Cyware (06/02/2026): DDoS de 31,4 Tbps, CrashFix/ModeloRAT e CVE crítico no n8n

O boletim diário da Cyware (06/02/2026) reúne sinais de um cenário em que a escala (DDoS), a engenharia social (CrashFix/ClickFix) e falhas críticas em plataformas de automação (n8n) continuam sendo caminhos rápidos para comprometer organizações.

Contexto: por que isso importa

• DDoS extremo (31,4 Tbps) volta a colocar IoT/Android “barato” e TVs off‑brand no centro de botnets massivas.
• Fraudes via “conserto”: campanhas como ClickFix evoluem para empurrar comandos/instaladores que entregam RATs.
• Automação insegura: falhas em plataformas de workflow podem virar ponte direta para execução de comandos no servidor.

O que aconteceu (principais destaques)

1) Botnet Kimwolf e um DDoS de 31,4 Tbps

Segundo o resumo da Cyware, a botnet AISURU/Kimwolf teria atingido pico de 31,4 Tbps por ~35 segundos (nov/2025), em um contexto de alta nas ofensivas DDoS ao longo de 2025. O relato aponta comprometimento de milhões de dispositivos Android (especialmente TVs e equipamentos fora de marcas tradicionais) e uso de infraestruturas de proxy residencial para escala e resiliência.

2) CrashFix: variante do ClickFix que leva ao ModeloRAT

O CrashFix explora a frustração do usuário: a vítima é induzida a instalar uma “extensão” (ex.: ad‑blocker falso) que passa um tempo “silenciosa”, depois congela o navegador repetidamente. No reinício, aparece um alerta falso orientando a executar um comando “de reparo” — que, na prática, baixa um RAT (ModeloRAT) com potencial de coleta de informações e movimentação para ambientes corporativos.

3) Supply chain em npm/PyPI ligada ao ecossistema dYdX

O boletim também menciona um ataque de cadeia de suprimentos em pacotes usados para interagir com o protocolo dYdX v4. A tática descrita: publicação maliciosa com credenciais legítimas, aproveitando a confiança do ecossistema para inserir código que rouba credenciais (carteiras) e/ou entrega um RAT, dependendo do pacote e linguagem (JavaScript/Python).

4) CVE-2026-25049 no n8n: risco de execução de comandos

Uma falha crítica no n8n (CVE-2026-25049) é descrita como explorável por usuário autenticado com permissão para criar/alterar workflows. O ponto sensível: expressões/JavaScript insuficientemente sanitizados podem abrir caminho para execução arbitrária de comandos no host — e o risco aumenta quando webhooks deixam fluxos expostos à internet.

5) Patches urgentes da F5 (BIG-IP/NGINX)

Por fim, a Cyware destaca correções publicadas pela F5 para BIG‑IP e produtos NGINX, incluindo cenários de bypass de controles e ajustes recomendados em configurações (como SMTP) para reduzir exposição.

O que observar (detecção)

• DDoS: picos anômalos de tráfego (L3/L4/L7), variação rápida de ASN/origem, padrões de amplificação e saturação de links.
• CrashFix/ModeloRAT: instalação de extensões recém-criadas, travamentos recorrentes pós-instalação, execução de comandos via prompts “de segurança” e novos binários em pastas temporárias.
• Supply chain: mudanças inesperadas em dependências, versões “recentes demais” sem histórico, scripts de pós-instalação e conexões de saída em momento de import/build.
• n8n: workflows com expressões incomuns, chamadas para comandos do sistema, webhooks expostos sem autenticação e criação de usuários/permissões fora do padrão.

Mitigação (prioridade prática)

1. Atualize n8n e produtos F5/NGINX conforme orientação do fabricante e valide exposição de webhooks.
2. Endureça o pipeline de dependências (pinning, allowlist, verificação de integridade, revisão de scripts) em npm/PyPI.
3. Bloqueie extensões suspeitas via políticas de navegador/EDR e eduque usuários para não executar comandos “de conserto” fornecidos por pop-ups.
4. Prepare resposta a DDoS: proteção em borda (CDN/WAF), rate limiting, scrubbing/mitigação com provedores e runbooks testados.

Fonte: Cyware Daily Threat Intelligence (06/02/2026) • Links citados: The Hacker News (Kimwolf) · Microsoft Security Blog (CrashFix) · The Hacker News (dYdX) · The Hacker News (n8n) · GBHackers (F5)

Fonte da imagem: Cyware (imagem de capa do artigo)