CVE-2025-66035 afeta o Angular HttpClient: o uso de URLs protocol‑relative (‘//’) fazia o framework anexar tokens XSRF a domínios externos, permitindo captura do token. CVSS 7.5; atualização para versões corrigidas é recomendada e o workaround é evitar URLs começando com “//”.
Pesquisadores da Socket.dev identificaram que a extensão Chrome 'Crypto Copilot' injetava instruções que desviavam pelo menos 0.0013 SOL (ou 0.05% da negociação) para um endereço atacante e exfiltrava chaves públicas para um backend controlado, conforme reportado por Cyber Security News.
OpenAI notificou alguns clientes da API ChatGPT sobre exposição de informações identificáveis limitadas após uma invasão ao fornecedor de analytics Mixpanel. Reportagens indicam que múltiplos clientes do provedor foram afetados, mas as matérias não detalham campos expostos, contagens ou vetor técnico da intrusão.
OpenAI foi notificada que, após invasão aos sistemas da Mixpanel em 9/11/2025, um dataset contendo nomes, e‑mails, localizações aproximadas e informações de navegador de usuários da plataforma API foi exportado; ChatGPT e dados sensíveis (chaves, pagamentos) não foram comprometidos, diz a empresa.
Boletim semanal agrupa mais de 20 notícias sobre ameaças: IA em malware, falhas em voice bots, operações de lavagem de criptomoedas e ataques a dispositivos IoT, além de outras investigações e ações de autoridades.
Pesquisas apontam campanhas que usam falsos avisos de atualização em sites legítimos para entregar o framework SocGholish; o JavaScript ofuscado carrega loaders, PowerShell com evasão e backdoors Python agendados, servindo de porta de entrada para agentes remotos e ransomware.
Pesquisadores da Bitdefender identificaram três famílias de malware distribuídas como versões piratas e trainers de Battlefield 6: stealers que exfiltram cookies, tokens e dados de carteiras (para 198.251.84.9 via HTTP), variantes com evitação (regional blocking, API hashing) e agentes persistentes que instalam DLLs e contactam ei-in-f101.1e100.net.
Gainsight comunicou que atividade suspeita nas suas aplicações atingiu mais clientes do que a lista inicial de três fornecida pela Salesforce. A empresa disse ter "expandido para uma lista maior" em 21/11/2025, mas não divulgou quantos clientes foram afetados; declarações públicas disponíveis estão incompletas e sem detalhes técnicos.
Análise citada pelo Cyber Security News e pela Cyfirma mostra aumento de campanhas contra telecomunicações e mídia: 10 em 18 APTs nos últimos 90 dias (56%) e 65 vítimas de ransomware no período, com Qilin tendo 12 alvos e os EUA concentrando 40 incidentes (62%). As operações exploram aplicações web expostas e técnicas fileless para manter persistência.
Olymp Loader, um MaaS escrito em Assembly e anunciado em fóruns underground desde junho/2025, tem recursos de evasão avançada e técnicas para neutralizar o Windows Defender, além de entregar payloads como LummaC2 e Raccoon Stealer.
Pesquisadores da Jamf identificaram uma variante do FlexibleFerret que usa sites de recrutamento falsos para induzir usuários macOS a executar comandos no Terminal, baixando um backdoor em Golang e roubando credenciais via iscas que enviam dados para Dropbox.
Um vendedor chamado ResearcherX listou no mercado oculto um suposto exploit "full‑chain" para iOS 26 que exploraria corrupção de memória no Message Parser e permitiria controle root sem interação do usuário; a reivindicação ainda não foi verificada.
Gainsight confirmou que a atividade suspeita em suas aplicações afetou mais clientes do que o inicialmente informado pelo Salesforce; a empresa ampliou a lista em 21/11/2025, mas não divulgou o número exato nem detalhes técnicos.
Relatório do Multilateral Sanctions Monitoring Team, citado pela Cyber Security News, atribui a grupos ligados à Coreia do Norte o roubo de cerca de US$ 2,8 bi em criptomoedas entre 2024 e os nove primeiros meses de 2025, combinando campanhas de engenharia social, malwares (BeaverTail, InvisibleFerret) e esquemas de lavagem via mixers, bridges e corretores OTC.
Pesquisadores identificaram o ShadowV2, um botnet baseado em Mirai que explora vulnerabilidades conhecidas em dispositivos IoT de fabricantes como D-Link e TP-Link. O relatório também menciona que os operadores testaram o malware durante uma interrupção da AWS. Fontes não detalham CVEs, escopo de infecção ou IoCs.