Há meses que a cena da segurança informática vem advertindo sobre campanhas de suplantação ligadas a ofertas de emprego, mas o último relatório público eleva o engano a outra categoria: os atacantes não só fabricam empresas falsas e anúncios atrativos para desenvolvedores, mas constroem exercícios técnicos projetados para que a própria vítima execute código que instala malware. Segundo a análise de ReversingLabs, uma variação desta fraude — apoiada por "Graphalgo" pelos pesquisadores — tem estado em andamento desde, pelo menos, maio de 2025, e se dirige especificamente a desenvolvedores de JavaScript e Python com tarefas relacionadas com criptomoedas.
A estratégia é elegante e perigosa: os operadores criam identidades corporativas no setor blockchain e de trading, publicam ofertas e testes técnicos em plataformas públicas como o LinkedIn, o Facebook ou o Reddit, e depois pedem aos candidatos que baixem, executem ou depurem um repositório de exemplo para demonstrar suas capacidades. Esse repositório, aparentemente inocente, contém uma dependência que aponta pacotes publicados em registros oficiais (npm e PyPI). Em vez de código útil, essas dependências funcionam como downloads que instalam um remote access trojan (RAT) na máquina do desenvolvedor.
ReversingLabs localizou um conjunto amplo: 192 pacotes maliciosos associados à campanha, distribuídos entre npm e PyPI. Em alguns casos os pacotes populares eram benignos em versões iniciais e adquiriram funcionalidade maliciosa em atualizações posteriores; como exemplo, mencionam um pacote com milhares de downloads que se tornou hostil na versão 1.1.0 e pouco depois foi marcado como “deprecated”, uma manobra para dificultar o rastreamento.
O nome Graphalgo vem da recorrência da cadeia “graph” em muitos dos pacotes, embora os atacantes variaram a denominação a partir de dezembro de 2025, passando a publicar módulos com “big” em seu nome. Os repositórios do GitHub que servem de fachada costumam estar limpos e normais à primeira vista; a infecção chega graças às dependências externas, o que complica a detecção para um candidato que só quer demonstrar sua capacidade técnica. ReversingLabs também documenta o uso de organizações no GitHub para agrupar projetos, outro sinal de que o atacante busca dar uma aparência legítima e colaborativa.
O malware entregue por essas dependências tem capacidades típicas de um backdoor: listar processos, executar comandos remotos de acordo com instruções do servidor de comando e controle (C2), exfiltrar arquivos e baixar cargas adicionais. Um detalhe revelador é que o código inspeciona a presença de extensões de criptobilleteras como MetaMask no navegador do usuário, o que aponta claramente para um objetivo monetário: roubar ativos digitais ou credenciais associadas.
A arquitetura da campanha mostra modularidade calculada: os pacotes maliciosos atuam como descarregadores leves que trazem depois um RAT mais completo. Essa modularidade facilita que a operação se reactive mesmo se alguns componentes forem detectados e eliminados. Os pesquisadores encontraram variantes de malware escritas em JavaScript, Python e até VBS, buscando cobrir tanto ambientes de desenvolvimento modernos como máquinas Windows com configurações distintas.
Em sua atribuição, o ReversingLabs considera que o grupo Lazarus (vinculado à Coreia do Norte) é o principal suspeito com uma confiança média a alta. O raciocínio é apoiado em vários elementos: a escolha do branco (actores ligados a criptomoedas), o uso de desafios de codificação como vetor de infecção —técnica observada em campanhas prévias —, a ativação diferida do código malicioso em alguns pacotes e metadados como selos horários de commits em GMT+9. Para aqueles que querem comparar contexto e história sobre este ator, organizações como o MITRE mantêm perfis técnicos de grupos de ameaças reconhecidos: MITRE ATT&CK — Lazarus.
O aspecto mais preocupante É a facilidade com que um desenvolvedor distraído pode tornar-se vítima: executar um teste de código em uma equipe com permissões amplas ou com credenciais expostas pode ser suficiente para instalar portas traseiras e perder o controle de contas e chaves. ReversingLabs até contactou vários programadores que haviam caído na armadilha para entender melhor o fluxo de recrutamento e a execução do código. Os indicadores de compromisso (IoC) e os pormenores técnicos estão disponíveis no relatório original dos investigadores para os quais necessitam de verificar pacotes ou artefatos específicos: Relatório do ReversingLabs.
Do ponto de vista da gestão de risco e da higiene digital, o caso Graphalgo volta a destacar várias reflexões práticas para profissionais e equipes que consomem dependências de terceiros. Não basta confiar que um pacote está num registo oficial; é necessário rever a cadeia de fornecimento, isolar a execução de código desconhecido e manter políticas rigorosas sobre privilégios e tokens. GitHub e plataformas de registro publicaram guias e ferramentas para reforçar a segurança do software supply chain: uma leitura útil é a documentação do GitHub sobre como proteger esta cadeia de fornecimento ( Guia de Segurança do GitHub), enquanto npm e PyPI mantêm páginas com políticas e recomendações de segurança para autores e consumidores de pacotes ( Segurança no npm, Segurança em PyPI).
Se você acredita que você pode ter instalado algum dos pacotes apontados ou ter executado código relacionado a uma oferta de emprego suspeita, as ações a tomar devem ser imediatas: revogar qualquer token, mudar senhas e chaves, revisar acessos a contas de troca ou carteiras, e, em muitos casos, reinstalar o sistema de zero para garantir a eliminação completa do malware. ReversingLabs recomenda explicitamente essas medidas e publica IoC para facilitar a remediação.
Além da urgência técnica, Graphalgo é um lembrete de que a engenharia social aprendeu a explorar os vectores modernos de colaboração: um teste técnico bem concebido não só mede habilidades, mas pode se tornar uma armadilha. Para os desenvolvedores e responsáveis pela contratação, a lição é clara: manter processos de entrevista que não exijam executar artefatos em ambientes de produção, preferir exercícios em ambientes isolados e revisar dependências com ferramentas de análise de software supply chain antes de aceitar qualquer código de terceiros.
Num cenário onde os intervenientes estatais demonstraram uma inclinação persistente para atacar ativos digitais, especialmente no mundo cripto, a combinação de suplantação de identidade, pacotes aparentemente legítimos e persistência modular constitui uma ameaça sofisticada. Manter-se informado, aplicar boas práticas de isolamento e revisão de dependências e seguir os guias das plataformas é hoje mais necessário do que nunca para não se tornar a via de entrada de um ataque mais amplo.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...