CVE-2026-34841

Name of the Vulnerable Software and Affected Versions @usebruno/cli versões instaladas entre 00:21 UTC e ~03:30 UTC em 31 de março de 2026

Description Um ataque à cadeia de suprimentos envolvendo versões comprometidas do pacote npm axios introduziu uma dependência oculta que implantou um Trojan de Acesso Remoto (RAT) multiplataforma. Usuários de @usebruno/cli que executaram npm install durante a janela de tempo afetada podem ter sido impactados, potencialmente levando à execução de um script postinstall malicioso, instalação de RAT e exfiltração de credenciais e dados confidenciais. Usuários do aplicativo desktop Bruno e aqueles que instalaram fora da janela de ataque não foram impactados. As versões comprometidas do axios (1.14.1, 0.30.4) foram removidas do npm.

Recommendations Se você instalou o @usebruno/cli durante a janela afetada, reinstale as dependências. Troque todas as credenciais e segredos.