Um ataque sofisticado dirigido a uma empresa do ecossistema de criptomoedas voltou a destacar como uma intrusão que começa no dispositivo pessoal de um desenvolvedor pode acabar vaciando carteiras por milhões de dólares em um ambiente cloud. De acordo com o relatório semestral de ameaças na nuvem do Google Cloud, atribuído a um grupo de confiança moderado a um grupo ligado à Coreia do Norte (rastreados sob a sigla como UNC4899 entre outros), a campanha combinou engenharia social, abuso de mecanismos de transferência pessoal-a-corporativo e técnicas de pivotagem próprias do chamado living‐off‐the‐cloud para escalar privilégios e manipular a lógica financeira em produção ( H1 2026 Cloud Threat Horizons Report).
O ponto de entrada foi simples, mas efetivo: os atacantes passaram por colaboradores de um projeto de código aberto e conseguiram que o desenvolvedor baixasse um arquivo comprimido aparentemente legítimo. Esse mesmo arquivo passou do telefone pessoal para a equipe corporativa através do AirDrop, e foi aberto dentro de um ambiente de desenvolvimento assistido por IA. O código de Python malicioso incorporado foi executado e executado posteriormente um binário que imitava a ferramenta de linha de comandos de Kubernetes, proporcionando uma porta traseira silenciosa para a máquina corporativa.
Desde essa máquina comprometida os atacantes coletaram sessões e credenciais disponíveis para se mover para o ambiente cloud. Em uma fase inicial realizaram reconhecimento dos projetos e serviços infranqueados até localizar uma porta de entrada mais crítica: um bastion host que, após modificar atributos relacionados à autenticação multifator, permitiu-lhes aprofundar em pods concretos do cluster Kubernetes ( o que é um bastion host).
A forma como os operadores mantiveram presença e a facilidade com que pivotaram dentro do ambiente ilustra por que os defensores falam de viver da nuvem: modificaram configurações de implantação para que, sempre que um pod fosse criado, um comando bash pode ser executado automaticamente e executado um backdoor. Ao mesmo tempo, introduziram mudanças em recursos vinculados à plataforma CI/CD para registrar tokens de contas de serviço nos logs, o que lhes permitiu apropriar-se de um token de alto privilégio e usá-lo para se mover lateralmente para pods com permissões elevadas e modos privilegiados de execução.
Com esse acesso privilegiado os atacantes conseguiram escapar do recipiente e implantar persistência em infra-estruturas sensíveis. Mais tarde focaram seus esforços em uma carga de trabalho que armazenava informações de clientes: identificadores, configurações de segurança e dados associados às carteiras. Ali extraíram credenciais estáticas que se encontravam em variáveis de ambiente e as usaram para se conectar à base de dados de produção através do proxy da Cloud SQL, onde fizeram mudanças em contas ( restabelecimento de senhas e atualização de sementes MFA) para se fazer finalmente com o controle de contas de alto valor e retirar vários milhões em ativos digitais.
O incidente contém várias lições que não são novas mas persistentes: as transferências pessoais-a-corporativas (AirDrop, Bluetooth, meios removíveis não geridos) continuam a ser vetores de entrada perigosos; os contentores executados em modo privilegiado amplificam o dano potencial; e o manejo de segredos em texto claro ou em variáveis de ambiente continua a facilitar a escalada e a exfiltração quando cai nas mãos erradas. Por isso, os autores do relatório recomendam uma aproximação em profundidade que combine controles de identidade, restrições em pontes de dados e isolamento estrito nos runtimes cloud.
Na prática, isso implica validar continuamente a identidade e usar fatores resistentes ao phishing, restringir ou desactivar o intercâmbio P2P em dispositivos corporativos, exigir imagens de contentor de confiança e políticas que impeçam que nós não comprometidos estabeleçam comunicações salientes não autorizadas. Também obriga a monitorar processos incomuns dentro de contêineres e a migrar credenciais e segredos fora de variáveis de ambiente para soluções de gestão de segredos robustas e auditáveis. Para compreender melhor como funciona o acesso a bases de dados a partir de ambientes geridos, consultar a documentação oficial do Cloud SQL Auth Proxy.
A comunidade de segurança na nuvem também possui material de referência para endurecer plataformas e práticas: documentação oficial de Kubernetes sobre segurança e políticas de pod é um bom ponto de partida ( Kubernetes: conceitos de segurança) e os quadros de ameaças como o catálogo do MITRE ajudam a mapear técnicas observadas com mitigações conhecidas ( MITRE ATT&CK for Cloud).
Também é útil rever recomendações oficiais sobre a utilização segura de funções de transferência entre dispositivos. A Apple, por exemplo, documenta como a AirDrop funciona e que controlos existem para limitar o seu uso, algo relevante se você quiser reduzir o risco de um arquivo malicioso cruzar a linha entre o pessoal e o trabalho ( suporte Apple: AirDrop).
Este episódio é um convite para repensar a arquitetura de confiança nos equipamentos de desenvolvimento e operações: o conforto de usar assistentes de código e transferir artefatos entre dispositivos não deve apagar a necessidade de controles básicos. Uma combinação de políticas de acesso contextual, MFA robusta, gestão adequada de segredos e segmentação de runtime pode reduzir drasticamente a superfície de ataque, mas requer disciplina organizacional e visibilidade contínua sobre o que ocorre dentro de clusters e pipelines.
Que atores com motivações estatais recorrem a técnicas tão integradas — desde a engenharia social até a manipulação de implantação em Kubernetes — salienta que os cenários de risco atuais são híbridos e encadeados: um pequeno descuido no extremo do desenvolvedor pode se tornar, se exploram as fraquezas do ambiente cloud, em um roubo bilionário. A prevenção passa por fechar essas cadeias em todos os seus eslabões e por investir em controles que dificultem o movimento lateral e a persistência uma vez dentro.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...