Análise Principal
Segurança & Risco6 min

Falha 10.0 no SimpleHelp abre caminho para stealer que rouba tokens de Claude, Gemini e Codex

Estação de trabalho iluminada em SOC vazio à noite, com uma etiqueta vermelha de alerta afixada ao monitor citando a CVE-2026-48558 e um arquivo mcp.json aberto em um editor de código.

CVE-2026-48558 permite forjar sessão de técnico e derrubar MFA; carga final, o Djinn Stealer, mira arquivos MCP com credenciais dos assistentes de código Claude, Gemini, Codex, Cline e Kilo.

Uma falha crítica de bypass de autenticação no software de acesso remoto SimpleHelp está em exploração ativa desde a semana passada e serviu de porta de entrada para dois artefatos inéditos: um loader escrito em Node.js batizado de TaskWeaver e um infostealer multiplataforma chamado Djinn Stealer. A investigação foi publicada na segunda-feira, 30 de junho, pelo Adversary Pursuit Group (APG), unidade de resposta da Blackpoint Cyber, e replicada por The Hacker News, Help Net Security e outros veículos ao longo do dia.


A vulnerabilidade recebeu o identificador CVE-2026-48558, com CVSS 10,0. Está no fluxo OpenID Connect (OIDC) do SimpleHelp: o servidor não verifica a assinatura criptográfica do token de identidade e aceita, portanto, um token forjado com claims arbitrárias. Um invasor não autenticado consegue abrir uma sessão de "Technician" totalmente válida. Se o técnico ainda não configurou o segundo fator, ele mesmo pode registrá-lo, o que anula a proteção de MFA que muitas equipes acreditavam ter. A SimpleHelp corrigiu a falha em fim de maio, nas versões 5.5.16 e 6.0 RC2; todas as versões anteriores continuam expostas.


Como a cadeia de intrusão foi montada


Segundo o relatório da Blackpoint, o operador explorou o SimpleHelp na borda da rede da vítima, obteve sessão privilegiada e usou os próprios recursos de transferência de arquivos e execução remota do produto para distribuir a carga em massa. O arquivo entregue se apresenta como jquery.js, hospedado em endpoint efêmero na Cloudflare. Não é jQuery. É o TaskWeaver, um loader modular em Node.js que primeiro identifica o sistema, estabelece canal criptografado com o servidor de comando e depois pede payloads adicionais em JavaScript, executados com privilégios elevados.


O carregamento parece deliberadamente pensado para evadir análise estática de EDRs corporativos que confiam demais no domínio Cloudflare e ignoram binários assinados como "biblioteca web". O segundo estágio é o Djinn Stealer, que roda em Windows, macOS e Linux.


O ativo que o atacante quer é o token do agente de IA


É neste ponto que o incidente sai da rotina. O Djinn Stealer varre arquivos de configuração e sessões de autenticação para provedores tradicionais (AWS, Azure, Google Cloud, Oracle Cloud, Okta, Cloudflare) e também para assistentes de codificação com IA: Claude, Gemini, Codex, Cline, OpenCode e Kilo. O alvo específico são os arquivos que armazenam a configuração do Model Context Protocol (MCP), como ~/.claude/mcp.json.


Esses arquivos guardam os tokens que o desenvolvedor entrega ao seu agente para acessar repositórios, bancos de dados, contas de nuvem e APIs internas. Segundo o texto da Blackpoint, "roubá-los concede ao invasor o mesmo acesso downstream que o desenvolvedor estendeu ao seu agente de IA, indo bem além do serviço de IA em si". Traduzindo para o operador de SOC: o mesmo par de chaves que faz o agente abrir um pull request também faz o intruso.


Antes de exfiltrar, o Djinn empacota tudo em TAR, comprime com GZIP e cifra com AES-256-GCM, cuja chave é protegida por uma RSA-2048 embutida no próprio TaskWeaver. Sem acesso ao binário, o defensor não decripta o que saiu.


O relógio da CISA e o efeito sobre times globais


A CISA incluiu a CVE-2026-48558 no Known Exploited Vulnerabilities Catalog e obrigou agências do executivo civil federal (FCEB) a aplicar o patch até 2 de julho. O prazo funciona como sinal para o mercado privado: seguradoras e equipes de risco costumam usar a KEV como gatilho para exigir remediação em compromissos contratuais. Provedores de serviços gerenciados (MSPs) que rodam SimpleHelp para atender clientes em diferentes regiões concentram risco especial. Um único servidor exposto do MSP em Dublin, Manila ou Bangalore pode virar rota lateral para dezenas de contas de clientes, incluindo operações Brasil de multinacionais americanas e europeias que terceirizam suporte L2.


Para os times de segurança que já adotaram assistentes de código com MCP em produção, o alerta é duplo. Primeiro, tratar tokens de MCP como credenciais de infraestrutura, com rotação frequente e cofre dedicado, e não como arquivo de configuração de aplicativo. Segundo, revisar quais escopos foram concedidos ao agente. Um Claude configurado com MCP para GitHub, S3 e Postgres tem, na prática, três credenciais de alto privilégio guardadas no mesmo JSON, uma promessa doce demais para o operador que já provou saber onde procurar. A janela em que o mercado de segurança discutia "como o agente age" acaba de virar mais estreita; agora o debate é como impedir que ele seja pilhado antes de agir.

Análise Principal