🚨 NOVA NOTÍCIA EM DESTAQUE! 🚨
A notícia que você procurava está aqui!
Apoie esse projeto de divulgacao de noticias! Clique aqui
A Drift revelou que o ataque de 1º de abril de 2026 que levou ao roubo de US$ 285 milhões foi o culminar de uma operação de engenharia social direcionada e meticulosamente planejada, que durou meses e foi realizada pela República Popular Democrática da Coreia (RPDC), que começou no outono de 2025.
A bolsa descentralizada com sede em Solana descreveu-o como "um ataque em andamento há seis meses", atribuindo-o com confiança moderada a um grupo de hackers patrocinado pelo estado norte-coreano apelidado de UNC4736, que também é rastreado sob os ciptônimos AppleJeus, Citrine Sleet, Golden Chollima e Gleaming Pisces.
O ator da ameaça tem um histórico de atacar o setor de criptomoedas para roubo financeiro desde pelo menos 2018. É mais conhecido pela violação da cadeia de suprimentos X_TRADER/3CX em 2023 e pelo hack de US$ 53 milhões da plataforma de finanças descentralizadas (DeFi) Radiant Capital em outubro de 2024.
"A base para esta conexão é tanto on-chain (os fluxos de fundos usados para encenar e testar esta operação remontam aos atacantes Radiant) quanto operacional (personagens implantadas nesta campanha têm sobreposições identificáveis com atividades conhecidas ligadas à RPDC)", disse Drift em uma análise de domingo.
Em uma avaliação publicada no final de janeiro de 2026, a empresa de segurança cibernética CrowdStrike descreveu o Golden Chollima como uma ramificação do Labyrinth Chollima, voltado principalmente para o roubo de criptomoedas, visando pequenas empresas de fintech nos EUA, Canadá, Coreia do Sul, Índia e Europa Ocidental.
“O adversário normalmente realiza roubos de menor valor num ritmo operacional mais consistente, sugerindo responsabilidade por garantir a geração de receitas básicas para o regime da RPDC”, disse CrowdStrike. “Apesar de melhorar as relações comerciais com a Rússia, a RPDC necessita de receitas adicionais para financiar planos militares ambiciosos que incluem a construção de novos destróieres, a construção de submarinos com propulsão nuclear e o lançamento de satélites de reconhecimento adicionais.”
Em pelo menos um incidente observado no final de 2024, o UNC4736 entregou pacotes Python maliciosos por meio de um esquema de recrutamento fraudulento a uma empresa fintech europeia. Ao obter acesso, o agente da ameaça moveu-se lateralmente para o ambiente de nuvem da vítima para acessar as configurações de IAM e os recursos de nuvem associados e, por fim, desviou ativos de criptomoeda para carteiras controladas pelo adversário.
Como o ataque de deriva provavelmente se desenrolou
A Drift, que está trabalhando com parceiros forenses e policiais para reunir a sequência de eventos que levaram ao hack, disse que foi alvo de uma "operação de inteligência estruturada" que exigiu meses de planejamento.
A partir do outono de 2025 ou por volta disso, indivíduos se passando por uma empresa de comércio quantitativo abordaram os contribuidores do Drift em uma grande conferência de criptomoeda e em conferências internacionais de criptografia sob o pretexto de integrar o protocolo. Desde então, descobriu-se que esta foi uma abordagem deliberada, em que os membros deste grupo comercial abordaram e construíram relacionamento com colaboradores específicos do Drift em várias conferências importantes do setor que ocorreram em vários países durante um período de seis meses.
“Os indivíduos que apareceram pessoalmente não eram cidadãos norte-coreanos”, explicou Drift. “Sabe-se que os atores de ameaças da RPDC que operam neste nível utilizam intermediários terceirizados para conduzir a construção de relacionamentos face a face.”
"Eles eram tecnicamente fluentes, tinham experiência profissional verificável e estavam familiarizados com o funcionamento do Drift. Um grupo do Telegram foi estabelecido na primeira reunião, e o que se seguiu foram meses de conversas substantivas sobre estratégias de negociação e possíveis integrações de cofres. Essas interações são típicas de como as empresas comerciais interagem e se integram ao Drift."
Então, em algum momento entre dezembro de 2025 e janeiro de 2026, o grupo integrou um Ecosystem Vault on Drift, uma etapa que exigia o preenchimento de um formulário com detalhes da estratégia. Como parte desse processo, os indivíduos teriam se envolvido com vários colaboradores, fazendo "perguntas detalhadas e informadas sobre o produto", enquanto depositavam mais de US$ 1 milhão de seus próprios fundos.
Isso, disse Drift, foi um movimento calculado projetado para construir uma presença operacional funcional dentro do ecossistema Drift, com conversas de integração continuando com os contribuidores durante fevereiro e março de 2026. Isso incluiu o compartilhamento de links para projetos, ferramentas e aplicativos que a empresa afirmava estar desenvolvendo.
A possibilidade de que essas interações com o grupo comercial tenham agido como o caminho inicial da infecção assumiu importância após o hack de 1º de abril. Mas, como o Drift revelou, os bate-papos do Telegram e o software malicioso foram excluídos bem na hora em que o ataque ocorreu.
Suspeita-se que possa haver dois vetores de ataque principais:
Um contribuidor pode ter sido comprometido após clonar um repositório de código compartilhado pelo gr
A bolsa descentralizada com sede em Solana descreveu-o como "um ataque em andamento há seis meses", atribuindo-o com confiança moderada a um grupo de hackers patrocinado pelo estado norte-coreano apelidado de UNC4736, que também é rastreado sob os ciptônimos AppleJeus, Citrine Sleet, Golden Chollima e Gleaming Pisces.
O ator da ameaça tem um histórico de atacar o setor de criptomoedas para roubo financeiro desde pelo menos 2018. É mais conhecido pela violação da cadeia de suprimentos X_TRADER/3CX em 2023 e pelo hack de US$ 53 milhões da plataforma de finanças descentralizadas (DeFi) Radiant Capital em outubro de 2024.
"A base para esta conexão é tanto on-chain (os fluxos de fundos usados para encenar e testar esta operação remontam aos atacantes Radiant) quanto operacional (personagens implantadas nesta campanha têm sobreposições identificáveis com atividades conhecidas ligadas à RPDC)", disse Drift em uma análise de domingo.
Em uma avaliação publicada no final de janeiro de 2026, a empresa de segurança cibernética CrowdStrike descreveu o Golden Chollima como uma ramificação do Labyrinth Chollima, voltado principalmente para o roubo de criptomoedas, visando pequenas empresas de fintech nos EUA, Canadá, Coreia do Sul, Índia e Europa Ocidental.
“O adversário normalmente realiza roubos de menor valor num ritmo operacional mais consistente, sugerindo responsabilidade por garantir a geração de receitas básicas para o regime da RPDC”, disse CrowdStrike. “Apesar de melhorar as relações comerciais com a Rússia, a RPDC necessita de receitas adicionais para financiar planos militares ambiciosos que incluem a construção de novos destróieres, a construção de submarinos com propulsão nuclear e o lançamento de satélites de reconhecimento adicionais.”
Em pelo menos um incidente observado no final de 2024, o UNC4736 entregou pacotes Python maliciosos por meio de um esquema de recrutamento fraudulento a uma empresa fintech europeia. Ao obter acesso, o agente da ameaça moveu-se lateralmente para o ambiente de nuvem da vítima para acessar as configurações de IAM e os recursos de nuvem associados e, por fim, desviou ativos de criptomoeda para carteiras controladas pelo adversário.
Como o ataque de deriva provavelmente se desenrolou
A Drift, que está trabalhando com parceiros forenses e policiais para reunir a sequência de eventos que levaram ao hack, disse que foi alvo de uma "operação de inteligência estruturada" que exigiu meses de planejamento.
A partir do outono de 2025 ou por volta disso, indivíduos se passando por uma empresa de comércio quantitativo abordaram os contribuidores do Drift em uma grande conferência de criptomoeda e em conferências internacionais de criptografia sob o pretexto de integrar o protocolo. Desde então, descobriu-se que esta foi uma abordagem deliberada, em que os membros deste grupo comercial abordaram e construíram relacionamento com colaboradores específicos do Drift em várias conferências importantes do setor que ocorreram em vários países durante um período de seis meses.
“Os indivíduos que apareceram pessoalmente não eram cidadãos norte-coreanos”, explicou Drift. “Sabe-se que os atores de ameaças da RPDC que operam neste nível utilizam intermediários terceirizados para conduzir a construção de relacionamentos face a face.”
"Eles eram tecnicamente fluentes, tinham experiência profissional verificável e estavam familiarizados com o funcionamento do Drift. Um grupo do Telegram foi estabelecido na primeira reunião, e o que se seguiu foram meses de conversas substantivas sobre estratégias de negociação e possíveis integrações de cofres. Essas interações são típicas de como as empresas comerciais interagem e se integram ao Drift."
Então, em algum momento entre dezembro de 2025 e janeiro de 2026, o grupo integrou um Ecosystem Vault on Drift, uma etapa que exigia o preenchimento de um formulário com detalhes da estratégia. Como parte desse processo, os indivíduos teriam se envolvido com vários colaboradores, fazendo "perguntas detalhadas e informadas sobre o produto", enquanto depositavam mais de US$ 1 milhão de seus próprios fundos.
Isso, disse Drift, foi um movimento calculado projetado para construir uma presença operacional funcional dentro do ecossistema Drift, com conversas de integração continuando com os contribuidores durante fevereiro e março de 2026. Isso incluiu o compartilhamento de links para projetos, ferramentas e aplicativos que a empresa afirmava estar desenvolvendo.
A possibilidade de que essas interações com o grupo comercial tenham agido como o caminho inicial da infecção assumiu importância após o hack de 1º de abril. Mas, como o Drift revelou, os bate-papos do Telegram e o software malicioso foram excluídos bem na hora em que o ataque ocorreu.
Suspeita-se que possa haver dois vetores de ataque principais:
Um contribuidor pode ter sido comprometido após clonar um repositório de código compartilhado pelo gr
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #hack #de #deriva #de #us$ #285 #milhões #rastreado #até #seis #meses #de #operação #de #engenharia #social #na #rpdc
🎉 Obrigado por acompanhar, até a próxima notícia!
Postar um comentário