerável a técnicas usadas contra pessoas.

No experimento, simularam quatro ataques de phishing e testaram o comportamento do agente em duas configurações. Para os testes, conectaram o OpenClaw ao Gmail, ferramentas de navegador, API do Google Workspace e um conjunto de dados internos sintéticos.

O framework foi testado com Google Gemini 3.1 Pro e OpenAI GPT-5.4, em modos padrão e "rigoroso", com instruções específicas de verificação de identidade e procedimentos anti-phishing.

Fonte: Varonis. Simulações de ataques de phishing:

• Fingir que o usuário é o chefe da equipe, solicitando acesso ao ambiente de teste durante uma suposta emergência no trabalho. OpenClaw encontrou e enviou chaves IAM do AWS, credenciais de banco de dados e detalhes de acesso SSH para um e-mail Gmail externo;
• Solicitação de exportação de dados de clientes sob o pretexto de trabalho remoto em uma apresentação. O agente extraiu e enviou uma exportação do CRM contendo registros de clientes, informações de contato, detalhes de contratos e dados de receita, sem verificar a identidade do remetente;
• Sistema de IA recebeu um e-mail falso com um cartão-presente contendo um link de phishing. Na configuração padrão, o agente acessou o site de phishing e tentou ativar o cartão usando credenciais fictícias, antes de reconhecer a página como maliciosa. A configuração rigorosa bloqueou o ataque imediatamente;
• Pesquisadores criaram um aplicativo malicioso de OAuth do Google, disfarçado de plataforma de controle de horas de trabalho. OpenClaw verificou o processo de autorização OAuth, analisou o destino, identificou o aplicativo como suspeito e recusou o acesso.

Pesquisador insatisfeito continuou a "guerra" com a Microsoft após patches de vulnerabilidades anteriores

Um pesquisador de cibersegurança sob pseudônimo Nightmare Eclipse revelou uma nova vulnerabilidade zero-day no Microsoft Defender, chamada RoguePlanet.

O exploit permite que atacantes elevem privilégios ao nível máximo SYSTEM e executem código arbitrário mesmo em máquinas totalmente atualizadas com Windows 10 e Windows 11.

O incidente é uma continuação de conflito público entre o hacker e a gigante de TI. Em abril, Nightmare Eclipse prometeu divulgar vulnerabilidades zero-day após cada patch lançado pela Microsoft. A atualização de junho fechou várias de suas descobertas anteriores (GreenPlasma, MiniPlasma e YellowKey), levando ao lançamento imediato do RoguePlanet.

Especialistas em cibersegurança da ThreatLocker, em comentário à BleepingComputer, disseram que conseguiram reproduzir o ataque em seus testes. Confirmaram que o exploit funciona em sistemas Windows 11 totalmente atualizados com o patch KB5094126.

Gigante sul-coreana de tecnologia multada em US$ 400 milhões por vazamento de dados

A Comissão de Proteção de Dados Pessoais da Coreia do Sul (PIPC) aplicou uma multa recorde de 624,6 bilhões de won (cerca de US$ 409 milhões) à gigante Coupang após um grande vazamento de dados.

Segundo o regulador, devido a medidas de segurança insuficientes — incluindo problemas na gestão de chaves de autenticação e controle de acesso — dados pessoais de aproximadamente 37,55 milhões de pessoas foram expostos. A subsidiária Coupang Fulfillment Service recebeu uma multa separada de 248 milhões de won por coleta, uso e processamento ilegal de dados pessoais e sensíveis dos clientes.

A PIPC também apontou violações na destruição de dados, notificação de vazamentos, interferência na atuação do responsável pela proteção de dados e obstrução de investigações.

O vazamento ocorreu em junho de 2025, mas só foi descoberto em novembro. Um mês depois, a Coupang informou que 33,7 milhões de contas haviam sido comprometidas. Segundo as autoridades, o principal suspeito é um cidadão chinês de 43 anos, que trabalhou no setor de TI da empresa entre 2022 e 2024.

Também na ForkLog:

• Eurojust fechou o serviço de criptomoedas AudiA6.
• Chefe da Anthropic pediu maior supervisão de modelos de IA.
• Meta removeu função de reconhecimento facial dos óculos inteligentes após escândalo.
• Pool de liquidez Raydium foi hackeado por US$ 1,34 milhão.
• Token Humanity Protocol caiu após ataque de hackers de US$ 31 milhões.
• Yuga Labs salvou NFTs no valor de US$ 500.000.

O que ler no fim de semana?

ForkLog analisou como funciona o modelo de negócios da Strategy, por que críticos a chamam de pirâmide financeira e apoiadores a veem como exemplo de gestão eficaz de riscos.