{"id":465030,"date":"2026-04-06T05:13:00","date_gmt":"2026-04-06T08:13:00","guid":{"rendered":"https:\/\/www.portaltela.com\/noticias\/2026\/04\/06\/hackers-da-coreia-do-norte-passaram-6-meses-antes-de-roubarem-us-285-milhoes\/"},"modified":"2026-04-06T05:13:00","modified_gmt":"2026-04-06T08:13:00","slug":"hackers-da-coreia-do-norte-passaram-6-meses-antes-de-roubarem-us-285-milhoes","status":"publish","type":"post","link":"https:\/\/www.portaltela.com\/noticias\/internacional\/2026\/04\/06\/hackers-da-coreia-do-norte-passaram-6-meses-antes-de-roubarem-us-285-milhoes\/","title":{"rendered":"Hackers da Coreia do Norte passaram 6 meses antes de roubarem US$ 285 milh\u00f5es"},"content":{"rendered":"<p>A Drift Protocol, corretora descentralizada baseada na rede Solana, informou neste domingo que o ataque que drenou cerca de US$ 285 milh\u00f5es foi uma opera\u00e7\u00e3o de intelig\u00eancia estruturada de seis meses, conduzida por um grupo de amea\u00e7as afiliado ao estado da Coreia do Norte. A investida envolveu uso de identidades profissionais forjadas, encontros presenciais em confer\u00eancias e ferramentas de desenvolvedor para comprometer colaboradores antes da execu\u00e7\u00e3o.<\/p>\n<p>Ao longo de meses, os invasores estabeleceram contato com funcion\u00e1rios em eventos, coordenaram-se via Telegram e chegaram a integrar um Ecosystem Vault da Drift, al\u00e9m de realizar um dep\u00f3sito de US$ 1 milh\u00e3o de capital pr\u00f3prio antes de sumirem. As conversas e o malware teriam sido apagados ap\u00f3s o ataque, segundo a pr\u00f3pria Drift.<\/p>\n<p>Entre as suspeitas iniciais, a plataforma aponta a possibilidade de um reposit\u00f3rio de c\u00f3digo malicioso, um aplicativo falso do TestFlight e uma falha no VSCode\/Cursor que permitiria a execu\u00e7\u00e3o silenciosa de c\u00f3digo sem intera\u00e7\u00e3o do usu\u00e1rio. Esses elementos indicam uma infiltra\u00e7\u00e3o gradual antes da drenagem financeira.<\/p>\n<p>A Drift atribuiu a autoria ao grupo UNC4736, tamb\u00e9m conhecido como AppleJeus ou Citrine Sleet, o mesmo ligado ao ataque \u00e0 Radiant Capital em 2024, segundo a ind\u00fastria de seguran\u00e7a. A suspeita envolve atores vinculados \u00e0 RPDC que costumam utilizar intermedi\u00e1rios para engajamento presencial.<\/p>\n<p>Fluxos on-chain e perfis de atua\u00e7\u00e3o apontam para atores ligados \u00e0 RPDC, conforme resposta de incidentes SEAL 911, ainda sem confirma\u00e7\u00e3o formal da Mandiant, que aguarda an\u00e1lise forense. A identifica\u00e7\u00e3o dos respons\u00e1veis foi creditada a especialistas da equipe de resposta, apontando que a extens\u00e3o do comprometimento pode ir al\u00e9m deste caso.<\/p>\n<p>Implica\u00e7\u00f5Es para a ind\u00fastria<\/p>\n<p>An\u00e1lise inicial indica que o padr\u00e3o envolve enganar signat\u00e1rios para aprovar transa\u00e7\u00f5es maliciosas, n\u00e3o a quebra direta de protocolos. A experi\u00eancia aponta que carteiras multisignature elevam a sensa\u00e7\u00e3o de seguran\u00e7a, sem eliminar o risco de fraude.<\/p>\n<p>Especialistas destacam a necessidade de validar transa\u00e7\u00f5es no n\u00edvel da blockchain antes da execu\u00e7\u00e3o, reduzindo depend\u00eancia de interfaces e dispositivos. Tamb\u00e9m ressaltam que ferramentas de desenvolvimento e ambientes de assinatura representam superf\u00edcies de ataque cada vez mais relevantes para a seguran\u00e7a.<\/p>\n<p>Observa-se que ataques podem explorar cadeias de confian\u00e7a entre usu\u00e1rios, equipes e interfaces. A medida central \u00e9 refor\u00e7ar a verifica\u00e7\u00e3o de inten\u00e7\u00f5es de transa\u00e7\u00e3o, independentemente da fonte de interface apresentada ao usu\u00e1rio, para evitar manipula\u00e7\u00e3o de a\u00e7\u00f5es por meio de ferramentas de desenvolvimento.<\/p>\n<p>Fonte: relat\u00f3rio de an\u00e1lise do incidente, com acompanhamento de especialistas em seguran\u00e7a de blockchain.<\/p>\n","protected":false},"excerpt":{"rendered":"<ul>\n<li>Hackers de Coreia do Norte, ligados ao UNC4736 (AppleJeus\/Citrine Sleet), investiram seis meses se infiltrando antes de drenar cerca de US$ 285 milh\u00f5es da Drift Protocol, corretora descentralizada da Solana.<\/li>\n<li>O ataque envolveu identidades forjadas, encontros presenciais em confer\u00eancias e ferramentas de desenvolvedor para comprometer colaboradores, segundo a Drift.<\/li>\n<li>A infiltra\u00e7\u00e3o come\u00e7ou com aproxima\u00e7\u00e3o em confer\u00eancia de cripto no outono passado; ao longo de meses, houve constru\u00e7\u00e3o de confian\u00e7a, coordena\u00e7\u00e3o via Telegram e dep\u00f3sito de US$ 1 milh\u00e3o de capital pr\u00f3prio antes do ataque.<\/li>\n<li>Identifica\u00e7\u00e3o aponta para uso de reposit\u00f3rio de c\u00f3digo malicioso, aplicativo falso do TestFlight e vulnerabilidade no VSCode\/Cursor, que permitiram execu\u00e7\u00e3o de c\u00f3digo sem intera\u00e7\u00e3o do usu\u00e1rio.<\/li>\n<li>Profissionais de seguran\u00e7a observam que ataques se assemelham a opera\u00e7\u00f5es de intelig\u00eancia, com a atribui\u00e7\u00e3o ainda sendo analisada por organiza\u00e7\u00f5es como a Mandiant; o consenso \u00e9 de que a falha est\u00e1 na valida\u00e7\u00e3o de transa\u00e7\u00f5es, n\u00e3o apenas no n\u00famero de signat\u00e1rios.<\/li>\n<\/ul>\n","protected":false},"author":15,"featured_media":465035,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"summary":"Hackers vinculados \u00e0 Coreia do Norte passaram seis meses se infiltrando antes de drenarem US$ 285 milh\u00f5es da Drift Protocol","footnotes":""},"categories":[7,1],"tags":[84,102,269,132,189],"class_list":["post-465030","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-internacional","category-noticias","tag-acontecimentos-internacionais","tag-conflitos","tag-internacionais","tag-startups","tag-tecnologia"],"_links":{"self":[{"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/posts\/465030","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/users\/15"}],"replies":[{"embeddable":true,"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/comments?post=465030"}],"version-history":[{"count":0,"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/posts\/465030\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/media\/465035"}],"wp:attachment":[{"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/media?parent=465030"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/categories?post=465030"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/tags?post=465030"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}