Um esquema sofisticado descoberto pela equipe de pesquisa de ameaças de Atos em março de 2026 demonstra como atores maliciosos estão passando à ofensiva contra contas de alto privilégio mediante uma combinação de técnicas clássicas e recursos de resiliência modernos: envenenamento SEO, uma arquitetura de distribuição em duas fases no GitHub e uma resolução de comando e controle (C2) ancorada na cadeia de blocos pública. O objetivo não é o usuário médio: buscam deliberadamente administradores, engenheiros DevOps e analistas de segurança através de instaladores MSI que se fazem passar por utilitários administrativos legítimos.
A campanha explora a confiança implícita nos resultados de busca. Mediante SEO poisoning, os atacantes conseguem que repositórios de fachada no GitHub —limpios, com README profissionais e bem indexados — apareçam nos primeiros lugares para buscas de ferramentas especializadas. Esses repositórios atuam como escaparates e redirigen discretamente ao usuário a um segundo repositório oculto que aloja o instalador real. Separar a visibilidade pública da entrega do payload permite rodar a infraestrutura de distribuição sem perder posicionamento em buscadores, o que dificulta as ações de mitigação baseadas apenas em fechamentos de contas ou eliminação de repositórios.
Tecnicamente, os instaladores identificados são MSI que disparam um programa por lotes ofuscado, descarregam o runtime de Node.js do seu canal oficial e exibem uma cadeia multinível de cargas úteis JavaScript cifradas com AES-256-CBC. A persistência é obtida através de chaves Run do registro com nomes aleatórios, e o processo malicioso corre dentro de processos legítimos (por exemplo, conhost.exe com parâmetros que tentam esconder). O comportamento final é o de um RAT em memória capaz de reescrever-se a si mesmo e executar código remoto de forma dinâmica, o que complica a detecção por assinaturas estáticas.
O componente que dá verdadeiro valor estratégico a esta operação é a resolução de C2 mediante contratos inteligentes no Ethereum: o malware consulta publicamente vários endpoints RPC do Ethereum para ler o valor armazenado em um contrato e assim obter o URL do servidor de comando. Ao atualizar esse único dado na cadeia, o adversário redirige todas as infecções sem tocar os binários implantados. Isso converte a blockchain em um dead-drop público, altamente disponível e resistente a bloqueios por domínio ou IP. Para entender o mecanismo técnico subjacente, você pode consultar a documentação sobre nós e clientes do Ethereum em ethereum.org.
As implicações operacionais são graves: ao apontar ferramentas que só usam usuários com permissões elevadas, cada infecção tem uma probabilidade elevada de se tornar “chaves do reino” dentro de uma organização. Além disso, a campanha prioriza a paciência e o sigilo –post-explotação manual, reconhecimento silencioso e movimentos laterais medidos – o que aumenta o risco de acessos prolongados e exfiltração direcionada.
Detectar esta ameaça exige olhar para além de indicadores estáticos. Telemetrias úteis incluem o aparecimento de processos node.exe que executam comandos do sistema, comhost.exe lançado com argumentos invulgares como "--headless", escrituras periódicas em arquivos de traço local (por exemplo, svchost.log em %APPDATA%), e tráfego saliente para serviços RPC públicos do Ethereum. Rever histórias de egress e registros DNS/HTTP para gateways RPC públicos é crítico para descobrir infecções passadas.
Quanto à mitigação prática, convém aplicar controles de egress para bloquear ou inspeccionar o acesso aos gateways RPC públicos usados para consultar Ethereum, implementar políticas de allowlisting para downloads de software em estações administrativas, e centralizar as fontes de software em catálogos internos ou portais de fornecedor verificados. A transferência dinâmica de Node.js do seu site oficial pelo instalador malicioso sublinha a necessidade de restringir quais sistemas podem acessar livremente a internet para recuperar runtimes externos; por exemplo, o site oficial de Node.js é nodejs.org, mas seu uso deve estar sujeito a controle e monitoramento dentro do perímetro corporativo.
Também é recomendável endurecer o acesso administrativo com segmentação de rede, contas com privilégios mínimos, autenticação multifator sólida e rotação frequente de credenciais. Desde a detecção, as regras do EDR devem procurar padrões como execuções repetidas e periódicas (cada ~5 minutos) para endpoints incomuns, parent-child anomalies onde node.exe invoca shells, e a presença de chaves Run com nomes gerados aleatoriamente. Não desligue a verificação de ferramentas críticas a um simples resultado de busca: fomente o uso de repositórios internos assinados e verificados.
No plano de resposta e coordenação, os equipamentos defensivos devem combinar ações técnicas com fornecedores e plataformas (por exemplo, solicitar a retirada de repositórios maliciosos no GitHub) e trabalhar com CSIRTs e autoridades para perseguir a infraestrutura na medida do possível. No entanto, é preciso reconhecer que a natureza descentralizada do vetor C2 limita a eficácia das contramedidas tradicionais e obriga a medidas defensivas em camadas.
Sobre atribuição, há relatos de sobreposições técnicas entre este módulo "EtherHiding" e trabalhos prévios vinculados por diferentes equipes a atores estatais. No entanto, reutilização de código e técnicas entre grupos é comum; a evidência técnica por si só não deve levar a conclusões apressadas de atribuição sem um conjunto amplo de corroborações.
Finalmente, a comunidade defensiva deve considerar este caso como um lembrete de que a cadeia de abastecimento humana começa nos motores de busca e termina na máquina com privilégios. Adoptar controlos de telemetria, restringir egress para infra-estruturas descentralizadas não supervisionadas e treinar o pessoal administrativo para verificar a proveniência do software são ações urgentes. Para entender melhor as medidas de segurança na cadeia de fornecimento de software e colaborar em mitigações, o guia do GitHub sobre segurança da cadeia de fornecimento é um bom ponto de partida: Guia de segurança da cadeia de abastecimento (GitHub). Em ambientes onde existam dúvidas sobre comunicações históricas, uma análise forense dos logs e a colaboração com equipamentos como CSIRT e fornecedores de segurança geridas serão chaves para conter e erradicar esta ameaça.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...