8 de fevereiro de 2026

Cyware (06/02/2026): DDoS de 31,4 Tbps, CrashFix/ModeloRAT e CVE crítico no n8n

8 de fevereiro de 2026

Resumo do Cyware Daily Threat Intelligence (06/02/2026): DDoS recorde de 31,4 Tbps, CrashFix/ModeloRAT e supply chain em npm/PyPI.
Também há alerta para CVE crítico no n8n e correções urgentes da F5 (BIG-IP/NGINX).

O boletim diário da Cyware (06/02/2026) reúne sinais de um cenário em que a escala (DDoS), a engenharia social (CrashFix/ClickFix) e falhas críticas em plataformas de automação (n8n) continuam sendo caminhos rápidos para comprometer organizações.

Contexto: por que isso importa

  • DDoS extremo (31,4 Tbps) volta a colocar IoT/Android “barato” e TVs off‑brand no centro de botnets massivas.
  • Fraudes via “conserto”: campanhas como ClickFix evoluem para empurrar comandos/instaladores que entregam RATs.
  • Automação insegura: falhas em plataformas de workflow podem virar ponte direta para execução de comandos no servidor.

O que aconteceu (principais destaques)

1) Botnet Kimwolf e um DDoS de 31,4 Tbps

Segundo o resumo da Cyware, a botnet AISURU/Kimwolf teria atingido pico de 31,4 Tbps por ~35 segundos (nov/2025), em um contexto de alta nas ofensivas DDoS ao longo de 2025. O relato aponta comprometimento de milhões de dispositivos Android (especialmente TVs e equipamentos fora de marcas tradicionais) e uso de infraestruturas de proxy residencial para escala e resiliência.

2) CrashFix: variante do ClickFix que leva ao ModeloRAT

O CrashFix explora a frustração do usuário: a vítima é induzida a instalar uma “extensão” (ex.: ad‑blocker falso) que passa um tempo “silenciosa”, depois congela o navegador repetidamente. No reinício, aparece um alerta falso orientando a executar um comando “de reparo” — que, na prática, baixa um RAT (ModeloRAT) com potencial de coleta de informações e movimentação para ambientes corporativos.

3) Supply chain em npm/PyPI ligada ao ecossistema dYdX

O boletim também menciona um ataque de cadeia de suprimentos em pacotes usados para interagir com o protocolo dYdX v4. A tática descrita: publicação maliciosa com credenciais legítimas, aproveitando a confiança do ecossistema para inserir código que rouba credenciais (carteiras) e/ou entrega um RAT, dependendo do pacote e linguagem (JavaScript/Python).

4) CVE-2026-25049 no n8n: risco de execução de comandos

Uma falha crítica no n8n (CVE-2026-25049) é descrita como explorável por usuário autenticado com permissão para criar/alterar workflows. O ponto sensível: expressões/JavaScript insuficientemente sanitizados podem abrir caminho para execução arbitrária de comandos no host — e o risco aumenta quando webhooks deixam fluxos expostos à internet.

5) Patches urgentes da F5 (BIG-IP/NGINX)

Por fim, a Cyware destaca correções publicadas pela F5 para BIG‑IP e produtos NGINX, incluindo cenários de bypass de controles e ajustes recomendados em configurações (como SMTP) para reduzir exposição.

O que observar (detecção)

  • DDoS: picos anômalos de tráfego (L3/L4/L7), variação rápida de ASN/origem, padrões de amplificação e saturação de links.
  • CrashFix/ModeloRAT: instalação de extensões recém-criadas, travamentos recorrentes pós-instalação, execução de comandos via prompts “de segurança” e novos binários em pastas temporárias.
  • Supply chain: mudanças inesperadas em dependências, versões “recentes demais” sem histórico, scripts de pós-instalação e conexões de saída em momento de import/build.
  • n8n: workflows com expressões incomuns, chamadas para comandos do sistema, webhooks expostos sem autenticação e criação de usuários/permissões fora do padrão.

Mitigação (prioridade prática)

  1. Atualize n8n e produtos F5/NGINX conforme orientação do fabricante e valide exposição de webhooks.
  2. Endureça o pipeline de dependências (pinning, allowlist, verificação de integridade, revisão de scripts) em npm/PyPI.
  3. Bloqueie extensões suspeitas via políticas de navegador/EDR e eduque usuários para não executar comandos “de conserto” fornecidos por pop-ups.
  4. Prepare resposta a DDoS: proteção em borda (CDN/WAF), rate limiting, scrubbing/mitigação com provedores e runbooks testados.

Fonte: Cyware Daily Threat Intelligence (06/02/2026) • Links citados: The Hacker News (Kimwolf) · Microsoft Security Blog (CrashFix) · The Hacker News (dYdX) · The Hacker News (n8n) · GBHackers (F5)

Fonte da imagem: Cyware (imagem de capa do artigo)

Tags: , , , , ,

Matérias Relacionadas

PLUGGED NINJA — Notícias de segurança cibernética em português

OpenClaw integra varredura do VirusTotal para barrar skills maliciosas no ClawHub

8 de fevereiro de 2026

Google corrige falha zero-day no kernel do Android

4 de fevereiro de 2025

Pesquisadores Chineses Quebram Criptografia RSA com Computação Quântica

17 de outubro de 2024

Veja mais..

PLUGGED NINJA — Notícias de segurança cibernética em português

CISA alerta para exploração ativa do CVE-2025-40551 no SolarWinds Web Help Desk (RCE)

8 de fevereiro de 2026
PLUGGED NINJA — Notícias de segurança cibernética em português

OpenClaw integra varredura do VirusTotal para barrar skills maliciosas no ClawHub

8 de fevereiro de 2026

Cyware (06/02/2026): DDoS de 31,4 Tbps, CrashFix/ModeloRAT e CVE crítico no n8n

8 de fevereiro de 2026

Hugging Face é abusado para distribuir milhares de variantes de malware Android

8 de fevereiro de 2026

Agências alemãs alertam sobre phishing no Signal mirando políticos, militares e jornalistas

8 de fevereiro de 2026