O persistente "verme" no ecossistema JavaScript, vigilância sobre os clientes da Gucci e outros eventos de cibersegurança

# O resistente "verme" no ecossistema JavaScript, vigilância dos clientes da Gucci e outros eventos de cibersegurança

Reunimos as notícias mais importantes do mundo da cibersegurança da semana.

• Os desenvolvedores de blockchain estão se tornando cada vez mais o alvo de hackers.
• A polícia canadense confiscou mais de $40 milhões em criptomoeda.
• O ecossistema JavaScript está a ser atacado por um «verme» autorreplicante.
• Um ataque à indústria automóvel pode refletir-se na economia do Reino Unido.

Os desenvolvedores de blockchain estão se tornando cada vez mais o alvo dos hackers

Desenvolvedores de software estão atraindo cada vez mais criptovendedores. De acordo com pesquisadores de cibersegurança da Koi Security, o grupo de hackers WhiteCobra atacou usuários das plataformas de desenvolvimento de código VSCode, Cursor e Windsurf. Eles publicaram 24 extensões maliciosas na Visual Studio Marketplace e no registro Open VSX.

Uma das vítimas dos «devastadores» foi o desenvolvedor-chave do Ethereum, Zak Cole.

Estou no mundo das criptomoedas há mais de 10 anos e nunca fui hackeado. Registro de OpSec perfeito.

Ontem, a minha carteira foi esvaziada por uma extensão maliciosa @cursor_ai pela primeira vez.

Se pode acontecer comigo, pode acontecer com você. Aqui está uma análise completa. 🧵👇

— zak.eth (@0xzak) 12 de agosto de 2025

Segundo ele, os cibercriminosos roubaram criptomoeda usando um plugin para o editor de código de IA Cursor. Cole explicou que a extensão tinha todas as características de um produto inofensivo: um logotipo profissionalmente desenvolvido, uma descrição detalhada e 54 000 downloads no OpenVSX — o registo oficial do Cursor.

A Koi Security acredita que a WhiteCobra pertence ao mesmo grupo que em julho roubou ativos digitais no valor de $500 000 de um programador de blockchain russo.

«A interoperabilidade e a falta de verificação adequada ao publicar nessas plataformas tornam-nas ideais para criminosos que buscam conduzir campanhas de amplo alcance», afirma o relatório da Koi Security.

A desolação da carteira começa com a execução do arquivo principal extension.js, que é quase idêntico ao modelo padrão Hello World, fornecido com cada modelo de extensão do VSCode. Em seguida, o malware descompacta o software stealer dependendo do tipo de sistema operativo.

Os criminosos do WhiteCobra estão focados em detentores de ativos digitais no valor de $10 000 a $500 000. Analistas acreditam que o grupo é capaz de lançar uma nova campanha em menos de três horas.

Exemplo de extensão legítima e falsa para desenvolvedores. Fonte: Koi Security. Até agora, é difícil parar os criminosos: embora os plugins maliciosos sejam removidos do OpenVSX, novos aparecem imediatamente em seu lugar.

Os pesquisadores recomendam tentar usar apenas projetos conhecidos com boa reputação e ter cautela em relação a novos lançamentos que reuniram um grande número de downloads e avaliações positivas em um curto espaço de tempo.

A polícia canadense apreendeu mais de $40 milhões em criptomoeda

A Polícia Federal do Canadá realizou a maior apreensão de criptomoeda da história do país. Isso foi destacado pelo detetive on-chain ZachXBT.

As autoridades apreenderam ativos digitais no valor de mais de 56 milhões de dólares canadenses (~$40,5 milhões) na plataforma TradeOgre. O fechamento da plataforma de troca de criptomoedas foi o primeiro caso desse tipo na história do país.

A investigação começou em junho de 2024, a partir de uma dica da Europol. Ela mostrou que a plataforma violava as leis canadenses e não se registrou no Centro de Análise de Operações Financeiras e Relatórios como uma empresa que presta serviços de troca de dinheiro.

Os investigadores têm motivos para acreditar que a maior parte dos fundos utilizados nas operações na TradeOgre provinham de fontes criminosas. A plataforma atraiu infratores pela ausência de identificação obrigatória da identidade do usuário.

De acordo com a declaração da polícia, os dados sobre transações obtidos com TradeOgre serão analisados para a apresentação de acusações. A investigação continua.

O ecossistema JavaScript está a ser atacado por um «verme» auto-replicante

Após o ataque à plataforma NPM para a introdução de malware em pacotes JavaScript, os criminosos passaram para uma estratégia de disseminação de um verdadeiro "worm". O incidente está ganhando força: no momento da redação, já se sabe de mais de 500 pacotes NPM comprometidos.

A campanha coordenada Shai-Hulud começou a 15 de setembro com a comprometimento do pacote NPM @ctrl/tinycolor, que é descarregado mais de 2 milhões de vezes por semana.

De acordo com os analistas da Truesec, durante esses dias a campanha se expandiu significativamente e agora inclui pacotes publicados no espaço de nomes da CrowdStrike.

De acordo com especialistas, as variantes comprometidas contêm uma função que extrai o arquivo tar do pacote, altera o arquivo package.json, injeta um script local, recompõe o arquivo e o publica novamente. Durante a instalação, um script é executado automaticamente, que baixa e inicia o TruffleHog — uma ferramenta legítima para escanear segredos e procurar tokens.

Na Truesec, acredita-se que o ataque está a escalar significativamente e a tornar-se mais sofisticado. Embora os criminosos estejam a utilizar muitas velhas táticas, melhoraram consideravelmente a sua abordagem, transformando-a em um "verme" totalmente autónomo. O malware executa as seguintes ações:

• coleta segredos e os revela publicamente no GitHub;
• executa o TruffleHog e interroga os pontos finais de metadados da nuvem para extrair credenciais confidenciais;
• tenta implementar um fluxo de trabalho do GitHub Actions, destinado à exfiltração de dados através do webhook.site;
• lista todos os repositórios do GitHub disponíveis para o usuário comprometido e força-os a se tornarem públicos.

Uma característica notável deste ataque é o seu estilo. Em vez de depender de um único objeto infectado, ele se espalha automaticamente por todos os pacotes NPM.

O ataque à indústria automóvel pode refletir-se na economia do Reino Unido

Jaguar Land Rover (JLR) não consegue retomar a produção pela terceira semana consecutiva devido a um ciberataque. O fabricante de automóveis de luxo informou que suas linhas de montagem estão paradas pelo menos até 24 de setembro.

A empresa confirmou que os criminosos roubaram informações de sua rede, mas ainda não responsabiliza nenhum grupo hacker específico pelo ataque.

De acordo com o BleepingComputer, um grupo de cibercriminosos chamado Scattered Lapsus$ Hunters reivindicou a responsabilidade pelo ciberataque, publicando capturas de tela do sistema interno da JLR no seu canal do Telegram. A postagem afirma que os hackers também implantaram um ransomware na infraestrutura comprometida da empresa.

De acordo com a BBC, cada semana de paralisação custa à empresa pelo menos 50 milhões de libras esterlinas (~$68 milhões). Por sua vez, o The Telegraph estima as perdas para o mesmo período em ~$100 milhões. Os fornecedores da JLR estão preocupados que não consigam lidar com a crise inesperada e temem a falência.

Dados secretos do "Grande firewall da China" foram divulgados publicamente

No dia 12 de setembro, pesquisadores da equipe Great Firewall Report relataram a maior violação de dados na história do "Grande Firewall da China".

Cerca de 600 GB de documentos internos, códigos-fonte e correspondência interna dos desenvolvedores, utilizados para criar e manter o sistema nacional chinês de filtragem de tráfego, foram vazados na rede.

Segundo os investigadores, a fuga contém sistemas completos de montagem de plataformas de rastreamento de tráfego, bem como módulos responsáveis pelo reconhecimento e desaceleração de certas ferramentas de contorno de bloqueios. A maior parte da pilha é direcionada para a detecção de VPNs proibidos na China.

Especialistas do Great Firewall Report afirmam que parte da documentação se refere à plataforma Tiangou — um produto comercial, destinado a ser utilizado por provedores e gateways de borda. Os especialistas acreditam que as primeiras iterações do programa foram implantadas em servidores HP e Dell.

Além disso, os documentos divulgados mencionam a instalação deste software em 26 data centers em Myanmar. O sistema supostamente era gerido pela empresa estatal de telecomunicações e foi integrado nos principais pontos de troca de tráfego de internet, o que permitiu tanto a bloqueio em massa quanto a filtragem seletiva.

De acordo com a Wired e a Amnesty International, a infraestrutura também foi exportada para o Paquistão, Etiópia, Cazaquistão e outros países, onde é utilizada juntamente com outras plataformas de interceptação de tráfego legal.

Consumidores de produtos de luxo na mira dos hackers

No dia 15 de setembro, o proprietário de diversas marcas de luxo, o grupo Kering, confirmou uma violação de dados que afetou clientes das suas subsidiárias Gucci, Balenciaga, Alexander McQueen e Yves Saint Laurent.

De acordo com a BBC, hackers roubaram dados pessoais, incluindo nomes, endereços de e-mail, números de telefone, endereços residenciais, bem como o valor total de dinheiro gasto por clientes em lojas em todo o mundo.

Acredita-se que a ataque seja da grupo hacker ShinyHunters, que afirma ter roubado dados pessoais de pelo menos 7 milhões de pessoas, no entanto, o número de afetados provavelmente é significativamente maior.

O grupo também é suspeito de estar envolvido no roubo de várias bases de dados hospedadas no Salesforce. Várias empresas, incluindo Allianz Life, Google, Qantas e Workday, confirmaram o roubo de dados como resultado dessas invasões em massa.

Também leia no ForkLog:

• CZ alertou sobre a ameaça de "funcionários infiltrados" da RPDC.
• A ação atualizada revelou detalhes sobre o hack da exchange de bitcoin Coinbase.
• Na rede Ethereum, tokens DYDX no valor de $26 milhões ficaram "presos".
• Israel exigiu a congelamento de 1,5 milhões de USDT relacionados a terroristas.
• A maior reorganização de blocos em 12 anos ocorreu no Monero.
• A ponte Shibarium foi hackeada em ~$2,3 milhões.

O que ler no fim de semana?

ForkLog analisou as propostas dos Privacy Stewards for Ethereum — uma nova equipe da Ethereum Foundation — e relatou como os funcionários da organização planejam implementar a privacidade em todos os níveis da rede, até mesmo nas aplicações.