Esta semana foi detectada uma intrusão preocupante na cadeia de fornecimento digital: o Web SDK do AppsFlyer, uma biblioteca que muitas páginas e aplicativos carregam para medir campanhas de marketing, esteve servindo código malicioso capaz de roubar criptomoedas. O atacante aproveitou a confiança depositada em um terceiro amplamente implantado para alterar endereços de carteiras e desviar fundos, uma técnica que converte um simples script de analítica em uma porta traseira dirigida a usuários finais.
AppsFlyer não é uma ferramenta menor: segundo a própria empresa, sua plataforma é usada por umas 15.000 empresas e mais de 100.000 aplicativos móveis e web, o que multiplica a possibilidade de impacto quando uma dependência assim se vê comprometida. Você pode consultar informações corporativa do AppsFlyer em sua página oficial AppsFlyer — About.
A intrusão foi relatada por pesquisadores do Profero, que identificaram JavaScript ofuscado entregue desde o domínio oficial do SDK web. Sua análise, publicada no blog da empresa, mostra que o código malicioso foi projetado para passar despercebido: mantém a funcionalidade do SDK visível para a página, mas, em segundo plano, decifra cadeias ofuscadas e se prende com os pedidos de rede do navegador. Você pode ler a pesquisa completa no relatório do Profero: Filhacked at the source — Profero.
O mecanismo de fraudes é direto e efetivo: o script monitora formulários e entradas onde os usuários costumam colar ou escrever endereços de carteira de criptomoedas; ao detectar um endereço válido, a substitui por uma controlada pelo atacante e, simultaneamente, envia o endereço original e metadados associados a servidores remotos. Assim, uma transferência que você acredita autorizar para seu destinatário real pode terminar em uma conta do atacante sem que a vítima o note até verificar a cadeia de blocos.
Os tipos de endereços que o código buscava incluem as mais usadas no mercado: Bitcoin, Ethereum, Solana, Ripple e TRON, abrangendo assim boa parte das transações cotidianas em criptomoedas. Isso reforça a ideia de que o objetivo não era um usuário isolado, mas o engano em grande escala através de uma infraestrutura compartilhada.
Profero estima uma janela de exposição inicial entre a noite de 9 de março (22:45 UTC) e 11 de março, embora o alcance exato — quantos sites e quantos usuários foram afetados — ainda não está completamente verificado. Alguns usuários e operadores começaram a alertar o problema em fóruns e redes; um fio em r/cybersecurity recolheu relatos precoces do comportamento suspeito relatados por múltiplos usuários.
AppsFlyer emitiu uma comunicação breve em sua página de estado onde atribui o ocorrido a um incidente com o registrador de domínios que, durante um período curto, permitiu a entrega de código não autorizado desde o domínio do SDK web. A empresa indica que o SDK móvel não foi afetado e que, até agora, não há evidência de acesso a dados de clientes dentro de seus sistemas. A nota de estado está disponível em: AppsFlyer — Incident status.
Situações como esta sublinham a fragilidade da cadeia de fornecimento de software: as dependências de terceiros, embora necessárias, introduzem riscos que podem propagar-se em cascata. Organizações e desenvolvedores deveriam abordar essa realidade como parte integrante de sua gestão de riscos, adotando boas práticas de verificação de integridade, controle de versões e monitoramento do tráfego saliente.
Enquanto as empresas afectadas completam as suas investigações forenses com ajuda externa, há medidas práticas que devem ser consideradas imediatamente. Rever os registros de telemetria para detectar pedidos incomuns para sitesdk.appsflyer.com, restaurar versões prévias e verificadas do SDK, e auditar qualquer programa carregado de domínios de terceiros são passos razoáveis. Além disso, é prudente avisar usuários que tenham realizado transferências nas datas da possível exposição para rever suas operações na cadeia de blocos e, se for caso disso, contactem os serviços de suporte das plataformas criptográficas envolvidas.
Para aqueles que movem ou gerem criptomoedas, esta ameaça coloca em valor práticas simples, mas eficazes: verificar manualmente os endereços antes de colar, preferir métodos que evitem a edição direta da área de transferência (códigos QR, URI assinados em hardware wallets), e manter software e extensões de navegador por dia. Também convém informar-se sobre riscos específicos em bibliotecas e SDKs consultando recursos sobre segurança na cadeia de fornecimento, como os materiais da comunidade de segurança do software: OWASP — Supply Chain Security.
Não é a primeira vez que uma dependência de AppsFlyer aparece no foco de incidentes mais amplos, e a recorrência faz com que muitas equipes de segurança revejam com mais atenção qualquer integração de terceiros. Enquanto isso, os investigadores e alguns meios de comunicação social acompanharam o caso e espera-se que o AppsFlyer publique mais detalhes quando terminar sua pesquisa forense e compartilhar resultados verificáveis.
Em suma, este episódio lembra que a segurança não é apenas a responsabilidade do fornecedor do serviço afetado: quando se confia em componentes distribuídos em centenas de sítios, a responsabilidade é repartida entre fornecedores, integradores e quem operam os serviços finais. A lição é clara: auditar dependências, monitorizar comportamentos incomuns e ter um plano de resposta a compromissos na cadeia de fornecimento são práticas que deixam de ser opcionais num ecossistema cada vez mais interligado.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...