Alerta de névoa da Mist: organização de hackers da Coreia do Norte recruta desenvolvedores Web3 com burlas, roubou 12 milhões em 3 meses

A entidade de segurança Slow Mist publicou um alerta de emergência: a organização norte-coreana Lazarus, através da sua sub-organização HexagonalRodent, está a lançar ataques contra programadores Web3. Recorre a engenharia social, como posições remotas com salários elevados, para induzir os programadores a executarem código de avaliação de competências que inclui backdoors de software malicioso, com o objetivo final de roubar ativos criptográficos. De acordo com o relatório de investigação da Expel, nos primeiros três meses de 2026, as perdas ascenderam a 12 milhões de dólares.

Métodos de ataque: o código de avaliação de competências é a principal porta de infeção

Os atacantes contactam primeiro o alvo através do LinkedIn ou de plataformas de recrutamento, ou criam websites falsos de empresas para publicar anúncios de emprego, fazendo com que os programadores executem código malicioso sob o pretexto de “avaliação de competências a partir de casa”. O código de avaliação inclui duas vias de infeção:

Ataque via VSCode tasks.json: o código malicioso injeta um ficheiro tasks.json que inclui o comando runOn: folderOpen, de modo a que o programador tenha apenas de abrir a pasta do código no VSCode para que o software malicioso seja executado automaticamente.

Backdoor embutida no código: o próprio código de avaliação incorpora uma backdoor; quando o código é executado, a infeção é despoletada, disponibilizando uma entrada alternativa para programadores que não utilizem VSCode.

O software malicioso utilizado inclui: BeaverTail (ferramenta multifuncional de furto de dados em NodeJS), OtterCookie (shell reversa em NodeJS) e InvisibleFerret (shell reversa em Python).

Primeiro ataque à cadeia de fornecimento: extensão fast-draft VSX comprometida

Em 18 de março de 2026, a HexagonalRodent lançou um ataque à cadeia de fornecimento à extensão “fast-draft” do VSCode, espalhando o malware OtterCookie através da extensão comprometida. A Slow Mist confirmou que em 9 de março de 2026, um utilizador com o mesmo nome do programador da extensão fast-draft já tinha sido infetado com OtterCookie.

Se suspeitar que o sistema está infetado, pode utilizar os seguintes comandos para verificar se está ligado a um servidor C2 conhecido (195.201.104[.]53):
MacOS/Linux: netstat -an | grep 195.201.104.53 Windows：netstat -an | findstr 195.201.104.53

Abuso de ferramentas de IA: ChatGPT e Cursor confirmados como usados maliciosamente

A HexagonalRodent usa em grande escala o ChatGPT e o Cursor para apoiar os ataques, incluindo a geração de código malicioso e a construção de websites de empresas disfarçadas. Um sinal-chave para identificar código malicioso gerado por IA é o uso extensivo de emojis no código (extremamente raro em código escrito à mão).

O Cursor bloqueou contas e IPs relacionados no prazo de um dia útil; a OpenAI confirmou a deteção de um uso limitado do ChatGPT, indicando que a ajuda procurada por essas contas se enquadra em cenários de dupla utilização de casos de segurança legítimos, não tendo sido detetada atividade contínua de desenvolvimento de malware. Foi confirmado que pelo menos 13 fluxos de fundos de carteiras infetadas foram enviados para endereços conhecidos da Coreia do Norte na rede Ethereum, tendo sido recebido mais de 1,1 milhões de dólares.

Perguntas frequentes

Como é que os programadores Web3 se podem proteger contra este tipo de ataque?

As medidas de proteção essenciais incluem: (1) manter um elevado nível de vigilância face a recrutadores desconhecidos, especialmente quando solicitam a conclusão de uma avaliação de código feita em casa; (2) abrir repositórios de código não familiares num ambiente de sandbox, em vez do sistema principal; (3) verificar regularmente o ficheiro tasks.json do VSCode para confirmar que não existem tarefas runOn: folderOpen não autorizadas; (4) usar chaves de segurança de hardware para proteger carteiras de criptomoedas.

Como confirmar se o meu sistema já foi infetado?

Execute comandos rápidos de auto-verificação: utilizadores de MacOS/Linux devem executar netstat -an | grep 195.201.104.53; utilizadores de Windows devem executar netstat -an | findstr 195.201.104.53. Se for detetada uma ligação persistente a um servidor C2 conhecido, deve desligar imediatamente a rede e realizar uma verificação completa de software malicioso.

Porque é que a HexagonalRodent escolheu NodeJS e Python como linguagens de software malicioso?

Os programadores Web3 normalmente já têm o NodeJS e o Python instalados no sistema. Por isso, os processos maliciosos conseguem integrar-se nas atividades normais de desenvolvimento sem despoletar alertas. Estas duas linguagens não são objetos principais de monitorização dos sistemas tradicionais anti-malware; além disso, com o uso de ferramentas de ofuscação de código comercial, a deteção por assinaturas torna-se extremamente difícil.