Relatos recentes mostram uso renovado do toolkit Evilginx para AiTM: páginas-proxy roubam cookies de sessão após MFA, permitindo a invasores assumir contas sem o código e afetando instituições educacionais. Mitigações incluem controles de sessão e monitoramento comportamental.
Campanha do grupo financeiro GoldFactory usa apps bancários modificados para entregar malware Android no Sudeste Asiático; relatório cita mais de 11.000 dispositivos infectados e distribuição via iscas que imitam serviços governamentais.
A Freedom Mobile confirmou que invasores acessaram sua plataforma de gestão de contas e roubaram informações pessoais de um número não divulgado de clientes; a reportagem não detalha o tipo de dados ou o vetor exato da intrusão.
A Leroy Merlin envia notificações a clientes na França informando que dados pessoais foram comprometidos; a cobertura disponível não especifica o número de afetados, tipos de dados expostos nem o vetor de ataque.
A Kaspersky descreve Shai Hulud 2.0, um worm que infectou mais de 800 pacotes npm e combina rotinas de roubo de credenciais com um payload destrutivo que apaga arquivos quando a exfiltração falha; mais de 1.700 tentativas foram bloqueadas desde setembro, com 9,7% dos casos detectados no Brasil.
CVE-2025-9491, uma vulnerabilidade LNK do Windows explorada desde 2017, foi corrigida nas atualizações de Patch Tuesday de novembro de 2025, segundo relatório do ACROS Security/0patch; a matéria menciona CVSS 7.8/7.0 e exploração prolongada.
CVE-2025-8489 é uma vulnerabilidade crítica no plugin King Addons para Elementor (CVSS 9.8) que permite a criação de contas administrativas por atacantes não autenticados; a falha está sendo explorada em ambiente real, segundo reportagens.
Pesquisa da Cato CTRL mostra que o modelo de autorização das Claude Skills permite a execução de helper functions que baixam e executam código sem nova aprovação, possibilitando entrega de malware como MedusaLocker a partir de Skills aparentemente legítimas.
CVE-2025-13658 é uma vulnerabilidade de code-injection no Longwatch (Industrial Video & Control) afetando versões 6.309–6.334, com CVSS v4 9.3; a fabricante liberou a versão 6.335 e a CISA recomendou isolamento de sistemas e segmentação de rede.
Uma falha crítica (CVE-2025-55182, CVSS 10.0) em React Server Components permite execução remota de código sem autenticação ao explorar a forma como o framework decodifica payloads enviados a endpoints de Server Functions. A divulgação veio do React Team; a matéria não detalha versões corrigidas.
Shai‑Hulud 2.0, identificado pela Wiz.io, comprometeu mais de 30.000 repositórios via pacotes NPM envenenados (notadamente @postman/tunnel-agent v0.6.7 e @asyncapi/specs v6.8.3), roubando ~500 tokens GitHub e até 400.000 segredos detectados por Trufflehog (2,5% verificados).
Quarkslab descreve exploração de named pipes no K7 Ultimate Security (testado em 17.0.2045) que permite manipulação de registro e execução em contexto SYSTEM; K7 lançou patches intermediários, mas pesquisadores demonstraram bypasses e recomendam atualização e revisão de ACLs.
Pesquisas indicam que o grupo Water Saci passou a usar HTA/PDF e uma variante Python para propagar um worm que distribui um banking trojan via WhatsApp, com foco em usuários no Brasil. As fontes descrevem a técnica mas não quantificam vítimas nem identificam instituições afetadas.
Um ataque DDoS recorde atribuído ao botnet Aisuru alcançou 29.7 Tbps e ~14,1 bilhões de pps; Cloudflare relata mitigação em segundos e registra aumento de eventos hiper‑volumétricos, com o botnet estimado entre 1–4 milhões de dispositivos e partes do recurso sendo ofertadas para aluguel.
Um exploit contra a pool yETH do Yearn Finance em 30/11/2025 permitiu a mintagem massiva de tokens com um depósito de apenas 16 wei, resultando no roubo de ~US$9 milhões. A falha decorre de valores em cache (packed_vbs) que não foram zerados, permitindo state poisoning e mint excessiva de LP tokens.