Discord

Pesquisadores de cibersegurança descobriram três pacotes npm maliciosos que visam distribuir um malware inédito chamado NodeCordRAT. Os pacotes, que foram removidos em novembro de 2025, são ‘bitcoin-main-lib’, ‘bitcoin-lib-js’ e ‘bip40’, todos enviados por um usuário identificado como ‘wenmoonx’. Os dois primeiros pacotes executam um script de pós-instalação que instala o pacote ‘bip40’, que contém o payload malicioso. O NodeCordRAT é um trojan de acesso remoto (RAT) que possui a capacidade de roubar credenciais do Google Chrome, tokens de API e frases-semente de carteiras de criptomoedas como a MetaMask. O malware utiliza servidores do Discord para comunicação de comando e controle, permitindo que o invasor execute comandos arbitrários, capture screenshots e exfiltre arquivos. A ameaça é considerada significativa, pois o ator por trás da campanha nomeou os pacotes de forma semelhante a repositórios legítimos do projeto bitcoinjs, o que pode enganar desenvolvedores. A Zscaler, empresa de cibersegurança que identificou a ameaça, alerta para a necessidade de vigilância em relação a pacotes npm e suas dependências.

Uma nova ameaça de cibersegurança, conhecida como VVS Stealer, foi identificada como um malware que utiliza técnicas avançadas de ofuscamento para roubar dados sensíveis de usuários do Discord. Desenvolvido em Python, o VVS Stealer é distribuído como um pacote PyInstaller, o que permite sua execução sem dependências adicionais. O malware é capaz de se esconder no sistema da vítima, copiando seu código para a pasta de inicialização do Windows e utilizando mensagens de erro falsas para evitar detecção. Além de focar no Discord, ele também coleta informações de navegadores baseados em Chromium e Firefox, como senhas e cookies, comprimindo esses dados em arquivos ZIP. O uso de Pyarmor, uma ferramenta legítima, para proteger o código do malware dificulta a análise por antivírus. A Unit 42 da Palo Alto Networks, que estuda a ameaça, alerta que o malware faz requisições a APIs do Discord para coletar dados do usuário sem necessidade de autenticação. O VVS Stealer está em desenvolvimento ativo desde abril de 2025 e é comercializado em plataformas como o Telegram. Os especialistas recomendam que as plataformas monitorem o roubo de credenciais para evitar incidentes semelhantes.

Pesquisadores de cibersegurança revelaram detalhes sobre um novo malware chamado VVS Stealer, que utiliza Python para roubar credenciais e tokens do Discord. O VVS Stealer, que está à venda no Telegram desde abril de 2025, é descrito como um ‘stealer’ acessível, com preços que variam de €10 por uma assinatura semanal a €199 por uma licença vitalícia. O código do malware é ofuscado com a ferramenta Pyarmor, dificultando a análise e detecção. Após ser instalado, o VVS Stealer se torna persistente, adicionando-se à pasta de inicialização do Windows e exibindo mensagens de erro falsas para enganar os usuários. Além de roubar dados do Discord, ele também coleta informações de navegadores como Chromium e Firefox, incluindo cookies, histórico e senhas. O malware é capaz de realizar ataques de injeção no Discord, interrompendo a aplicação e baixando um payload JavaScript ofuscado para monitorar o tráfego de rede. Essa nova ameaça destaca a crescente sofisticação dos malwares, que utilizam técnicas avançadas de ofuscação para evitar a detecção por ferramentas de segurança.

Luiz Fernando Souza, um jovem de 18 anos, foi preso em Agrolândia, Santa Catarina, após ser acusado de coagir meninas a se automutilarem por meio da plataforma Discord. Durante a investigação, a polícia encontrou materiais que incluíam imagens de jovens praticando automutilação e cenas de cunho sexual. Em um vídeo, Luiz revelou a idade de uma das vítimas, que teria apenas 12 ou 13 anos. A operação foi realizada após um mandado de prisão solicitado pela Justiça de São Paulo. Além das imagens de automutilação, a polícia também descobriu que as vítimas eram forçadas a marcar símbolos nazistas em seus corpos, incluindo os nomes de autoridades. Luiz foi detido em flagrante e teve um computador e um celular apreendidos para análise. O caso destaca o uso crescente de plataformas de comunicação online, como o Discord, para práticas criminosas, levantando preocupações sobre a segurança e a proteção de menores na internet.

Pesquisadores da Netskope identificaram que a ferramenta de código aberto RedTiger, originalmente desenvolvida para testes de segurança, está sendo utilizada por hackers para criar um infostealer que rouba dados de contas do Discord e informações de pagamento. O malware, que também captura credenciais armazenadas em navegadores, dados de carteiras de criptomoedas e informações de jogos como Roblox, é disseminado através de canais do Discord, sites maliciosos e vídeos no YouTube, disfarçado como mods ou boosters. A RedTiger permite a interceptação de dados do sistema, incluindo senhas e cookies, e injeta JavaScript no Discord para capturar eventos como tentativas de login e compras. Os dados coletados são enviados para os hackers via GoFile, um serviço de armazenamento em nuvem anônimo. A Netskope alerta que usuários franceses do Discord estão sendo os principais alvos, e recomenda que, em caso de suspeita de infecção, os usuários revoguem tokens, troquem senhas e reinstalem o aplicativo a partir do site oficial. A situação destaca a vulnerabilidade de usuários em plataformas populares e a necessidade de medidas de segurança robustas.

Uma nova ameaça cibernética chamada RedTiger está circulando, visando gamers em todo o mundo, especialmente aqueles que utilizam o Discord. Este infostealer foi projetado para roubar credenciais do Discord, contas de jogos e informações financeiras sensíveis. Inicialmente, RedTiger era uma ferramenta legítima de red-teaming lançada em 2024, mas agora foi adaptada por cibercriminosos para fins maliciosos. O malware injeta código malicioso diretamente no aplicativo Discord, além de coletar senhas salvas no navegador, informações de cartões de pagamento e credenciais de carteiras de criptomoedas. O RedTiger utiliza um processo de roubo de dados em duas etapas, enviando as informações roubadas para um serviço de armazenamento em nuvem, o que dificulta a rastreabilidade dos atacantes. Com mecanismos de persistência sofisticados, o malware pode reiniciar automaticamente após a inicialização do sistema, garantindo acesso contínuo ao dispositivo infectado. A natureza de código aberto do RedTiger permite que qualquer um modifique a ferramenta, criando variações que dificultam a detecção por softwares antivírus. Diante disso, é crucial que os gamers adotem práticas de segurança, como evitar downloads de fontes não confiáveis e utilizar senhas fortes e únicas.

Um novo malware baseado em Rust, chamado ChaosBot, foi descoberto utilizando a plataforma Discord para suas operações de Comando e Controle (C2). Diferente de botnets tradicionais, o ChaosBot oculta suas atividades maliciosas atrás do tráfego legítimo do Discord, criando canais de comunicação encobertos entre máquinas infectadas e atacantes. O malware valida seu acesso através da API do Discord, criando um canal privado que serve como um shell interativo, onde comandos como ‘shell’, ‘download’ e ‘scr’ (screenshot) podem ser executados. A infecção inicial ocorre por meio de credenciais comprometidas de VPN e Active Directory ou por e-mails de phishing disfarçados. O ChaosBot apresenta mecanismos avançados de evasão, como a desativação de rastreamento de eventos do Windows e a detecção de ambientes virtualizados, dificultando a identificação por ferramentas de segurança. A comunicação com a infraestrutura controlada pelos atacantes é realizada através de ferramentas legítimas, como o Fast Reverse Proxy (FRP) e o Visual Studio Code Tunnels, o que aumenta sua furtividade. Especialistas alertam que o uso de plataformas confiáveis para operações maliciosas representa uma tendência crescente entre famílias de malware em Rust, e recomendam que as organizações implementem autenticação multifator (MFA) e monitorem o tráfego da API do Discord.

Um incidente de segurança envolvendo o Discord resultou no vazamento de dados de até 70 mil usuários, incluindo informações sensíveis como passaportes e números de cartões de crédito. O problema foi inicialmente atribuído à 5CA, uma empresa de suporte ao cliente, que negou qualquer envolvimento direto, alegando que o incidente foi causado por ’erro humano’. A 5CA também afirmou que não tratou de documentos de identificação governamentais para o Discord e que seus sistemas permanecem seguros. Por outro lado, hackers alegaram que a invasão ocorreu através da Zendesk, onde uma conta de suporte teria sido comprometida. A Zendesk, assim como o Discord, negou qualquer envolvimento no incidente. Até o momento, o Discord não se manifestou sobre as alegações da 5CA, deixando a responsabilidade pelo vazamento em aberto. Este caso destaca a importância da segurança em plataformas de comunicação e a necessidade de uma abordagem rigorosa para proteger dados sensíveis dos usuários.

Pesquisadores da eSentire identificaram um novo malware chamado ChaosBot, que utiliza a plataforma Discord para roubar dados e criar uma backdoor em sistemas de computadores. O ataque foi inicialmente detectado no final de setembro de 2025, afetando clientes do setor financeiro no Vietnã. O ChaosBot é distribuído por meio de mensagens de phishing que contêm arquivos maliciosos, como atalhos do Windows que executam scripts PowerShell para baixar o malware. Uma das características mais notáveis é o uso do Discord para comando e controle, onde os hackers recebem instruções e podem executar ações como capturas de tela e download de outros agentes maliciosos. Além disso, uma variante em C++ do malware pode encriptar arquivos e realizar ataques de ransomware. O uso de credenciais comprometidas da Cisco VPN e contas com privilégios na Active Directory para a disseminação do vírus destaca a gravidade da ameaça. A situação exige atenção, pois o ChaosBot representa uma nova abordagem de cibercrime que pode ser replicada em outros contextos.

Pesquisas da Socket revelaram um aumento no uso de webhooks do Discord como canais de comando e controle (C2) em pacotes maliciosos distribuídos por npm, PyPI e RubyGems. Essa técnica permite que atacantes exfiltratem dados sensíveis para servidores do Discord controlados por eles, sem a necessidade de infraestrutura dedicada, o que torna a detecção e prevenção mais difíceis. Os webhooks do Discord são endpoints HTTPS que aceitam cargas JSON para postar mensagens em canais específicos, permitindo que qualquer pessoa com a URL do webhook envie dados sem revelar o histórico do canal. Exemplos incluem pacotes como mysql-dumpdiscord, que coleta arquivos de configuração e os envia para um webhook, e malinssx, que envia mensagens codificadas durante a instalação. O uso de webhooks reduz os custos e aumenta a furtividade das operações dos atacantes, levando a Socket a recomendar controles rigorosos de saída e análise comportamental para proteger a cadeia de suprimentos de software.

Pesquisadores de cibersegurança identificaram pacotes maliciosos nas plataformas npm, Python e Ruby que utilizam o Discord como canal de comando e controle (C2) para transmitir dados roubados. Os webhooks do Discord, que permitem postar mensagens em canais sem autenticação, são explorados por atacantes para exfiltrar informações. Por exemplo, pacotes como mysql-dumpdiscord e sqlcommenter_rails enviam dados sensíveis, como arquivos de configuração e informações do sistema, para webhooks controlados por criminosos. Além disso, uma campanha associada a atores de ameaças da Coreia do Norte resultou na publicação de 338 pacotes maliciosos, que foram baixados mais de 50.000 vezes. Esses pacotes, que muitas vezes são variações de nomes legítimos (typosquatting), visam desenvolvedores de Web3 e criptomoedas, utilizando técnicas de engenharia social para comprometer sistemas. A pesquisa destaca a facilidade com que os atacantes podem operar sem a necessidade de infraestrutura própria, tornando a detecção e mitigação mais desafiadoras.

Pesquisadores de cibersegurança revelaram um novo backdoor baseado em Rust chamado ChaosBot, que permite a operadores realizar reconhecimento e executar comandos arbitrários em sistemas comprometidos. O malware foi detectado pela primeira vez em setembro de 2025 em um ambiente de serviços financeiros. Os atacantes utilizaram credenciais comprometidas de uma conta do Active Directory e do Cisco VPN para implantar o ChaosBot, que se comunica via Discord, utilizando perfis como ‘chaos_00019’ para emitir comandos. O malware também pode ser distribuído através de mensagens de phishing que contêm arquivos de atalho maliciosos. Uma vez instalado, o ChaosBot realiza reconhecimento do sistema e estabelece um proxy reverso para manter acesso persistente. Além disso, uma variante do ransomware Chaos, escrita em C++, foi identificada, introduzindo capacidades destrutivas que excluem arquivos em vez de criptografá-los, além de manipular o conteúdo da área de transferência para fraudes financeiras. Essa combinação de extorsão destrutiva e roubo financeiro torna o Chaos uma ameaça multifacetada e agressiva.

O Discord, plataforma popular entre gamers, confirmou um vazamento de dados que comprometeu informações pessoais de aproximadamente 70.000 usuários globalmente. O incidente, que ocorreu devido a uma vulnerabilidade em uma empresa terceirizada de suporte ao consumidor, foi revelado no dia 3 de outubro, com detalhes adicionais divulgados em 8 de outubro. Os hackers acessaram o sistema de suporte por 58 horas, invadindo a conta de um funcionário e obtendo documentos de identificação, como carteiras de motorista e passaportes, que eram utilizados para verificação de idade. Embora o Discord tenha contestado números mais altos divulgados por hackers, que afirmaram ter acessado até 1,6 TB de dados, a empresa garantiu que não pagaria resgate e cortou vínculos com a prestadora de serviços. Informações como endereços de IP, usernames e dados parciais de pagamento também foram expostas. Todos os usuários afetados foram notificados, e a empresa reafirmou seu compromisso com a segurança dos dados dos usuários.

O Discord confirmou um vazamento de dados significativo após um ataque cibernético que comprometeu o ambiente de atendimento ao cliente da Zendesk, seu provedor de suporte terceirizado. Os atacantes, identificados como Scattered Lapsus$ Hunters (SLH), acessaram uma conta de agente de suporte e mantiveram o controle por 58 horas, durante as quais exfiltraram aproximadamente 1,5 terabytes de dados sensíveis. Embora os hackers tenham afirmado ter em mãos mais de 2 milhões de fotos de identificação, a investigação interna do Discord revelou que cerca de 70 mil imagens de identificação foram realmente expostas. Os dados roubados incluem nomes de usuários, endereços de e-mail, transcrições de mensagens de suporte e informações de pagamento limitadas. Após o incidente, o Discord revogou o acesso da Zendesk e notificou as autoridades competentes. O ataque destaca a vulnerabilidade das empresas em relação a ataques à cadeia de suprimentos, especialmente quando dependem de fornecedores com segurança menos robusta. O impacto total do vazamento ainda é incerto, mas o Discord se recusa a pagar o resgate exigido pelos atacantes e está monitorando a situação de perto.

Um ataque cibernético ao Discord, ocorrido em 20 de setembro, expôs dados pessoais e financeiros de usuários, incluindo nomes, e-mails e informações de pagamento. O incidente foi facilitado por uma falha em uma empresa terceirizada de suporte ao consumidor, possivelmente o Zendesk. Os hackers acessaram a fila de tickets de suporte, revelando detalhes sensíveis, como os últimos dígitos de cartões de crédito e até documentos como carteiras de motorista e passaportes. O Discord notificou os usuários afetados e revogou o acesso da empresa de suporte após identificar a vulnerabilidade. Embora o ataque tenha sido classificado como ransomware, com um pedido de resgate, a plataforma garantiu que dados completos de pagamento e senhas não foram comprometidos. O grupo hacker Scattered Lapsus$ Hunters inicialmente assumiu a responsabilidade, mas depois alegou que outros grupos estavam envolvidos. A investigação interna do Discord está em andamento para entender melhor a extensão do ataque e suas implicações.

Em agosto de 2025, a empresa de cibersegurança Cyfirma identificou o Inf0s3c Stealer, um malware baseado em Python que visa sistemas Windows e exfiltra dados através do Discord. O malware, um executável portátil de 64 bits, utiliza técnicas de empacotamento duplo com UPX e PyInstaller, dificultando a detecção por assinaturas e a engenharia reversa. Ao ser executado, ele coleta informações do sistema, como detalhes de hardware e parâmetros de rede, e realiza capturas de tela e imagens da webcam, se autorizado. A fase final do ataque foca no roubo de credenciais, extraindo dados de perfis de navegadores e senhas de Wi-Fi. Os dados coletados são organizados em pastas e enviados para um webhook malicioso no Discord, disfarçado em tráfego HTTPS legítimo. Para persistência, o malware se copia na pasta de Inicialização do Windows e pode desativar serviços antivírus. Para mitigar essa ameaça, recomenda-se a implementação de proteção de endpoint baseada em comportamento, filtragem de saída rigorosa e monitoramento de atividades suspeitas. A situação exige atenção, especialmente para organizações que utilizam o Discord e outras plataformas afetadas.

Um novo ataque cibernético está explorando uma falha no sistema de convites do Discord, permitindo que hackers sequestram links de convites expirados para redirecionar usuários a servidores fraudulentos. Ao clicar em links antigos, as vítimas são levadas a um canal de verificação onde um bot as instrui a executar um comando PowerShell malicioso. Essa técnica, conhecida como ‘ClickFix’, engana os usuários a infectarem seus próprios sistemas com malwares como AsyncRAT e Skuld Stealer. A vulnerabilidade reside na forma como o Discord gerencia os links de convite, que, quando expirados, podem ser registrados por cibercriminosos. Pesquisadores identificaram mais de 1.300 downloads dos arquivos maliciosos, com vítimas em diversos países, incluindo Estados Unidos e Reino Unido. Para se proteger, é aconselhável desconfiar de links antigos e evitar executar comandos desconhecidos. Administradores de servidores devem priorizar o uso de links de convite permanentes, que são mais difíceis de serem sequestrados.