Blockchain

A botnet Glassworm, que visava desenvolvedores em ataques à cadeia de suprimentos de software, foi desmantelada após uma operação coordenada entre CrowdStrike, Google e a Shadowserver Foundation. Desde outubro de 2025, a Glassworm utilizava extensões maliciosas do OpenVSX e do Microsoft VS Code para roubar carteiras de criptomoedas e credenciais de desenvolvedores. As campanhas se expandiram para repositórios do GitHub e pacotes npm, afetando mais de 400 artefatos de software em uma única onda de ataques. A infraestrutura de comando e controle (C2) da botnet era resistente, utilizando transações da blockchain Solana e a rede DHT do BitTorrent, o que dificultava sua desativação. Os pesquisadores destacaram que a combinação de canais de comunicação não tradicionais permitiu que a botnet sobrevivesse por tanto tempo. Para desmantelar a Glassworm, foi necessário interromper quatro canais C2 simultaneamente, o que impediu que máquinas infectadas recebessem novas instruções. Após a operação, máquinas comprometidas começaram a se conectar a um endereço IP controlado pela CrowdStrike, e organizações foram alertadas a tomar medidas imediatas de remediação.

Pesquisadores de cibersegurança identificaram uma nova versão do trojan bancário TrickMo, que utiliza a blockchain TON para suas comunicações de comando e controle. Observada entre janeiro e fevereiro de 2026, essa variante tem como alvo usuários de bancos e carteiras de criptomoedas na França, Itália e Áustria. O TrickMo, ativo desde 2019, é um malware que se aproveita dos serviços de acessibilidade do Android para sequestrar senhas de uso único (OTPs) e possui uma gama de funcionalidades, como phishing de credenciais, registro de teclas e interceptação de mensagens SMS. A nova versão, chamada TrickMo C, é distribuída por meio de aplicativos dropper que se disfarçam como versões de TikTok e Google Play Services. Uma mudança significativa na arquitetura do malware é a implementação de um proxy SOCKS5, que transforma dispositivos comprometidos em nós de saída de rede, permitindo que o tráfego malicioso seja roteado sem ser detectado. Além disso, o TrickMo inclui funcionalidades inativas que podem ser ativadas no futuro, indicando uma intenção de expandir suas capacidades. Essa evolução no malware representa um risco elevado, especialmente para instituições financeiras e usuários de criptomoedas, devido à sua capacidade de operar de forma furtiva e eficiente.

Em março de 2026, o Atos Threat Research Center (TRC) identificou uma campanha maliciosa sofisticada que visa contas profissionais de alto privilégio, como administradores de empresas e engenheiros de DevOps. A operação utiliza técnicas avançadas, como envenenamento de SEO e uma arquitetura de distribuição em duas etapas via GitHub, para enganar as vítimas. Inicialmente, os usuários são direcionados a um repositório ‘fachada’ otimizado para SEO, que parece legítimo, mas redireciona para um segundo repositório que contém o malware disfarçado de ferramentas administrativas populares. Essa estratégia permite que os atacantes mantenham a visibilidade nos resultados de busca, mesmo após possíveis intervenções. Além disso, a campanha implementa um controle de comando e controle descentralizado utilizando contratos inteligentes na blockchain Ethereum, o que aumenta a resiliência da infraestrutura maliciosa. A análise técnica revela que a campanha continua ativa e evoluindo, com variantes do malware sendo identificadas. A complexidade e a persistência dessa ameaça destacam a necessidade de vigilância contínua e medidas de mitigação eficazes por parte das equipes de segurança cibernética.

Um novo relatório da Qrator Labs revela que a maior botnet já registrada cresceu de 1,33 milhão para 13,5 milhões de dispositivos infectados em apenas um ano, um aumento alarmante de dez vezes. A maioria dos dispositivos comprometidos está localizada nos Estados Unidos, Brasil e Índia, dificultando a eficácia de bloqueios baseados em país. Um dos ataques DDoS mais significativos, com pico de 2Tbps, ocorreu no primeiro trimestre de 2026, visando uma organização do setor de apostas e durou mais de 40 minutos, com múltiplos picos de intensidade. Os pesquisadores notaram uma mudança nas táticas dos atacantes, que agora utilizam métodos multi-vetoriais, combinando tráfego de rede e de aplicação. Além disso, um novo loader de botnet, conhecido como Aeternum C2, utiliza a blockchain Polygon para suas operações, tornando a desativação mais complexa. O aumento de tráfego automatizado e ataques prolongados, como um que durou mais de duas semanas contra um alvo de e-commerce, também foram observados, destacando a evolução das ameaças cibernéticas.

O Drift Protocol, uma plataforma de negociação DeFi baseada na blockchain Solana, sofreu um ataque sofisticado que resultou na perda de pelo menos $280 milhões. O ataque foi atribuído a hackers norte-coreanos, conforme indicado por empresas de inteligência em blockchain, como Elliptic e TRM Labs. Os atacantes utilizaram contas de nonce duráveis e transações pré-assinadas para atrasar a execução de suas ações até um momento escolhido, permitindo que tomassem o controle administrativo da plataforma rapidamente. O ataque ocorreu entre 23 e 30 de março, culminando em uma transação legítima seguida pela execução de transações maliciosas em 1º de abril, o que resultou na transferência de controle administrativo para o hacker. Após a detecção de atividades incomuns, o Drift Protocol emitiu um alerta público e congelou suas operações. A plataforma está colaborando com firmas de segurança e autoridades para rastrear e congelar os fundos roubados, prometendo um relatório detalhado sobre o incidente em breve.

O Drift Protocol, uma plataforma de negociação DeFi baseada na blockchain Solana, sofreu um ataque cibernético que resultou na perda de pelo menos $280 milhões. O invasor conseguiu assumir o controle das funções administrativas do Conselho de Segurança da plataforma por meio de uma operação planejada e sofisticada, utilizando contas de nonce duráveis e transações pré-assinadas. O ataque foi preparado entre 23 e 30 de março, quando o hacker configurou as contas e obteve aprovações de 2/5 dos membros do Conselho de Segurança, permitindo a assinatura de transações maliciosas que não foram executadas imediatamente. No dia 1º de abril, o invasor realizou uma transação legítima e, em seguida, executou as transações maliciosas pré-assinadas, transferindo o controle administrativo para si em questão de minutos. Após o ataque, a Drift emitiu um alerta público, suspendendo depósitos e congelando funções da plataforma. A empresa está colaborando com firmas de segurança e autoridades para rastrear os fundos roubados e promete divulgar um relatório detalhado sobre o incidente em breve.

Pesquisadores de cibersegurança revelaram um novo loader de botnet chamado Aeternum C2, que utiliza uma infraestrutura de comando e controle (C2) baseada em blockchain para resistir a tentativas de derrubada. Ao invés de depender de servidores tradicionais, o Aeternum armazena suas instruções na blockchain pública Polygon, tornando sua infraestrutura de C2 praticamente permanente. Essa abordagem já foi observada em outras botnets, como a Glupteba, que usava a blockchain do Bitcoin como mecanismo de backup.

A Figure Technology Solutions, uma empresa de tecnologia financeira baseada em blockchain, sofreu uma violação de dados que resultou no roubo de informações pessoais de aproximadamente 1 milhão de contas. O incidente, que não foi divulgado publicamente pela empresa, foi confirmado por um porta-voz em uma declaração ao TechCrunch, que mencionou que os atacantes obtiveram acesso a um número limitado de arquivos por meio de um ataque de engenharia social. A plataforma de empréstimos fintech teve dados de 967.200 contas expostos, incluindo endereços de e-mail, nomes, números de telefone, endereços físicos e datas de nascimento. O grupo de extorsão ShinyHunters assumiu a responsabilidade pelo ataque, publicando 2,5 GB de dados supostamente roubados de candidatos a empréstimos. O ataque se insere em uma série de violações recentes que afetaram outras empresas de destaque, como Canada Goose e Match Group, muitas das quais foram alvo de campanhas de phishing por voz (vishing) que visavam contas de login de acesso único (SSO). A situação destaca a crescente ameaça de ataques de engenharia social e a importância de medidas de segurança robustas para proteger dados sensíveis.

A Step Finance, plataforma de finanças descentralizadas (DeFi) baseada na blockchain Solana, anunciou a perda de aproximadamente US$ 40 milhões em ativos digitais após um ataque cibernético que comprometeu dispositivos de sua equipe executiva. O incidente foi detectado em 31 de janeiro, quando a empresa revelou que várias de suas carteiras de tesouraria foram invadidas por um ator sofisticado utilizando um ‘vetor de ataque bem conhecido’. Embora a empresa tenha conseguido recuperar cerca de US$ 4,7 milhões em ativos, a magnitude da perda é alarmante, especialmente considerando que representa apenas uma fração dos US$ 398 milhões perdidos em ataques de roubo de criptomoedas no mesmo mês. A Step Finance tomou medidas imediatas, notificando as autoridades e suspendendo algumas operações para reforçar a segurança. A empresa também aconselhou os usuários a não interagir com seu token nativo, $STEP, até que a investigação seja concluída. O ataque gerou especulações sobre a possibilidade de um ‘rug pull’ ou um ’trabalho interno’, mas a Step Finance não forneceu detalhes sobre os perpetradores. Este incidente destaca a crescente vulnerabilidade das plataformas DeFi e a necessidade de medidas de segurança robustas no setor.

O grupo de ameaças cibernéticas norte-coreano conhecido como Konni tem sido observado utilizando malware PowerShell gerado por ferramentas de inteligência artificial (IA) para atacar desenvolvedores e equipes de engenharia no setor de blockchain. A campanha de phishing, que se expandiu para além da Coreia do Sul, agora mira países como Japão, Austrália e Índia. Konni, ativo desde 2014, é conhecido por suas táticas de engenharia social, como o uso de e-mails de spear-phishing que disfarçam links maliciosos como URLs de publicidade legítimas. Recentemente, a campanha denominada Operação Poseidon tem se concentrado em imitar organizações de direitos humanos e instituições financeiras sul-coreanas. Os ataques utilizam sites WordPress mal configurados para distribuir malware e infraestrutura de comando e controle. O malware, chamado EndRAT, é entregue através de arquivos ZIP que contêm atalhos do Windows projetados para executar scripts maliciosos. A análise sugere que a estrutura modular do backdoor PowerShell pode ter sido criada com a ajuda de ferramentas de IA, indicando uma evolução nas táticas do grupo, que agora busca comprometer ambientes de desenvolvimento para acesso mais amplo a projetos e serviços.

O grupo de hackers norte-coreano Konni (também conhecido como Opal Sleet ou TA406) está utilizando malware PowerShell gerado por inteligência artificial para atacar desenvolvedores e engenheiros no setor de blockchain. Ativo desde 2014, o grupo é associado a atividades de APT37 e Kimsuky, e tem como alvo organizações na Coreia do Sul, Rússia, Ucrânia e diversos países da Europa. A mais recente campanha do grupo foca na região da Ásia-Pacífico, com amostras de malware enviadas de países como Japão, Austrália e Índia.

Uma nova onda de ataques conhecidos como GoBruteforcer está direcionando suas ações contra bancos de dados de projetos de criptomoedas e blockchain, com o objetivo de cooptá-los em uma botnet capaz de realizar ataques de força bruta em senhas de serviços como FTP, MySQL e phpMyAdmin em servidores Linux. Segundo a Check Point Research, essa campanha é impulsionada pela reutilização em massa de exemplos de implantação de servidores gerados por inteligência artificial, que propagam nomes de usuários comuns e configurações padrão fracas. O GoBruteforcer, documentado pela primeira vez em março de 2023, tem se mostrado eficaz em plataformas Unix-like, utilizando um bot IRC e um shell web para acesso remoto. A análise mais recente revelou uma versão mais sofisticada do malware, que inclui um bot IRC ofuscado e listas dinâmicas de credenciais. Os atacantes utilizam uma combinação de nomes de usuários e senhas comuns, muitos dos quais são encontrados em tutoriais e documentação de fornecedores, o que facilita a exploração. Além disso, a campanha também visa endereços de blockchain, indicando um esforço coordenado para atacar projetos nesse setor. A Check Point destaca que a combinação de infraestrutura exposta, credenciais fracas e ferramentas automatizadas representa um problema persistente na segurança cibernética.

A campanha de cibersegurança conhecida como GlassWorm voltou a atacar, infiltrando 24 extensões maliciosas no Microsoft Visual Studio Marketplace e Open VSX. Essas extensões se disfarçam de ferramentas populares para desenvolvedores, como Flutter e React, e têm como objetivo roubar credenciais do GitHub, npm e Open VSX, além de drenar ativos de criptomoedas de diversas carteiras. A GlassWorm, que utiliza a blockchain Solana para controle de comando e controle (C2), foi documentada pela primeira vez em outubro de 2025 e já causou sérios danos ao comprometer pacotes e extensões adicionais, espalhando o malware de forma semelhante a um verme. A última onda de ataques, identificada por John Tuckner da Secure Annex, envolveu a manipulação de contagens de downloads para enganar desenvolvedores. As extensões maliciosas contêm implantes em Rust que visam sistemas Windows e macOS, permitindo que os atacantes baixem cargas úteis adicionais. A situação é crítica, pois muitos desenvolvedores podem ser facilmente enganados por essas extensões, colocando suas máquinas e dados em risco.

Em um ataque significativo ao ecossistema DeFi, a Check Point Research revelou que contratos do ComposableStablePool da Balancer V2 foram explorados em 3 de novembro de 2025, resultando no roubo de $128,64 milhões em menos de 30 minutos. Os atacantes aproveitaram uma falha sutil de precisão aritmética na lógica de invariantes da pool da Balancer, transformando um erro de arredondamento em uma cadeia de exploração catastrófica que contornou mecanismos de segurança padrão. A vulnerabilidade originou-se na função _upscaleArray, que escalava saldos de tokens durante o cálculo de invariantes. Ao manipular os saldos para a faixa microscópica de 8-9 wei, a lógica de divisão inteira do Solidity causou discrepâncias de arredondamento que poderiam chegar a dez por cento por operação. O ataque foi realizado em uma sequência de 65 operações de batchSwap, amplificando perdas de precisão em uma distorção total do valor D da pool. A análise on-chain vinculou a exploração a um contrato específico, e os atacantes conseguiram acumular ativos roubados dentro da camada de contabilidade do Vault da Balancer. Apesar de múltiplas auditorias, a falha sobreviveu devido ao foco da análise em transações únicas, em vez de desvios aritméticos cumulativos. Este evento destaca a importância da modelagem adversarial e do monitoramento contínuo de invariantes nas bibliotecas matemáticas do DeFi.

Recentemente, o grupo de ameaças cibernéticas associado à Coreia do Norte, conhecido como Lazarus Group, tem direcionado suas atividades para os setores de Web3 e blockchain através de duas campanhas chamadas GhostCall e GhostHire. De acordo com a Kaspersky, essas operações fazem parte de uma iniciativa mais ampla chamada SnatchCrypto, que está em andamento desde 2017. A campanha GhostCall foca em dispositivos macOS de executivos de empresas de tecnologia e capital de risco, utilizando táticas de engenharia social via Telegram para convidar as vítimas a reuniões de investimento em sites de phishing que imitam plataformas como Zoom. Já a GhostHire visa desenvolvedores Web3, induzindo-os a baixar repositórios maliciosos do GitHub sob o pretexto de avaliações de habilidades. Ambas as campanhas têm mostrado um aumento na atividade desde 2023, com um foco particular em países como Japão, Itália e Austrália. As técnicas utilizadas incluem a instalação de malwares sofisticados que podem roubar credenciais e dados sensíveis, representando um risco significativo para as organizações afetadas.

Pesquisadores de cibersegurança identificaram um worm autorreplicante, denominado GlassWorm, que se espalha por meio de extensões do Visual Studio Code (VS Code) disponíveis no Open VSX Registry e no Microsoft Extension Marketplace. Este ataque sofisticado, o segundo do tipo em um mês, utiliza a blockchain Solana para seu comando e controle (C2), o que dificulta a sua neutralização. Além disso, o worm emprega caracteres Unicode invisíveis para ocultar o código malicioso nos editores de código.

Um recente relatório do Google Threat Intelligence Group (GTIG) revelou que mais de 14.000 sites WordPress foram comprometidos por um grupo de hackers conhecido como UNC5142, que operou entre o final de 2023 e julho de 2025. Este grupo utilizou vulnerabilidades em plugins e temas para implantar um downloader JavaScript chamado CLEARSHOT, que facilitava a distribuição de malware. O uso de tecnologia blockchain para armazenar partes da infraestrutura do ataque aumentou a resiliência do grupo e dificultou as operações de remoção. O malware era distribuído através de páginas de phishing que induziam os usuários a executar comandos maliciosos em seus sistemas, utilizando a técnica de engenharia social chamada ClickFix. As páginas de destino eram frequentemente hospedadas em servidores da Cloudflare e acessadas em formato criptografado, complicando ainda mais a detecção e mitigação do ataque. A combinação de técnicas de ofuscação e a utilização de blockchain tornam este incidente um alerta significativo para a segurança cibernética, especialmente para organizações que utilizam WordPress.

Um grupo de hackers da Coreia do Norte, associado à campanha Contagious Interview, está aprimorando suas ferramentas de malware, conforme revelado por novas investigações da Cisco Talos. As funcionalidades dos malwares BeaverTail e OtterCookie estão se aproximando, com o OtterCookie agora incorporando um módulo para keylogging e captura de telas. Essa atividade é parte de uma campanha de recrutamento fraudulenta que começou em 2022, onde os atacantes se passam por empresas para enganar candidatos a emprego e instalar malware que rouba informações. Recentemente, o grupo também começou a usar uma técnica chamada EtherHiding para buscar cargas úteis em blockchains como BNB Smart Chain e Ethereum, transformando essas infraestruturas descentralizadas em servidores de comando e controle. A campanha tem como alvo usuários que caem em ofertas de emprego falsas, levando à infecção de sistemas. Um exemplo recente envolve um aplicativo Node.js malicioso chamado Chessfi, que foi distribuído através do repositório Bitbucket. O malware evoluiu para incluir módulos que monitoram o clipboard e roubam dados de extensões de criptomoedas, aumentando o risco de roubo de informações sensíveis e acesso remoto. Essa situação destaca a necessidade de vigilância constante e medidas de segurança robustas para proteger dados sensíveis.

O Google Threat Intelligence Group (GTIG) revelou que o grupo de hackers norte-coreano UNC5342 está utilizando uma técnica inovadora chamada EtherHiding para realizar roubos em larga escala de criptomoedas. Essa técnica, que foi inicialmente associada a grupos motivados financeiramente, envolve a inserção de códigos maliciosos em contratos inteligentes de blockchains, como BNB Smart Chain e Ethereum, transformando esses registros descentralizados em servidores de comando e controle à prova de desativação.

O grupo de ameaças UNC5142, motivado financeiramente, tem explorado contratos inteligentes de blockchain para disseminar malwares como Atomic, Lumma e Vidar, visando sistemas Windows e macOS. Segundo o Google Threat Intelligence Group, essa técnica, chamada ‘EtherHiding’, permite que o código malicioso seja ocultado em blockchains públicas, como a BNB Smart Chain. Desde junho de 2025, cerca de 14.000 páginas da web com JavaScript injetado foram identificadas, indicando um ataque indiscriminado a sites WordPress vulneráveis. O ataque utiliza um downloader JavaScript chamado CLEARSHORT, que baixa o malware em várias etapas, utilizando contratos inteligentes para buscar páginas de aterrissagem maliciosas. As vítimas são induzidas a executar comandos que instalam o malware em seus sistemas. A evolução das táticas do grupo inclui uma arquitetura de três contratos inteligentes, permitindo atualizações rápidas e maior resistência a ações de mitigação. Embora não tenha sido detectada atividade do UNC5142 desde julho de 2025, a técnica de abuso de blockchain representa um risco significativo para a segurança cibernética, especialmente em um cenário onde a tecnologia Web3 está em ascensão.

Um grupo de hackers associado à Coreia do Norte, identificado como UNC5342, está utilizando a técnica EtherHiding para distribuir malware e roubar criptomoedas. Este é o primeiro caso documentado de um grupo patrocinado por um estado adotando essa abordagem. A técnica consiste em embutir código malicioso em contratos inteligentes em blockchains públicas, como Ethereum, tornando a detecção e a remoção mais difíceis. A campanha, chamada ‘Contagious Interview’, envolve abordagens de engenharia social em plataformas como LinkedIn, onde os atacantes se passam por recrutadores para induzir as vítimas a executar códigos maliciosos. O objetivo é acessar máquinas de desenvolvedores, roubar dados sensíveis e criptomoedas. O Google Threat Intelligence Group observou essa atividade desde fevereiro de 2025, destacando a evolução das ameaças cibernéticas e a adaptação dos atacantes a novas tecnologias. O ataque utiliza uma cadeia de infecção que pode atingir sistemas Windows, macOS e Linux, empregando diferentes famílias de malware, incluindo um downloader e um backdoor chamado InvisibleFerret, que permite controle remoto das máquinas comprometidas.

Um estudo realizado por acadêmicos do Georgia Institute of Technology e da Purdue University revelou que as garantias de segurança do Intel Software Guard eXtensions (SGX) podem ser contornadas em sistemas DDR4, permitindo a descriptografia passiva de dados sensíveis. O SGX, que isola códigos e recursos confiáveis em um ambiente de execução confiável (TEE), foi projetado para proteger dados mesmo em sistemas comprometidos. No entanto, os pesquisadores demonstraram que um dispositivo interpositor pode ser utilizado para inspecionar fisicamente o tráfego de memória entre a CPU e o módulo de memória, extraindo chaves de atestação do SGX. Essa técnica, chamada WireTap, é semelhante ao ataque Battering RAM, mas foca na violação da confidencialidade. O ataque pode ser realizado com equipamentos acessíveis, embora o custo do setup do WireTap seja em torno de $1.000. A Intel respondeu afirmando que esse tipo de ataque está fora do escopo de seu modelo de ameaça, recomendando que servidores sejam operados em ambientes físicos seguros. A pesquisa levanta preocupações sobre a segurança de implementações de blockchain que utilizam SGX, como Phala Network e Secret Network, onde a confidencialidade e a integridade das transações podem ser comprometidas.

Recentes vazamentos de dados revelaram que grupos patrocinados pelo Estado da Coreia do Norte, como o ‘Jasper Sleet’, estão intensificando suas operações cibernéticas ao se infiltrar em empresas estrangeiras por meio de empregos remotos legítimos, especialmente nas áreas de Web3, blockchain e criptomoedas. A análise de endereços de e-mail vazados mostra padrões críticos que podem ajudar organizações a identificar candidatos fraudulentos antes de conceder acesso aos sistemas corporativos.

Os vazamentos expuseram 1.389 endereços de e-mail, muitos dos quais estavam associados a uma operação anterior, indicando uma infraestrutura operacional bem estabelecida. A maioria dos endereços utiliza o Gmail, com uma significativa presença de serviços de e-mail temporários, sugerindo práticas de segurança operacional sofisticadas. Além disso, a análise de senhas revelou padrões comuns, com algumas senhas únicas que não aparecem em bancos de dados conhecidos.