Blockchain

A campanha de cibersegurança conhecida como GlassWorm voltou a atacar, infiltrando 24 extensões maliciosas no Microsoft Visual Studio Marketplace e Open VSX. Essas extensões se disfarçam de ferramentas populares para desenvolvedores, como Flutter e React, e têm como objetivo roubar credenciais do GitHub, npm e Open VSX, além de drenar ativos de criptomoedas de diversas carteiras. A GlassWorm, que utiliza a blockchain Solana para controle de comando e controle (C2), foi documentada pela primeira vez em outubro de 2025 e já causou sérios danos ao comprometer pacotes e extensões adicionais, espalhando o malware de forma semelhante a um verme. A última onda de ataques, identificada por John Tuckner da Secure Annex, envolveu a manipulação de contagens de downloads para enganar desenvolvedores. As extensões maliciosas contêm implantes em Rust que visam sistemas Windows e macOS, permitindo que os atacantes baixem cargas úteis adicionais. A situação é crítica, pois muitos desenvolvedores podem ser facilmente enganados por essas extensões, colocando suas máquinas e dados em risco.

Em um ataque significativo ao ecossistema DeFi, a Check Point Research revelou que contratos do ComposableStablePool da Balancer V2 foram explorados em 3 de novembro de 2025, resultando no roubo de $128,64 milhões em menos de 30 minutos. Os atacantes aproveitaram uma falha sutil de precisão aritmética na lógica de invariantes da pool da Balancer, transformando um erro de arredondamento em uma cadeia de exploração catastrófica que contornou mecanismos de segurança padrão. A vulnerabilidade originou-se na função _upscaleArray, que escalava saldos de tokens durante o cálculo de invariantes. Ao manipular os saldos para a faixa microscópica de 8-9 wei, a lógica de divisão inteira do Solidity causou discrepâncias de arredondamento que poderiam chegar a dez por cento por operação. O ataque foi realizado em uma sequência de 65 operações de batchSwap, amplificando perdas de precisão em uma distorção total do valor D da pool. A análise on-chain vinculou a exploração a um contrato específico, e os atacantes conseguiram acumular ativos roubados dentro da camada de contabilidade do Vault da Balancer. Apesar de múltiplas auditorias, a falha sobreviveu devido ao foco da análise em transações únicas, em vez de desvios aritméticos cumulativos. Este evento destaca a importância da modelagem adversarial e do monitoramento contínuo de invariantes nas bibliotecas matemáticas do DeFi.

Recentemente, o grupo de ameaças cibernéticas associado à Coreia do Norte, conhecido como Lazarus Group, tem direcionado suas atividades para os setores de Web3 e blockchain através de duas campanhas chamadas GhostCall e GhostHire. De acordo com a Kaspersky, essas operações fazem parte de uma iniciativa mais ampla chamada SnatchCrypto, que está em andamento desde 2017. A campanha GhostCall foca em dispositivos macOS de executivos de empresas de tecnologia e capital de risco, utilizando táticas de engenharia social via Telegram para convidar as vítimas a reuniões de investimento em sites de phishing que imitam plataformas como Zoom. Já a GhostHire visa desenvolvedores Web3, induzindo-os a baixar repositórios maliciosos do GitHub sob o pretexto de avaliações de habilidades. Ambas as campanhas têm mostrado um aumento na atividade desde 2023, com um foco particular em países como Japão, Itália e Austrália. As técnicas utilizadas incluem a instalação de malwares sofisticados que podem roubar credenciais e dados sensíveis, representando um risco significativo para as organizações afetadas.

Pesquisadores de cibersegurança identificaram um worm autorreplicante, denominado GlassWorm, que se espalha por meio de extensões do Visual Studio Code (VS Code) disponíveis no Open VSX Registry e no Microsoft Extension Marketplace. Este ataque sofisticado, o segundo do tipo em um mês, utiliza a blockchain Solana para seu comando e controle (C2), o que dificulta a sua neutralização. Além disso, o worm emprega caracteres Unicode invisíveis para ocultar o código malicioso nos editores de código.

Um recente relatório do Google Threat Intelligence Group (GTIG) revelou que mais de 14.000 sites WordPress foram comprometidos por um grupo de hackers conhecido como UNC5142, que operou entre o final de 2023 e julho de 2025. Este grupo utilizou vulnerabilidades em plugins e temas para implantar um downloader JavaScript chamado CLEARSHOT, que facilitava a distribuição de malware. O uso de tecnologia blockchain para armazenar partes da infraestrutura do ataque aumentou a resiliência do grupo e dificultou as operações de remoção. O malware era distribuído através de páginas de phishing que induziam os usuários a executar comandos maliciosos em seus sistemas, utilizando a técnica de engenharia social chamada ClickFix. As páginas de destino eram frequentemente hospedadas em servidores da Cloudflare e acessadas em formato criptografado, complicando ainda mais a detecção e mitigação do ataque. A combinação de técnicas de ofuscação e a utilização de blockchain tornam este incidente um alerta significativo para a segurança cibernética, especialmente para organizações que utilizam WordPress.

Um grupo de hackers da Coreia do Norte, associado à campanha Contagious Interview, está aprimorando suas ferramentas de malware, conforme revelado por novas investigações da Cisco Talos. As funcionalidades dos malwares BeaverTail e OtterCookie estão se aproximando, com o OtterCookie agora incorporando um módulo para keylogging e captura de telas. Essa atividade é parte de uma campanha de recrutamento fraudulenta que começou em 2022, onde os atacantes se passam por empresas para enganar candidatos a emprego e instalar malware que rouba informações. Recentemente, o grupo também começou a usar uma técnica chamada EtherHiding para buscar cargas úteis em blockchains como BNB Smart Chain e Ethereum, transformando essas infraestruturas descentralizadas em servidores de comando e controle. A campanha tem como alvo usuários que caem em ofertas de emprego falsas, levando à infecção de sistemas. Um exemplo recente envolve um aplicativo Node.js malicioso chamado Chessfi, que foi distribuído através do repositório Bitbucket. O malware evoluiu para incluir módulos que monitoram o clipboard e roubam dados de extensões de criptomoedas, aumentando o risco de roubo de informações sensíveis e acesso remoto. Essa situação destaca a necessidade de vigilância constante e medidas de segurança robustas para proteger dados sensíveis.

O Google Threat Intelligence Group (GTIG) revelou que o grupo de hackers norte-coreano UNC5342 está utilizando uma técnica inovadora chamada EtherHiding para realizar roubos em larga escala de criptomoedas. Essa técnica, que foi inicialmente associada a grupos motivados financeiramente, envolve a inserção de códigos maliciosos em contratos inteligentes de blockchains, como BNB Smart Chain e Ethereum, transformando esses registros descentralizados em servidores de comando e controle à prova de desativação.

O grupo de ameaças UNC5142, motivado financeiramente, tem explorado contratos inteligentes de blockchain para disseminar malwares como Atomic, Lumma e Vidar, visando sistemas Windows e macOS. Segundo o Google Threat Intelligence Group, essa técnica, chamada ‘EtherHiding’, permite que o código malicioso seja ocultado em blockchains públicas, como a BNB Smart Chain. Desde junho de 2025, cerca de 14.000 páginas da web com JavaScript injetado foram identificadas, indicando um ataque indiscriminado a sites WordPress vulneráveis. O ataque utiliza um downloader JavaScript chamado CLEARSHORT, que baixa o malware em várias etapas, utilizando contratos inteligentes para buscar páginas de aterrissagem maliciosas. As vítimas são induzidas a executar comandos que instalam o malware em seus sistemas. A evolução das táticas do grupo inclui uma arquitetura de três contratos inteligentes, permitindo atualizações rápidas e maior resistência a ações de mitigação. Embora não tenha sido detectada atividade do UNC5142 desde julho de 2025, a técnica de abuso de blockchain representa um risco significativo para a segurança cibernética, especialmente em um cenário onde a tecnologia Web3 está em ascensão.

Um grupo de hackers associado à Coreia do Norte, identificado como UNC5342, está utilizando a técnica EtherHiding para distribuir malware e roubar criptomoedas. Este é o primeiro caso documentado de um grupo patrocinado por um estado adotando essa abordagem. A técnica consiste em embutir código malicioso em contratos inteligentes em blockchains públicas, como Ethereum, tornando a detecção e a remoção mais difíceis. A campanha, chamada ‘Contagious Interview’, envolve abordagens de engenharia social em plataformas como LinkedIn, onde os atacantes se passam por recrutadores para induzir as vítimas a executar códigos maliciosos. O objetivo é acessar máquinas de desenvolvedores, roubar dados sensíveis e criptomoedas. O Google Threat Intelligence Group observou essa atividade desde fevereiro de 2025, destacando a evolução das ameaças cibernéticas e a adaptação dos atacantes a novas tecnologias. O ataque utiliza uma cadeia de infecção que pode atingir sistemas Windows, macOS e Linux, empregando diferentes famílias de malware, incluindo um downloader e um backdoor chamado InvisibleFerret, que permite controle remoto das máquinas comprometidas.

Um estudo realizado por acadêmicos do Georgia Institute of Technology e da Purdue University revelou que as garantias de segurança do Intel Software Guard eXtensions (SGX) podem ser contornadas em sistemas DDR4, permitindo a descriptografia passiva de dados sensíveis. O SGX, que isola códigos e recursos confiáveis em um ambiente de execução confiável (TEE), foi projetado para proteger dados mesmo em sistemas comprometidos. No entanto, os pesquisadores demonstraram que um dispositivo interpositor pode ser utilizado para inspecionar fisicamente o tráfego de memória entre a CPU e o módulo de memória, extraindo chaves de atestação do SGX. Essa técnica, chamada WireTap, é semelhante ao ataque Battering RAM, mas foca na violação da confidencialidade. O ataque pode ser realizado com equipamentos acessíveis, embora o custo do setup do WireTap seja em torno de $1.000. A Intel respondeu afirmando que esse tipo de ataque está fora do escopo de seu modelo de ameaça, recomendando que servidores sejam operados em ambientes físicos seguros. A pesquisa levanta preocupações sobre a segurança de implementações de blockchain que utilizam SGX, como Phala Network e Secret Network, onde a confidencialidade e a integridade das transações podem ser comprometidas.

Recentes vazamentos de dados revelaram que grupos patrocinados pelo Estado da Coreia do Norte, como o ‘Jasper Sleet’, estão intensificando suas operações cibernéticas ao se infiltrar em empresas estrangeiras por meio de empregos remotos legítimos, especialmente nas áreas de Web3, blockchain e criptomoedas. A análise de endereços de e-mail vazados mostra padrões críticos que podem ajudar organizações a identificar candidatos fraudulentos antes de conceder acesso aos sistemas corporativos.

Os vazamentos expuseram 1.389 endereços de e-mail, muitos dos quais estavam associados a uma operação anterior, indicando uma infraestrutura operacional bem estabelecida. A maioria dos endereços utiliza o Gmail, com uma significativa presença de serviços de e-mail temporários, sugerindo práticas de segurança operacional sofisticadas. Além disso, a análise de senhas revelou padrões comuns, com algumas senhas únicas que não aparecem em bancos de dados conhecidos.