Uma vulnerabilidade recente de bypass de autenticação no software de monitoramento e gerenciamento remoto (RMM) SimpleHelp foi explorada para entrega de malware.
Catalogada como CVE-2026-48558 (pontuação CVSS 10), a falha impacta o fluxo de autenticação OpenID Connect (OIDC) do SimpleHelp e permite que um atacante remoto obtenha uma sessão de técnico totalmente autenticada.
O problema existe porque, quando a autenticação OIDC está configurada, a aplicação não verifica a assinatura criptográfica dos tokens de identidade, permitindo que um atacante não autenticado envie um token forjado durante o login.
Ao acessar um servidor SimpleHelp exposto à internet, um atacante pode transferir arquivos e executar comandos em todos os sistemas gerenciados pelo servidor.
Em um ataque observado pela Blackpoint, um agente malicioso abusou desse acesso para distribuir duas famílias de malware: TaskWeaver, um carregador em Node.js, e Djinn Stealer, um ladrão de informações multiplataforma.
O TaskWeaver foi usado para realizar fingerprinting do sistema e distribuir um payload em JavaScript executado com acesso total ao Node.js. O carregador tem uma estrutura simples e pode ser usado para distribuir qualquer payload criptografado, afirma a Blackpoint.
O Djinn foi projetado especificamente para roubar segredos de máquinas de desenvolvedores, incluindo credenciais em nuvem, chaves SSH, configurações de infraestrutura, tokens de controle de código, autenticação de registro de pacotes, ferramentas de desenvolvimento, carteiras de criptomoedas e todos os dados do navegador.
"Notavelmente, ele rouba as credenciais de ferramentas de desenvolvimento de IA, dando ao atacante uma posição privilegiada para adulterar justamente os pipelines que as equipes estão construindo", observa a Blackpoint.
A falha de segurança foi corrigida no final de maio nas versões 5.5.16 e 6.0 RC2 do SimpleHelp. Recomenda-se que as organizações atualizem suas implantações e verifiquem os logs da aplicação em busca de nomes e endereços de e-mail de técnicos desconhecidos para identificar possíveis comprometimentos.
Na segunda-feira, após o relatório da Blackpoint, a agência de cibersegurança dos EUA, CISA (Agência de Segurança Cibernética e Infraestrutura), adicionou a CVE-2026-48558 ao seu catálogo de Vulnerabilidades Exploradas Conhecidas (KEV), urgindo agências federais a corrigi-la em até três dias, em conformidade com a diretriz BOD 26-04.