WordPress malware campaign hides payloads in Steam profiles
Nearly 2,000 WordPress websites were infected with malware that relies on Steam Community profile comments to hide command-and-control (C2) data. [...]
Nearly 2,000 WordPress websites were infected with malware that relies on Steam Community profile comments to hide command-and-control (C2) data. [...]
A Dashlane confirmou a suspensão de contas de seu gerenciador de senhas após tentativas de invasão em larga escala. O comunicado veio à tona após queixas relacionadas ao incidente compartilhadas no X (ex-Twitter) no fim de semana. 5 apps gerenciadores de senhas gratuitos e con…
Exploiting the PAN-OS GlobalProtect VPN vulnerability requires certain conditions, but adversaries have done so in two attack waves that started in mid-May.
Monday hit like a cron job with anger issues. A busted auth path here, a repo-side faceplant there, some "patched-ish" thing already getting chewed on in the wild, and then the usual bonus round: poisoned dev tools, sketchy forum chatter, phishing kits pretending to be productiv…
pretalx XSS flaw lets attackers hijack conference organizer accounts, steal sessions, auto-accept talks, and demote admins. Patched in v2026.1.0.
The Centre for Cybersecurity Belgium (CCB), the country's national authority for cybersecurity, warned on Friday that threat actors are now exploiting a recently patched critical Windows Netlogon vulnerability in attacks. [...]
A HackerSec passa a integrar o portfólio da e-Safer, uma das principais empresas de cibersegurança corporativa do Brasil. A parceria amplia o acesso da cibersegurança ofensiva contínua ao mercado corporativo brasileiro em um momento em que a inteligência artificial está redefinin…
A new cyber espionage campaign codenamed Operation Dragon Weave has been observed targeting officials and citizens in the Czech Republic and Taiwan to deliver an AdaptixC2 agent. According to Seqrite Labs, targets of the campaign include government, research, academic, technolog…
O grupo GreyVibe, associado a interesses russos, foi identificado em campanhas contra organizações da Ucrânia e entidades relacionadas ao país desde pelo menos agosto de 2025. A atividade envolve setores militar, governamental, civil e empresarial, com uso frequente de ferramenta…
O GitLab lançou atualizações de segurança para corrigir múltiplas vulnerabilidades nas edições Community e Enterprise, incluindo falhas em recursos do Duo AI, componentes de Wiki, APIs GraphQL, operações, pipelines e autenticação. As correções foram disponibilizadas em 27 de maio…
Uma técnica chamada ChatGPhish mostrou como páginas web podem ser manipuladas para transformar resumos gerados pelo ChatGPT em superfícies de phishing. O ataque explora instruções maliciosas escondidas em conteúdos que o usuário pede para a IA resumir. A técnica foi descrita como…
Hackers are using fake purchase order emails and process hollowing to deploy fileless PureLogs malware to steal Windows users' browser, crypto, and Discord data.
Cybersecurity researchers have disclosed details of a new malicious supply chain campaign that's targeting developers using OpenAI Codex through a legitimate-looking remote web UI. The tool, named codexui-android, is advertised on GitHub and npm as a remote web UI for OpenAI Cod…
Threat actors are attempting to actively exploit a critical security flaw impacting WP Maps Pro, a WordPress plugin that has had over 15,000 sales on the Envato Market, to create malicious administrator accounts on susceptible sites. WP Maps Pro allows site owners to embed custo…
A empresa de segurança Group-IB identificou uma campanha de phishing operada por um actor de ameaça de origem chinesa, designado GHOST STADIUM, que utiliza mais de 300 domínios fraudulentos para clonar o site oficial da FIFA e roubar credenciais e pagamentos de torcedores. De aco…
Uma vulnerabilidade no plugin WP Maps Pro para WordPress, que tem mais de 15 mil vendas, permite que atacantes não autenticados criem novas contas de administrador e assumam o controle total do site, segundo relatório da Wordfence publicado em 28 de maio. A falha, descoberta pelo…
A malicious Codex UI npm package with 27,000 weekly downloads was caught exfiltrating OpenAI refresh tokens, exposing developers to account takeover risks.
Hackers are targeting WordPress websites running a vulnerable version of the WP Maps Pro plugin, which allows creating rogue administrator accounts without authentication. [...]
Dutch authorities have announced the takedown of a botnet that enslaved millions of infected devices, including computers, tablets, smartphones, and IoT devices, to carry out malicious attacks. The bot network, per the Dutch Politie and the National Cyber Security Center (NCSC),…
Palo Alto Networks is warning that hackers are now exploiting a PAN-OS GlobalProtect authentication bypass flaw, tracked as CVE-2026-0257, in attacks attempting to breach corporate networks. [...]