A SlowMist (instituição de segurança) divulgou um alerta de emergência. A organização norte-coreana Lazarus e sua suborganização HexagonalRodent estão atacando desenvolvedores Web3, usando engenharia social, como vagas remotas com altos salários, para induzir os desenvolvedores a executarem códigos de avaliação de habilidades que incluem backdoors de malware e, por fim, roubar ativos criptográficos. De acordo com o relatório de investigação da Expel, nos três primeiros meses de 2026, o montante de perdas atingiu 12 milhões de dólares.
Técnicas de ataque: o código de avaliação de habilidades é a principal porta de infecção
Os atacantes entram primeiro em contato com as vítimas por meio do LinkedIn ou de plataformas de recrutamento, ou criam sites falsos de empresas para publicar vagas, fazendo com que os desenvolvedores executem códigos maliciosos sob o pretexto de “avaliação de habilidades em casa”. O código de avaliação inclui dois caminhos de infecção:
Ataque via VSCode tasks.json: o código malicioso injeta um arquivo tasks.json com a instrução runOn: folderOpen, de modo que o desenvolvedor só precise abrir a pasta do código no VSCode para que o malware seja executado automaticamente.
Backdoor embutida no código: o próprio código de avaliação incorpora uma backdoor; a infecção é acionada quando o código é executado, fornecendo uma porta alternativa para desenvolvedores que não usam VSCode.
O malware usado inclui: BeaverTail (ferramenta multifuncional de exfiltração/roubo de dados em NodeJS), OtterCookie (shell reversa em NodeJS) e InvisibleFerret (shell reversa em Python).
Primeiro ataque à cadeia de suprimentos: extensão fast-draft VSX comprometida
Em 18 de março de 2026, a HexagonalRodent lançou um ataque à cadeia de suprimentos contra a extensão do VSCode “fast-draft”, distribuindo o malware OtterCookie por meio da extensão comprometida. A SlowMist confirmou que em 9 de março de 2026, um usuário com o mesmo nome do desenvolvedor da extensão fast-draft já havia sido infectado com OtterCookie.
Se houver suspeita de infecção do sistema, é possível usar os comandos abaixo para verificar se há conexão com um servidor C2 conhecido (195.201.104[.]53):
MacOS/Linux:netstat -an | grep 195.201.104.53 Windows:netstat -an | findstr 195.201.104.53
Abuso de ferramentas de IA: ChatGPT e Cursor confirmados como usados de forma maliciosa
A HexagonalRodent utiliza em grande escala o ChatGPT e o Cursor para auxiliar os ataques, incluindo a geração de código malicioso e a construção de sites falsos de empresas. Um sinal-chave para identificar códigos maliciosos gerados por IA é o uso extensivo de emojis no código (extremamente raro em código escrito à mão).
O Cursor bloqueou as contas e IPs relacionados dentro de um dia de trabalho; a OpenAI confirmou ter encontrado apenas um uso limitado do ChatGPT, afirmando que a ajuda buscada por essas contas se enquadra em cenários legítimos de uso duplo de segurança, e não foi encontrada atividade contínua de desenvolvimento de malware. Foi confirmado que, ao menos, 13 fluxos de fundos de carteiras infectadas foram enviados para endereços conhecidos na rede Ethereum da Coreia do Norte, totalizando mais de 1,1 milhão de dólares recebidos.
Perguntas frequentes
Como desenvolvedores Web3 podem se proteger contra esse tipo de ataque?
As principais medidas de proteção incluem: (1) manter alto nível de vigilância com recrutadores desconhecidos, especialmente quando solicitarem a realização de avaliações de código feitas em casa; (2) abrir repositórios de código não familiares em um ambiente de sandbox, e não no sistema principal; (3) verificar periodicamente o arquivo tasks.json do VSCode para confirmar que não há tarefas runOn: folderOpen não autorizadas; (4) usar chaves de segurança de hardware para proteger carteiras criptográficas.
Como confirmar se meu sistema já foi infectado?
Execute comandos de autoavaliação rápida: usuários de MacOS/Linux devem executar netstat -an | grep 195.201.104.53; usuários do Windows devem executar netstat -an | findstr 195.201.104.53. Se for encontrada uma conexão persistente com um servidor C2 conhecido, desconecte imediatamente da rede e faça uma varredura completa de malware.
Por que a HexagonalRodent escolheu NodeJS e Python como linguagens do malware?
Desenvolvedores Web3 normalmente já têm NodeJS e Python instalados em seus sistemas; assim, os processos maliciosos conseguem se integrar às atividades normais dos desenvolvedores sem disparar alertas. Essas duas linguagens não são os principais alvos de monitoramento em sistemas tradicionais anti-malware; além disso, com o uso de ferramentas comerciais de ofuscação de código, a detecção por assinatura torna-se extremamente difícil.
Aviso: As informações nesta página podem ser provenientes de terceiros e não representam as opiniões ou pontos de vista da Gate. O conteúdo exibido nesta página é apenas para referência e não constitui aconselhamento financeiro, de investimento ou jurídico. A Gate não garante a exatidão ou integridade das informações e não será responsável por quaisquer perdas decorrentes do uso dessas informações. Os investimentos em ativos virtuais apresentam altos riscos e estão sujeitos a uma volatilidade de preços significativa. Você pode perder todo o capital investido. Por favor, compreenda completamente os riscos envolvidos e tome decisões prudentes com base em sua própria situação financeira e tolerância ao risco. Para mais detalhes, consulte o
Aviso Legal.
Related Articles
EUA sancionam autoridades do Camboja por um mega complexo de golpes de bilhões! A Tether congela mais de US$ 344 milhões em USDT
O Departamento do Tesouro e o Departamento de Justiça dos EUA recentemente realizaram uma ação conjunta de aplicação da lei contra os crescentes golpes de “Pig Butchering” de relacionamento com criptomoedas, cada vez mais desenfreados no Sudeste Asiático. A autoridade oficial anunciou formalmente sanções ao senador do Camboja, Loang (Kok An), e a 28 indivíduos e entidades em sua rede criminosa, acusando-os de usar influência política e os parques de cassinos sob seu comando para proteger atividades em larga escala de golpes e tráfico de pessoas. Estima-se que essas atividades fraudulentas, por si só, causem perdas de até 10 bilhões de dólares para cidadãos dos EUA em um único ano. Em apoio a esta ofensiva, o emissor de stablecoins Rether também já congelou mais de 344 milhões de dólares em ativos digitais envolvidos no caso.
Golpes românticos “Pig Butchering”: prejuízo anual dos americanos ultrapassa 10 bilhões de dólares
Nos últimos anos, organizações criminosas internacionais com base no Sudeste Asiático têm adotado em grande escala a tática de golpe de “criar relacionamento para depois matar” conhecida como “Pig Butchering”. Os fraudadores gastam meses
ChainNewsAbmedia8m atrás
Soldado do Exército dos EUA é preso por usar inteligência classificada para apostar na captura de Maduro na Polymarket
Mensagem do Gate News, 24 de abril — O Departamento de Justiça dos EUA prendeu o soldado Gannon Ken Van Dyke, 38, do Exército, atualmente em serviço ativo, sob acusações de uso de informações confidenciais para fazer apostas na Polymarket, um mercado de previsões, sobre a captura do ex-presidente venezuelano Nicolás Maduro. Van Dyke participou
GateNews14m atrás
A exchange Zondacrypto enfrenta acusações de desvio de US$ 350 milhões, o CEO nega publicamente
Um dos maiores exchanges de criptomoedas da Polônia, a Zondacrypto, teve seu CEO, Przemysław Kral, afirmar publicamente em 16 de abril em redes sociais que a exchange não conseguiu acessar uma carteira que contém 4.503 bitcoins, cujo valor atual é superior a US$ 350 milhões. Kral divulgou o endereço da carteira envolvida para refutar acusações de apropriação indevida, mas essa revelação imediatamente desencadeou um grande volume de saques.
MarketWhisper2h atrás
Exposição de pacotes npm maliciosos do Bitwarden CLI; carteiras cripto enfrentam risco de roubo
O Chief Information Security Officer da MistWu 23pds encaminha um aviso da equipe de segurança do Bitwarden: o Bitwarden CLI 2026.4.0, durante um período de 1,5 hora de 22 de abril, horário do leste dos EUA, entre 5:57 PM e 7:30 PM, teve versões do npm que foram adulteradas para publicar pacotes maliciosos via npm; essas versões já foram removidas. A Bitwarden confirmou oficialmente que os dados do cofre de senhas e os sistemas de produção não foram afetados.
MarketWhisper2h atrás
JPMorgan: KelpDAO remove vulnerabilidade de 20 bilhões em DeFi TVL, atratividade institucional prejudicada
A equipe de pesquisa do JPMorgan liderada pelo analista Nikolaos Panigirtzoglou divulgou um relatório em 23 de abril afirmando que vulnerabilidades de segurança persistentes e o estancamento do valor total bloqueado (TVL) estão minando o apelo das finanças descentralizadas (DeFi) para investidores institucionais. O relatório destaca que a falha no KelpDAO apagou cerca de US$ 20 bilhões de TVL em DeFi em poucos dias, expondo riscos estruturais.
MarketWhisper2h atrás
A CoW DAO propõe compensar as vítimas de sequestro do domínio cow.fi, com até 100% de reembolso do prejuízo
CoW DAO em 23 de abril publicou uma proposta de compensação (CIP) no fórum de governança, sugerindo a criação de um programa de subsídios discricionários para fornecer aos usuários vítimas do incidente de sequestro do domínio cow.fi em 14 de abril uma compensação de até 100% dos prejuízos. O incidente teria causado uma perda estimada de aproximadamente US$ 1,2 milhão em USDC aos usuários; a CoW DAO enfatizou que a compensação tem caráter voluntário e especial, não representando reconhecimento de qualquer responsabilidade legal.
MarketWhisper2h atrás
