Na investigação sobre o ciberataque que deixou Drift sem 285 milhões de dólares em 1 de abril de 2026, o que inicialmente parecia um golpe rápido foi revelado como o resultado de uma operação de engenharia social planejada durante meses e dirigida por atores ligados à República Popular Democrática da Coreia (RPDC). Drift descreve o incidente como “um ataque de seis meses de preparação”, e assinala com confiança média um conjunto de atores conhecido nos círculos de cibersegurança como UNC4736, também citado sob os nomes AppleJeus, Citrine Sleet, Golden Chollima e Gleaming Pisces, um grupo com longa trajetória no roubo de criptomoedas desde pelo menos 2018. A própria apreciação de Drift, que está trabalhando com forças de ordem pública e peritos forenses para reconstruir a cadeia de eventos, pode ser consultada em seus comunicados e entradas técnicas publicadas pela assinatura: https://drift.trade/blog/.
O que torna particularmente preocupante este ataque não foi uma vulnerabilidade técnica simples, mas sim a meticulosidade com a qual os atacantes construíram confiança dentro da comunidade. Segundo as explicações públicas de Drift, desde o outono de 2025 indivíduos que se apresentavam como uma assinatura de trading quantitativa começaram a estabelecer relações cara a face com contribuintes chave de Drift durante conferências internacionais do ecossistema cripto. Foram encontros sucessivos, com perfis profissionais cuidadosamente montados, que desembocaram em conversas técnicas continuadas e na criação de um grupo do Telegram onde se discutiram estratégias, integrações e ferramentas durante meses. Esta práxis — apurar, ganhar a confiança e validar profissionalmente uma identidade falsa — encaixa com táticas de engenharia social sofisticadas descritas em outros incidentes recentes.
A operação incluiu passos deliberados para aparentar legitimidade: depósitos superiores a 1 milhão de dólares, a alta de um Ecosystem Vault em Drift com documentação estratégica, troca de links para projetos e, segundo Drift, um padrão de perguntas técnicas muito informadas que simulavam o comportamento típico de um parceiro comercial. Tudo isso criou uma presença operacional funcional que, até a fase final, parecia autêntica. Pouco depois do assalto, os canais de mensagens e um certo software que os atacantes usaram foram eliminados, complicando a rastreabilidade.
A peça técnica chave por trás da intrusão pôde ser dupla: por um lado, um colaborador poderia ter executado código após clonar um repositório compartilhado pela suposta assinatura; por outro, outro contribuinte foi persuadido para instalar através da Apple TestFlight uma versão de uma carteira que deveria ser testada em beta. O vetor do repositório teria abusado de um mecanismo legítimo do Microsoft Visual Studio Code: a execução automática de tarefas definida no ficheiro tasks.json usando a opção "runOn: folderOpen", o que permite que uma acção se dispare quando o workspace for aberto no editor. É um método de exploração que foi detectado em campanhas atribuídas a atores norte-coreanos desde dezembro de 2025 e que motivou mudanças no VS Code; a Microsoft documenta as atualizações e controles de segurança em suas notas de versão: https://code.visualstudio.com/updates.
Os laços entre esta operação e outras campanhas com selo norte-coreano não são apenas circunstanciais. Drift aponta para testes on-chain que ligam fluxos de fundos utilizados para testar e montar esta operação com atores responsáveis pelo assalto a Radiant Capital, que sofreu um roubo de 53 milhões de dólares em outubro de 2024. Além disso, as técnicas e as identidades fabricadas mostram sobreposições com atividades previamente atribuídas à RPDC. Este tipo de análise técnica e de inteligência operacional foi também objeto de publicações na indústria — por exemplo, relatórios de CrowdStrike sobre variantes como Golden Chollima, que descrevem um ramo do programa norte-coreano especificamente orientado para o roubo de criptodivisas através de ataques a fintechs pequenas e médias no Ocidente e na Ásia —: https://www.crowdstrike.com/blog/.
A motivação económica é clara e, segundo especialistas, persistente. Relatórios recentes argumentam que, mesmo com alguns avanços diplomáticos e económicos com aliados como a Rússia, a RPDC precisa de gerar receitas fora de sanções para sustentar programas militares ambiciosos, desde novos navios até projetos espaciais. Nesse contexto, a exploração sistemática do setor cripto tornou-se uma fonte regular de financiamento. Organizações como Chainalysis têm documentado regularmente como as criptomoedas facilitam a reciclagem e a evasão de sanções, e como fluim pagamentos provenientes de operações cibernéticas para redes que favorecem Pionyang: https://blog.chainalysis.com/.
Mas a arquitetura operacional norte-coreana não se limita a “hackers” isolados: pesquisas de DomainTools apontam para uma estratégia de desenvolvimento de malware e operações deliberadamente fragmentadas. De acordo com essas análises, o ecossistema foi organizado em pistas de trabalho separadas —espionagem, geração de fundos ilícitos e operações de impacto como ransomware ou wipers — com ferramentas, infraestrutura e padrões operacionais partilhados para minimizar o risco de exposição e enturbiar a atribuição. A própria análise do DomainTools resume como essa fragmentação complica que uma falha em uma campanha revele o conjunto do programa: https://www.domaintools.com/blog/.
Esta fragmentação inclui também táticas humanas e logísticas complexas. Entre as técnicas documentadas incluem campanhas de "fraude ao trabalhador IT" em que os operadores norte-coreanos e uma rede de facilitadores criam identidades falsas, recrutam desenvolvedores no estrangeiro e colocam essas pessoas em empregos remotos em organizações ocidentais. Os trabalhadores podem usar laptops remitidas por facilitadores em “laptop farms” e são guiados para passar entrevistas, atualizar currículos e assumir papéis legítimos que depois exploram para introduzir backdoors, exfiltrar dados ou roubar ativos digitais. Relatórios da IBM X-Force e outros analistas descreveram a magnitude e a sistematicidade desses programas; IBM mantém recursos e análise em: https://www.ibm.com/security/xforce.
O alcance geográfico das redes de recrutamento também não é anecdótico: evidências recentes mostram tentativas de captação em países como o Irão, a Síria, o Líbano e a Arábia Saudita, com algumas contratações reais e ofertas emitidas por empregadores americanos. Além disso, facilitadores contactam candidatos em plataformas profissionais, os preparam para entrevistas e até atuam como “callers” para superar testes técnicos. Estudos de assinaturas como Flare documentaram exemplos deste processo e a conexão entre as remunerações em criptomoeda e o fluxo de fundos para a RPDC.
Para a comunidade cripto e para qualquer organização que integre código de terceiros, o ataque a Drift é um lembrete severo de que a segurança não é apenas técnica, mas também humana. A engenharia social avançada, a validação de identidades e a vetting de integrações externas são tão importantes quanto as auditorias de código e as revisões de infraestrutura. A exploração de fluxos de trabalho quotidianos — a escolha de um repositório, a abertura de um projecto num editor, o teste de uma aplicação em TestFlight — pode ser a porta de entrada para uma operação que se cozinha durante meses.
As lições que este episódio deixou já estão a impulsionar mudanças: desde a atenção renovada sobre as configurações padrão de ferramentas de desenvolvimento até a necessidade de controles mais rigorosos em processos de onboarding e na gestão de relações com contrapartes. Destacam também a importância da colaboração entre projetos cripto, empresas de segurança e agências governamentais para rastrear transações on-chain, desmantelar infraestruturas de lavagem e compartilhar indicadores de compromisso. Se se pretende aprofundar medidas concretas e alertas sobre técnicas específicas, as notas públicas de segurança de empresas como a Microsoft e as análises sectoriais públicas constituem leitura obrigatória: https://code.visualstudio.com/updates e as publicações das equipes de resposta a incidentes em CrowdStrike, IBM X-Force e Chainalysis fornecem contexto adicional.
Em suma, o assalto a Drift não é um acontecimento isolado, mas um exemplo mais do que um ator estatal com recursos e um programa organizado pode combinar engenharia social, supply chain e explorações técnicas aparentemente inofensivas para subtrair quantidades maciças de valor. Enquanto a comunidade aprende desse incidente e endurece práticas, a história mostra que os adversários também evoluem; a vantagem, por agora, a tem quem integrar melhor a segurança humana e técnica em todos os eslabões do ecossistema.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...