Ethereum

Pesquisadores de cibersegurança descobriram uma extensão maliciosa do Chrome chamada “Safery: Ethereum Wallet”, que se apresenta como uma carteira legítima de Ethereum, mas possui funcionalidades para exfiltrar as frases-semente dos usuários. Lançada na Chrome Web Store em 29 de setembro de 2025 e atualizada até 12 de novembro, a extensão ainda está disponível para download. O malware embutido na extensão é projetado para roubar frases mnemônicas de carteiras, codificando-as como endereços falsos de Sui e realizando microtransações de uma carteira controlada pelo atacante. O objetivo final é ocultar a frase-semente dentro de transações normais da blockchain, evitando a necessidade de um servidor de comando e controle. Os usuários são aconselhados a utilizar apenas extensões de carteira confiáveis e a realizar verificações em extensões que possam conter codificadores mnemônicos. A técnica utilizada pelos atacantes permite que eles mudem facilmente de cadeias e pontos de extremidade RPC, tornando as detecções convencionais ineficazes.

Pesquisadores de cibersegurança identificaram uma nova extensão maliciosa no registro Open VSX, que contém um trojan de acesso remoto chamado SleepyDuck. A extensão, denominada juan-bianco.solidity-vlang (versão 0.0.7), foi publicada em 31 de outubro de 2025, inicialmente como uma biblioteca inofensiva, mas foi atualizada para a versão 0.0.8 em 1º de novembro, após atingir 14.000 downloads. O malware utiliza técnicas de evasão de sandbox e um contrato Ethereum para atualizar seu endereço de comando e controle caso o original seja desativado. O ataque é ativado ao abrir uma nova janela de editor de código ou selecionar um arquivo .sol, permitindo que o malware colete informações do sistema e as exfiltre para um servidor remoto. Além disso, a extensão pode se reconfigurar para contornar a detecção e executar comandos de emergência. Este incidente se junta a uma série de campanhas que visam desenvolvedores de Solidity, destacando a necessidade de cautela ao baixar extensões. A Microsoft anunciou que está implementando varreduras periódicas no marketplace para proteger os usuários contra malware.

Pesquisadores de cibersegurança descobriram dois crates maliciosos escritos em Rust, chamados faster_log e async_println, que se disfarçam como uma biblioteca legítima chamada fast_log. Esses crates foram publicados por um ator de ameaça sob os pseudônimos rustguruman e dumbnbased em 25 de maio de 2025, acumulando 8.424 downloads. O código malicioso embutido nos crates é projetado para escanear arquivos de código-fonte em busca de chaves privadas de carteiras Solana e Ethereum, enviando as informações coletadas para um servidor de comando e controle (C2) via HTTP POST. A vulnerabilidade foi identificada após uma divulgação responsável, levando os mantenedores do crates.io a remover os pacotes e desativar as contas dos autores. O ataque, classificado como typosquatting, utiliza um logger funcional com um nome familiar, o que pode passar despercebido em revisões superficiais. A campanha destaca como uma pequena quantidade de código malicioso pode representar um risco significativo na cadeia de suprimentos de software, especialmente em ambientes de desenvolvimento e integração contínua.

Recentemente, quatro pacotes maliciosos foram identificados no registro npm, projetados para roubar credenciais de carteiras de criptomoedas de desenvolvedores Ethereum. Os pacotes, que se disfarçam como utilitários criptográficos legítimos e infraestrutura MEV da Flashbots, exfiltram chaves privadas e frases mnemônicas para um bot do Telegram controlado por atacantes. O primeiro pacote foi carregado em setembro de 2023, e o mais recente em agosto de 2025. Entre os pacotes, o ‘@flashbotts/ethers-provider-bundle’ é o mais perigoso, pois oculta operações maliciosas sob a aparência de compatibilidade com a API da Flashbots, redirecionando transações não assinadas para carteiras controladas pelos atacantes. A presença de comentários em vietnamita no código-fonte sugere que os atacantes podem ser falantes de vietnamita. Essa situação destaca a exploração da confiança dos desenvolvedores em pacotes conhecidos, transformando o desenvolvimento Web3 em um canal direto para bots maliciosos. A confiança depositada na Flashbots, amplamente utilizada por desenvolvedores DeFi, aumenta o risco de adoção desses pacotes comprometidos, resultando em possíveis perdas financeiras significativas.

Pesquisadores de cibersegurança identificaram dois novos pacotes maliciosos no registro npm que utilizam contratos inteligentes da blockchain Ethereum para executar ações prejudiciais em sistemas comprometidos. Os pacotes, chamados ‘colortoolsv2’ e ‘mimelib2’, foram carregados em julho de 2025 e já não estão mais disponíveis para download. Segundo a pesquisadora Lucija Valentić, da ReversingLabs, esses pacotes ocultavam comandos maliciosos que instalavam malware downloader em sistemas afetados. Embora os pacotes em si não tentassem disfarçar sua funcionalidade maliciosa, os projetos do GitHub que os importaram foram elaborados para parecerem legítimos. A investigação revelou que esses pacotes estavam associados a uma rede de repositórios GitHub que alegavam ser bots de negociação de criptomoedas, visando principalmente desenvolvedores e usuários de criptomoedas. A técnica de usar contratos inteligentes para ocultar URLs de payloads é uma nova abordagem que os atacantes estão adotando para evitar a detecção. A ReversingLabs alerta que é crucial que os desenvolvedores avaliem cuidadosamente cada biblioteca antes de integrá-la em seus projetos, considerando não apenas os números de downloads e mantenedores, mas também a credibilidade dos desenvolvedores por trás dos pacotes.