O Nightmare Eclipse foi banido do GitHub e do GitLab e promete atacar em 14 de julho

O pesquisador de segurança responsável por seis divulgações de dia zero do Windows em seis semanas foi removido do GitHub e do GitLab com poucos dias de diferença e agora está operando exclusivamente em um blog pessoal. O pesquisador, conhecido como Nightmare-Eclipse, Chaotic Eclipse e Dead Eclipse, respondeu com uma ameaça explícita visando o dia 14 de julho, data do Patch Tuesday do próximo mês.

A Microsoft foi acusada de sinalizar e limpar os repositórios do GitHub por volta de 23 de maio de 2026. O pesquisador mudou para o GitLab, mas o GitLab suspendeu a conta em 26 e 27 de maio por hospedar código de exploração de dia zero armado. Com as duas principais plataformas de hospedagem de código agora fechadas, o pesquisador está publicando diretamente em seu próprio blog e sinalizou que a interrupção não mudou seus planos.

Seis dias zero em seis semanas

Desde o início de abril de 2026, o Nightmare Eclipse lançou publicamente provas de conceito armadas para seis vulnerabilidades do Windows: BlueHammer, RedSun, UnDefend, YellowKeygreen Plasma e MiniPlasma. Nenhum deles foi divulgado por meio de canais coordenados antes da publicação. Todos os seis componentes visados estão localizados na camada de segurança do endpoint ou abaixo dela.

A Microsoft já corrigiu três dos seis. O BlueHammer foi atribuído ao CVE-2026-33825 e corrigido na Patch Tuesday de 14 de abril. O RedSun e o UnDefend foram corrigidos fora da banda em 21 de maio como CVE-2026-41091 e CVE-2026-45498, depois que a Huntress confirmou a exploração ativa dos três em ataques no mundo real. A CISA adicionou todos os três ao seu catálogo de Vulnerabilidades Exploradas Conhecidas, e as agências federais devem corrigir o CVE-2026-41091 e o CVE-2026-45498 até 3 de junho.

YellowKey, GreenPlasma e MiniPlasma permanecem sem correção até a data da publicação. O MiniPlasma tem como alvo o driver Windows Cloud Filter e pode transformar uma conta de usuário padrão em SYSTEM em sistemas Windows 11 totalmente corrigidos que executam as atualizações mais recentes de maio de 2026. A BleepingComputer e vários pesquisadores independentes confirmaram que a exploração funciona sem modificações.

O que o dia 14 de julho pode significar?

Em um post assinado em https://deadeclipse666.blogspot.com/o pesquisador se dirigiu diretamente à Microsoft: "Marque esta data, 14 de julho. Farei com que os ossos dos senhores sejam quebrados nesse dia" Eles indicaram que nenhuma nova divulgação está planejada para junho, embora tenham se reservado o direito de mudar de rumo. Publicações anteriores alertaram sobre a intenção de escalar para vulnerabilidades de execução remota de código se a Microsoft continuasse a ignorar seus relatórios.

A retirada da plataforma do GitHub e do GitLab remove os canais de distribuição mais fáceis para binários compilados e código-fonte, mas um blog pessoal com downloads diretos atinge o mesmo resultado para qualquer pesquisador disposto a mantê-lo. Os analistas de segurança da Barracuda Networks observaram que a cadeia de exploits Nightmare Eclipse, que combina o aumento de privilégios via BlueHammer, RedSun ou MiniPlasma com a supressão do Defender via UnDefend, já foi vista em invasões de rede confirmadas. Ainda não se sabe se o novo material virá à tona em 14 de julho como uma prova de conceito, uma versão de execução remota de código ou qualquer outra coisa. Este pesquisador emitiu todos os avisos prévios antes de fazer uma divulgação real.