Pesquisadores da Blackpoint identificaram o RoadK1ll, um implante em Node.js que cria um túnel reverso via WebSocket para transformar um host comprometido em ponto de relay dentro da rede.
Ao usar uma conexão de saída com infraestrutura do atacante, o malware dispensa listener inbound e permite pivotar para sistemas internos, serviços de gestão e segmentos normalmente inacessíveis externamente.
O design suporta múltiplas conexões simultâneas no mesmo túnel, ampliando a movimentação lateral e reduzindo a chance de detecção.
O que fazer: monitore tráfego WebSocket incomum, restrinja egress, valide processos Node.js inesperados e reforce segmentação e alertas para conexões internas iniciadas por hosts de usuário.
Fonte: https://www.bleepingcomputer.com/news/security/new-roadk1ll-websocket-implant-used-to-pivot-on-breached-networks/
Ataque à Resolv permitiu cunhagem não autorizada de US$ 80 milhões em USR e troca…
Pesquisadores da Huntress identificaram uma campanha massiva de phishing que usa infraestrutura da Railway e…
A Mazda informou que um acesso externo não autorizado a um sistema ligado à gestão…
A CVE-2026-32746, com CVSS 9.8, afeta o telnetd do GNU InetUtils até a versão 2.7…
A campanha GlassWorm voltou com escala muito maior e já atingiu 433 componentes em GitHub,…
Como o golpe funcionava- O atacante publicou um projeto “parecido com legítimo” no GitHub, usando…