Alerta de fumaça: organização de hackers da Coreia do Norte recruta e engana desenvolvedores Web3, roubando 12 milhões em 3 meses

A SlowMist (instituição de segurança) divulgou um alerta de emergência. A organização norte-coreana Lazarus e sua suborganização HexagonalRodent estão atacando desenvolvedores Web3, usando engenharia social, como vagas remotas com altos salários, para induzir os desenvolvedores a executarem códigos de avaliação de habilidades que incluem backdoors de malware e, por fim, roubar ativos criptográficos. De acordo com o relatório de investigação da Expel, nos três primeiros meses de 2026, o montante de perdas atingiu 12 milhões de dólares.

Técnicas de ataque: o código de avaliação de habilidades é a principal porta de infecção

Os atacantes entram primeiro em contato com as vítimas por meio do LinkedIn ou de plataformas de recrutamento, ou criam sites falsos de empresas para publicar vagas, fazendo com que os desenvolvedores executem códigos maliciosos sob o pretexto de “avaliação de habilidades em casa”. O código de avaliação inclui dois caminhos de infecção:

Ataque via VSCode tasks.json: o código malicioso injeta um arquivo tasks.json com a instrução runOn: folderOpen, de modo que o desenvolvedor só precise abrir a pasta do código no VSCode para que o malware seja executado automaticamente.

Backdoor embutida no código: o próprio código de avaliação incorpora uma backdoor; a infecção é acionada quando o código é executado, fornecendo uma porta alternativa para desenvolvedores que não usam VSCode.

O malware usado inclui: BeaverTail (ferramenta multifuncional de exfiltração/roubo de dados em NodeJS), OtterCookie (shell reversa em NodeJS) e InvisibleFerret (shell reversa em Python).

Primeiro ataque à cadeia de suprimentos: extensão fast-draft VSX comprometida

Em 18 de março de 2026, a HexagonalRodent lançou um ataque à cadeia de suprimentos contra a extensão do VSCode “fast-draft”, distribuindo o malware OtterCookie por meio da extensão comprometida. A SlowMist confirmou que em 9 de março de 2026, um usuário com o mesmo nome do desenvolvedor da extensão fast-draft já havia sido infectado com OtterCookie.

Se houver suspeita de infecção do sistema, é possível usar os comandos abaixo para verificar se há conexão com um servidor C2 conhecido (195.201.104[.]53):
MacOS/Linux：netstat -an | grep 195.201.104.53 Windows：netstat -an | findstr 195.201.104.53

Abuso de ferramentas de IA: ChatGPT e Cursor confirmados como usados de forma maliciosa

A HexagonalRodent utiliza em grande escala o ChatGPT e o Cursor para auxiliar os ataques, incluindo a geração de código malicioso e a construção de sites falsos de empresas. Um sinal-chave para identificar códigos maliciosos gerados por IA é o uso extensivo de emojis no código (extremamente raro em código escrito à mão).

O Cursor bloqueou as contas e IPs relacionados dentro de um dia de trabalho; a OpenAI confirmou ter encontrado apenas um uso limitado do ChatGPT, afirmando que a ajuda buscada por essas contas se enquadra em cenários legítimos de uso duplo de segurança, e não foi encontrada atividade contínua de desenvolvimento de malware. Foi confirmado que, ao menos, 13 fluxos de fundos de carteiras infectadas foram enviados para endereços conhecidos na rede Ethereum da Coreia do Norte, totalizando mais de 1,1 milhão de dólares recebidos.

Perguntas frequentes

Como desenvolvedores Web3 podem se proteger contra esse tipo de ataque?

As principais medidas de proteção incluem: (1) manter alto nível de vigilância com recrutadores desconhecidos, especialmente quando solicitarem a realização de avaliações de código feitas em casa; (2) abrir repositórios de código não familiares em um ambiente de sandbox, e não no sistema principal; (3) verificar periodicamente o arquivo tasks.json do VSCode para confirmar que não há tarefas runOn: folderOpen não autorizadas; (4) usar chaves de segurança de hardware para proteger carteiras criptográficas.

Como confirmar se meu sistema já foi infectado?

Execute comandos de autoavaliação rápida: usuários de MacOS/Linux devem executar netstat -an | grep 195.201.104.53; usuários do Windows devem executar netstat -an | findstr 195.201.104.53. Se for encontrada uma conexão persistente com um servidor C2 conhecido, desconecte imediatamente da rede e faça uma varredura completa de malware.

Por que a HexagonalRodent escolheu NodeJS e Python como linguagens do malware?

Desenvolvedores Web3 normalmente já têm NodeJS e Python instalados em seus sistemas; assim, os processos maliciosos conseguem se integrar às atividades normais dos desenvolvedores sem disparar alertas. Essas duas linguagens não são os principais alvos de monitoramento em sistemas tradicionais anti-malware; além disso, com o uso de ferramentas comerciais de ofuscação de código, a detecção por assinatura torna-se extremamente difícil.