Ethereum

Um novo malware chamado EtherRAT, vinculado a atores de ameaças da Coreia do Norte, está explorando uma vulnerabilidade crítica recentemente divulgada no React Server Components (RSC). Essa falha, identificada como CVE-2025-55182, possui uma pontuação CVSS de 10.0, indicando sua gravidade máxima. O EtherRAT utiliza contratos inteligentes do Ethereum para resolver comandos de controle e possui cinco mecanismos independentes de persistência no Linux, o que permite que ele mantenha acesso contínuo aos sistemas infectados. O ataque geralmente começa com uma abordagem de engenharia social, onde os desenvolvedores de blockchain e Web3 são alvos de entrevistas de emprego falsas. Após a exploração da vulnerabilidade, um script shell é baixado e executado, instalando o malware. O EtherRAT se destaca por sua capacidade de se atualizar e por usar um mecanismo de votação de consenso entre nove endpoints RPC do Ethereum para obter URLs de servidores de comando e controle, dificultando a detecção e a neutralização. Essa evolução na exploração da vulnerabilidade do React representa um desafio significativo para as defesas tradicionais, exigindo atenção especial dos profissionais de segurança cibernética.

Pesquisadores de cibersegurança identificaram um pacote Rust malicioso, denominado ’evm-units’, que visa sistemas operacionais Windows, macOS e Linux. O pacote foi disponibilizado no repositório crates.io em abril de 2025 e, em oito meses, acumulou mais de 7.000 downloads. Ele se disfarça como uma ferramenta auxiliar da Ethereum Virtual Machine (EVM) e possui funcionalidades maliciosas que permitem a execução silenciosa em máquinas de desenvolvedores. O pacote verifica a presença do processo ‘qhsafetray.exe’, associado ao antivírus Qihoo 360, e, dependendo do sistema operacional, baixa e executa um payload em segundo plano. No Linux, um script é salvo em /tmp/init; no macOS, um arquivo chamado init é executado; e no Windows, um script PowerShell é criado. A detecção do antivírus altera o fluxo de execução, permitindo que o código malicioso seja executado sem que o usuário perceba. Este incidente destaca a crescente preocupação com a segurança na cadeia de suprimentos de software, especialmente em um contexto onde o mercado de criptomoedas é alvo frequente de ataques.

Pesquisadores de cibersegurança alertaram sobre a botnet Tsundere, que está em expansão e visa usuários do Windows. Desde meados de 2025, essa ameaça é capaz de executar código JavaScript arbitrário a partir de um servidor de comando e controle (C2). Embora os detalhes sobre a propagação do malware ainda sejam escassos, há indícios de que os atacantes tenham utilizado uma ferramenta legítima de Monitoramento e Gerenciamento Remoto (RMM) para baixar um arquivo MSI de um site comprometido. Os nomes dos artefatos de malware, como Valorant e cs2, sugerem que a botnet pode estar sendo disseminada através de iscas relacionadas a jogos, possivelmente visando usuários em busca de versões piratas. O instalador falso é projetado para instalar o Node.js e executar um script que decifra e executa o payload principal da botnet. A análise também revelou que a botnet utiliza a blockchain Ethereum para obter detalhes do servidor C2, permitindo uma infraestrutura resiliente. Embora a origem exata dos atacantes não seja clara, a presença do idioma russo no código sugere que eles são falantes dessa língua. A botnet Tsundere representa uma ameaça significativa, com a capacidade de se adaptar a várias ações maliciosas.

Pesquisadores de cibersegurança descobriram uma extensão maliciosa do Chrome chamada “Safery: Ethereum Wallet”, que se apresenta como uma carteira legítima de Ethereum, mas possui funcionalidades para exfiltrar as frases-semente dos usuários. Lançada na Chrome Web Store em 29 de setembro de 2025 e atualizada até 12 de novembro, a extensão ainda está disponível para download. O malware embutido na extensão é projetado para roubar frases mnemônicas de carteiras, codificando-as como endereços falsos de Sui e realizando microtransações de uma carteira controlada pelo atacante. O objetivo final é ocultar a frase-semente dentro de transações normais da blockchain, evitando a necessidade de um servidor de comando e controle. Os usuários são aconselhados a utilizar apenas extensões de carteira confiáveis e a realizar verificações em extensões que possam conter codificadores mnemônicos. A técnica utilizada pelos atacantes permite que eles mudem facilmente de cadeias e pontos de extremidade RPC, tornando as detecções convencionais ineficazes.

Pesquisadores de cibersegurança identificaram uma nova extensão maliciosa no registro Open VSX, que contém um trojan de acesso remoto chamado SleepyDuck. A extensão, denominada juan-bianco.solidity-vlang (versão 0.0.7), foi publicada em 31 de outubro de 2025, inicialmente como uma biblioteca inofensiva, mas foi atualizada para a versão 0.0.8 em 1º de novembro, após atingir 14.000 downloads. O malware utiliza técnicas de evasão de sandbox e um contrato Ethereum para atualizar seu endereço de comando e controle caso o original seja desativado. O ataque é ativado ao abrir uma nova janela de editor de código ou selecionar um arquivo .sol, permitindo que o malware colete informações do sistema e as exfiltre para um servidor remoto. Além disso, a extensão pode se reconfigurar para contornar a detecção e executar comandos de emergência. Este incidente se junta a uma série de campanhas que visam desenvolvedores de Solidity, destacando a necessidade de cautela ao baixar extensões. A Microsoft anunciou que está implementando varreduras periódicas no marketplace para proteger os usuários contra malware.

Pesquisadores de cibersegurança descobriram dois crates maliciosos escritos em Rust, chamados faster_log e async_println, que se disfarçam como uma biblioteca legítima chamada fast_log. Esses crates foram publicados por um ator de ameaça sob os pseudônimos rustguruman e dumbnbased em 25 de maio de 2025, acumulando 8.424 downloads. O código malicioso embutido nos crates é projetado para escanear arquivos de código-fonte em busca de chaves privadas de carteiras Solana e Ethereum, enviando as informações coletadas para um servidor de comando e controle (C2) via HTTP POST. A vulnerabilidade foi identificada após uma divulgação responsável, levando os mantenedores do crates.io a remover os pacotes e desativar as contas dos autores. O ataque, classificado como typosquatting, utiliza um logger funcional com um nome familiar, o que pode passar despercebido em revisões superficiais. A campanha destaca como uma pequena quantidade de código malicioso pode representar um risco significativo na cadeia de suprimentos de software, especialmente em ambientes de desenvolvimento e integração contínua.

Recentemente, quatro pacotes maliciosos foram identificados no registro npm, projetados para roubar credenciais de carteiras de criptomoedas de desenvolvedores Ethereum. Os pacotes, que se disfarçam como utilitários criptográficos legítimos e infraestrutura MEV da Flashbots, exfiltram chaves privadas e frases mnemônicas para um bot do Telegram controlado por atacantes. O primeiro pacote foi carregado em setembro de 2023, e o mais recente em agosto de 2025. Entre os pacotes, o ‘@flashbotts/ethers-provider-bundle’ é o mais perigoso, pois oculta operações maliciosas sob a aparência de compatibilidade com a API da Flashbots, redirecionando transações não assinadas para carteiras controladas pelos atacantes. A presença de comentários em vietnamita no código-fonte sugere que os atacantes podem ser falantes de vietnamita. Essa situação destaca a exploração da confiança dos desenvolvedores em pacotes conhecidos, transformando o desenvolvimento Web3 em um canal direto para bots maliciosos. A confiança depositada na Flashbots, amplamente utilizada por desenvolvedores DeFi, aumenta o risco de adoção desses pacotes comprometidos, resultando em possíveis perdas financeiras significativas.

Pesquisadores de cibersegurança identificaram dois novos pacotes maliciosos no registro npm que utilizam contratos inteligentes da blockchain Ethereum para executar ações prejudiciais em sistemas comprometidos. Os pacotes, chamados ‘colortoolsv2’ e ‘mimelib2’, foram carregados em julho de 2025 e já não estão mais disponíveis para download. Segundo a pesquisadora Lucija Valentić, da ReversingLabs, esses pacotes ocultavam comandos maliciosos que instalavam malware downloader em sistemas afetados. Embora os pacotes em si não tentassem disfarçar sua funcionalidade maliciosa, os projetos do GitHub que os importaram foram elaborados para parecerem legítimos. A investigação revelou que esses pacotes estavam associados a uma rede de repositórios GitHub que alegavam ser bots de negociação de criptomoedas, visando principalmente desenvolvedores e usuários de criptomoedas. A técnica de usar contratos inteligentes para ocultar URLs de payloads é uma nova abordagem que os atacantes estão adotando para evitar a detecção. A ReversingLabs alerta que é crucial que os desenvolvedores avaliem cuidadosamente cada biblioteca antes de integrá-la em seus projetos, considerando não apenas os números de downloads e mantenedores, mas também a credibilidade dos desenvolvedores por trás dos pacotes.