sampanews.com
  • Cidades
  • Mundo
  • Política
  • Negócios
  • Esporte
  • Saúde
  • Cultura
  • Tecnologia
  • Auto

O que você está procurando?

Auto Cidades Cultura Economia Esporte Mundo Negócios

Recente

Programação de férias do CCBB em São Paulo começa neste sábado
3 de julho de 2026
8 filmes e séries de peso para ver na Netflix no fim de semana (03)! Veja indicações
3 de julho de 2026
SUVs de entrada mudam mercado e podem acabar com os hatches compactos
3 de julho de 2026
Vírus bancário ativo no Brasil foi adaptado para roubar usuários na Europa
3 de julho de 2026
sexta-feira, julho 3, 2026
Top Posts
Programação de férias do CCBB em São Paulo...
8 filmes e séries de peso para ver...
SUVs de entrada mudam mercado e podem acabar...
Vírus bancário ativo no Brasil foi adaptado para...
Ministro da Saúde anuncia investimentos no CNPEM e...
Assassin’s Creed Shadows e mais jogos para Switch...
Campinas lacra pensão irregular no Centro e aplica...
Ponte da Rodovia Lix da Cunha é liberada...
Egito bate Austrália nos pênaltis e avança pela...
Como achar promoções para viajar para os melhores...
sampanews.com
Banner
  • Cidades
  • Mundo
  • Política
  • Negócios
  • Esporte
  • Saúde
  • Cultura
  • Tecnologia
  • Auto

O que você está procurando?

Auto Cidades Cultura Economia Esporte Mundo Negócios

Recente

Programação de férias do CCBB em São Paulo começa neste sábado
3 de julho de 2026
8 filmes e séries de peso para ver na Netflix no fim de semana (03)! Veja indicações
3 de julho de 2026
SUVs de entrada mudam mercado e podem acabar com os hatches compactos
3 de julho de 2026
Vírus bancário ativo no Brasil foi adaptado para roubar usuários na Europa
3 de julho de 2026
sampanews.com

O que você está procurando?

Auto Cidades Cultura Economia Esporte Mundo Negócios

Recente

Programação de férias do CCBB em São Paulo começa neste sábado
3 de julho de 2026
8 filmes e séries de peso para ver na Netflix no fim de semana (03)! Veja indicações
3 de julho de 2026
SUVs de entrada mudam mercado e podem acabar com os hatches compactos
3 de julho de 2026
Vírus bancário ativo no Brasil foi adaptado para roubar usuários na Europa
3 de julho de 2026
sampanews.com
  • Cidades
  • Mundo
  • Política
  • Negócios
  • Esporte
  • Saúde
  • Cultura
  • Tecnologia
  • Auto
Copyright 2026 - Todos os Direitos Reservados

dYdX: Protocolo de criptomoedas distribuiu vírus capaz de roubar carteiras e invadir dispositivos

por SampaNews 6 de fevereiro de 2026
6 de fevereiro de 2026
36

Uma operação sofisticada de cibercriminosos comprometeu pacotes oficiais do protocolo dYdX, uma corretora deascentralizada de criptomoedas, distribuindo malware que rouba carteiras digitais e instala trojans de acesso remoto. 

A campanha, descoberta pela empresa de cibersegurança Socket em 27 de janeiro de 2026, atingiu simultaneamente os ecossistemas npm (JavaScript) e PyPI (Python), as duas linguagens mais utilizadas para automação de trading e desenvolvimento de finanças quantitativas.

smart_display

Nossos vídeos em destaque

O que é o dYdX e por que virou alvo

O dYdX é uma exchange descentralizada de derivativos de criptomoedas. Ao longo de sua história, a plataforma movimentou mais de US$ 1,5 trilhão, com volume diário médio entre US$ 200 e 540 milhões. 

Os pacotes @dydxprotocol/v4-client-js (npm) e dydx-v4-client (PyPI) fornecem ferramentas essenciais para desenvolvedores criarem aplicações que interajam com a plataforma, incluindo assinatura de transações, colocação de ordens e gerenciamento de carteiras.

Como o ataque funciona

Os atacantes comprometeram as credenciais dos desenvolvedores legítimos, permitindo que publicassem versões maliciosas dos pacotes em ambos os repositórios simultaneamente. O código malicioso foi inserido profundamente dentro da estrutura legítima dos pacotes, modificando arquivos essenciais como registry.ts, registry.js e account.py. 

Esses arquivos são essenciais porque funcionam como o coração do sistema, já que são eles que gerenciam como as carteiras são criadas, como as transações são assinadas e como os dados são organizados. Quando a vítima usa o pacote normalmente, o código malicioso é executado silenciosamente em segundo plano.

O malware no npm

No pacote JavaScript, os atacantes modificaram a função createRegistry(). Quando a vítima passa sua frase semente, ou seed phrase, uma senha de 12 a 24 palavras aleatórias extraídas de uma lista com 2,048 termos, a chave mestra que dá acesso total à carteira de criptomoedas, o código malicioso captura essa informação e a envia secretamente para um servidor controlado pelos atacantes no endereço dydx.priceoracle.site. 

A seed phrase ou frase semente é a chave mestra que dá acesso total à carteira de criptomoedas. Ela funciona como a combinação de um cofre bancário, mas quem possui essa combinação tem controle total e irreversível sobre os fundos, já que transações em blockchain não podem ser desfeitas. Não existe gerente de banco, nem sistema de recuperação, nem segunda via.

Junto com a seed phrase, o malware coleta uma impressão digital do dispositivo da vítima, reunindo informações como endereço MAC (um identificador único da placa de rede, como a impressão digital do seu computador na internet), nome do computador, sistema operacional, versão do sistema e arquitetura do processador. 

Essas informações são transformadas em um código único através de um hash SHA-256, um processo matemático que pega todas essas informações e gera uma sequência única de caracteres, como criar um código de barras exclusivo para cada vítima, permitindo que os atacantes rastreiem vítimas específicas e identifiquem alvos de alto valor. 

O código usa um bloco try-catch vazio que captura erros silenciosamente. Em programação, try-catch funciona como uma rede de segurança, o usuário “tenta” executar algo e, se der erro, “captura” o problema. 

Normalmente isso serve para lidar com erros de forma elegante. Aqui, porém, se algo der errado ao enviar os dados roubados, o erro é simplesmente ignorado e nada aparece no console, aquela tela preta onde programadores veem mensagens do sistema. A vítima continua acreditando que tudo funcionou perfeitamente.

O malware no PyPI

A versão Python não apenas rouba credenciais, mas também instala um Trojan de Acesso Remoto (RAT), um tipo de malware que dá ao atacante controle remoto completo sobre o computador da vítima. O roubo de credenciais funciona de forma similar à versão JavaScript, mas disfarçado em uma função chamada list_prices() que supostamente consultaria preços de negociação. 

O RAT vem escondido em três componentes: config.py contém o payload malicioso – o código que realmente faz o trabalho sujo – como uma string de 5.527 caracteres codificada em base64. Base64 é uma forma de transformar qualquer tipo de dado em texto puro, como traduzir uma imagem para uma sequência de letras e números. Aqui, serve para esconder o código malicioso fazendo-o parecer apenas um texto incompreensível.

O arquivo _bootstrap.py é executado automaticamente quando a vítima importa o pacote – imagine como um vírus que se ativa no momento em que você abre um arquivo; e a desobfuscação acontece em 100 iterações que invertem a string, decodificam de base64 e descomprimem usando zlib. 

Ofuscação é o ato de embaralhar e esconder o código propositalmente para dificultar a leitura. É como escrever uma mensagem de trás para frente, depois em código morse, depois em outra língua. Quanto mais camadas de ofuscação, mais difícil é para antivírus detectarem o código malicioso.

O que o trojan faz

Uma vez ativado, o RAT inicia uma thread daemon, uma espécie de fluxo de produção que executa tarefas de manutenção ou suporte, em segundo plano que roda secretamente enquanto o programa principal continua funcionando normalmente. 

Thread é como uma linha de produção separada dentro de um programa, enquanto a linha principal continua trabalhando normalmente, a thread cuida de outra tarefa ao mesmo tempo. Daemon é um tipo especial de thread que roda em segundo plano executando tarefas de manutenção ou suporte, sem que o usuário veja. É como ter um assistente invisível trabalhando silenciosamente enquanto você faz outras coisas.

A cada 10 segundos, esse daemon se comunica com o servidor dos atacantes, perguntando se há comandos para executar. Se o servidor responder com código Python, o RAT executa imediatamente.

A execução acontece de forma completamente invisível. O RAT cria arquivos temporários com o código recebido, executa com todos os outputs (as mensagens e resultados que normalmente apareceriam na tela), redirecionados para /dev/null, um “buraco negro” do sistema, onde tudo que entra desaparece sem deixar rastro. 

Depois apaga os arquivos temporários. No Windows, usa a flag CREATE_NO_WINDOW para que nenhuma janela apareça na tela. A vítima não vê absolutamente nada acontecendo.

Além disso, o RAT desabilita a verificação SSL, permitindo comunicação com o servidor dos atacantes mesmo com certificados de segurança inválidos. SSL, ou Secure Sockets Layer, é o protocolo de segurança que garante que a comunicação entre seu computador e um site é criptografada e confiável – é aquele cadeado verde que aparece no navegador. 

Ao desabilitar essa verificação, o RAT permite comunicação com o servidor dos atacantes mesmo com certificados de segurança inválidos ou suspeitos, algo que normalmente seria bloqueado.

A infraestrutura dos atacantes

Os atacantes registraram o domínio priceoracle.site em 9 de janeiro de 2026, cerca de 3 semanas antes de publicarem os pacotes maliciosos. “Price oracle” é um termo comum em criptomoedas, fazendo o domínio soar técnico e legítimo. O subdomínio dydx.priceoracle.site adiciona outra camada de legitimidade aparente, podendo ser confundido com o domínio real dydx.xyz.

O domínio agora está bloqueado com status “server transfer prohibited” e “client hold” – códigos administrativos que significam que o domínio foi congelado e não pode ser transferido ou modificado, mas os atacantes provavelmente já coletaram muitas credenciais e estabeleceram backdoors em sistemas comprometidos.

O impacto real

Para vítimas do pacote npm que passaram seed phrases reais, os atacantes têm acesso total às carteiras de criptomoedas, significando roubo completo e irreversível.

Para vítimas do pacote PyPI, a situação é ainda pior. Além do roubo de carteiras, os atacantes têm controle completo sobre o sistema e podem executar código arbitrário ou roubar chaves SSH – credenciais que funcionam como senhas digitais para acessar servidores remotos de forma segura, muito usadas por desenvolvedores para conectar em servidores de trabalho.

Nesses casos, também é possível que os criminosos tenham garantido acesso a credenciais de APIs e código-fonte proprietário, instalado backdoors persistentes – portas dos fundos digitais que permitem aos atacantes voltarem ao sistema quando quiserem, mesmo depois que a vítima acha que se protegeu – exfiltrado arquivos sensíveis, monitorado atividades, modificado arquivos críticos e usado o computador como ponto de partida para atacar outras máquinas na rede.

Este não é o primeiro ataque ao dYdX. Em setembro de 2022, houve outro comprometimento de supply chain via npm – um ataque à cadeia de suprimentos, onde os criminosos não atacam o alvo diretamente, mas comprometem um fornecedor ou ferramenta que o alvo usa.

E em julho de 2024, um ataque de DNS hijacking, o sequestro do sistema de nomes de domínio, que redirecionava vítimas para um site falso.

Por que é grave

A simultaneidade entre npm e PyPI mostra planejamento extenso. A complexidade do RAT Python (100 iterações de ofuscação, execução silenciosa, daemon threads, bypass de SSL) indica proficiência técnica típica de grupos de cibercrime profissionais ou até operações de estados-nação. 

O ataque explora a confiança fundamental do desenvolvimento moderno em pacotes de repositórios oficiais, uma vez que desenvolvedores confiam que quando baixam uma biblioteca do npm ou PyPI, estão recebendo código seguro e verificado. 

A Socket detectou os pacotes maliciosos minutos após publicação e notificou o dYdX em 28 de janeiro de 2026, que confirmou publicamente o incidente no mesmo dia. 

Para desenvolvedores, recomenda-se usar ferramentas de scanning automatizado, monitorar tráfego de rede, aplicar o princípio de menor privilégio, tratar dependências que manipulam credenciais como alto risco e nunca usar credenciais reais em ambientes de teste.

Como se proteger

Para desenvolvedores que trabalham com pacotes que manipulam credenciais sensíveis, especialmente no ecossistema de criptomoedas, algumas medidas são essenciais.

  • Use ferramentas de scanning automatizado em seu pipeline de desenvolvimento;
  • Monitore tráfego de rede de aplicações em desenvolvimento e produção;
  • Aplique o princípio de menor privilégio: sistemas devem ter acesso apenas ao mínimo necessário;
  • Trate qualquer dependência que manipula credenciais como alto risco;
  • Verifique hashes e assinaturas de pacotes quando possível;
  • Mantenha ambientes de desenvolvimento e produção completamente separados;
  • Nunca use credenciais reais em ambientes de teste.

Acompanhe o TecMundo nas redes sociais. Para mais notícias de segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.

autor de origem

Compartilhar 0 FacebookTwitterLinkedinWhatsapp
postagem anterior
GM e Polícia Civil prendem suspeito de matar mulher em praça no Valença
próxima postagem
Lecar já tem concessionária vendendo carros, mas todos são de concorrentes

Você também pode gostar

8 filmes e séries de peso para ver...

3 de julho de 2026

Vírus bancário ativo no Brasil foi adaptado para...

3 de julho de 2026

Assassin’s Creed Shadows e mais jogos para Switch...

3 de julho de 2026

Como achar promoções para viajar para os melhores...

3 de julho de 2026

POSTS MAIS RECENTES

  • Programação de férias do CCBB em São Paulo começa neste sábado
  • 8 filmes e séries de peso para ver na Netflix no fim de semana (03)! Veja indicações
  • SUVs de entrada mudam mercado e podem acabar com os hatches compactos
  • Vírus bancário ativo no Brasil foi adaptado para roubar usuários na Europa
  • Ministro da Saúde anuncia investimentos no CNPEM e em nova UPA no Campo Belo

Siga-nos

  • Recente
  • Popular
  • Programação de férias do CCBB em São Paulo começa neste sábado

    3 de julho de 2026
  • 8 filmes e séries de peso para ver na Netflix no fim de semana (03)! Veja indicações

    3 de julho de 2026
  • SUVs de entrada mudam mercado e podem acabar com os hatches compactos

    3 de julho de 2026
  • Vírus bancário ativo no Brasil foi adaptado para roubar usuários na Europa

    3 de julho de 2026
  • 1

    Assessor ⁠da Casa Branca diz que novo chair do Fed deve ser “uma pessoa independente”

    22 de janeiro de 2026
  • 2

    IPVA mais caro do Brasil custa R$ 1 milhão; veja o carro mais caro de cada estado

    20 de janeiro de 2026
  • 3

    ⁠Infantino tem razão? Será que o futebol não existiria em ‘150 países’ sem a FIFA?

    5 de abril de 2026
  • 4

    ⁠Infantino tem razão? Será que o futebol não existiria em ‘150 países’ sem a FIFA?

    5 de abril de 2026

Postagens em destaque

Assassin’s Creed Shadows e mais jogos para Switch...

3 de julho de 2026

Campinas lacra pensão irregular no Centro e aplica...

3 de julho de 2026

Ponte da Rodovia Lix da Cunha é liberada...

3 de julho de 2026

Egito bate Austrália nos pênaltis e avança pela...

3 de julho de 2026

Como achar promoções para viajar para os melhores...

3 de julho de 2026

Leitura obrigatória

  • Programação de férias do CCBB em São Paulo começa neste sábado

    3 de julho de 2026
  • 8 filmes e séries de peso para ver na Netflix no fim de semana (03)! Veja indicações

    3 de julho de 2026
  • SUVs de entrada mudam mercado e podem acabar com os hatches compactos

    3 de julho de 2026
  • Vírus bancário ativo no Brasil foi adaptado para roubar usuários na Europa

    3 de julho de 2026
  • Ministro da Saúde anuncia investimentos no CNPEM e em nova UPA no Campo Belo

    3 de julho de 2026

Newsletter

Posts relacionados

  • 8 filmes e séries de peso para ver na Netflix no fim de semana (03)! Veja indicações

    3 de julho de 2026
  • Vírus bancário ativo no Brasil foi adaptado para roubar usuários na Europa

    3 de julho de 2026
  • Assassin’s Creed Shadows e mais jogos para Switch com até 90% OFF na eShop

    3 de julho de 2026
  • Como achar promoções para viajar para os melhores lugares do Brasil

    3 de julho de 2026
  • Dataprev abre concurso com 1,8 mil vagas e salários de até R$ 10 mil

    3 de julho de 2026

Mais vistas da semana

Minions & Monstros, Elle e mais! Os lançamentos de filmes e séries da semana (28/06)
28 de junho de 2026
CazéTV: Entenda polêmica envolvendo propaganda abusiva na Copa do Mundo
28 de junho de 2026
Home office: 105 vagas para trabalho remoto [30/06]
30 de junho de 2026

Postagens Aleatórias

A Odisseia de Christopher Nolan não vai ter exibições dedicadas a influencers
26 de junho de 2026
Presidente da CBAt crê em recorde de pódios nos Jogos de Los Angeles
5 de março de 2026
Motoristas acima de 75 anos podem perder o direito de dirigir em Portugal; entenda
6 de abril de 2026

Categorias Populares

  • Tecnologia (5.875)
  • Política (3.650)
  • Mundo (3.258)
  • Campinas (2.031)
  • Negócios (1.271)
  • Economia (1.255)
  • Auto (1.093)
  • Bragança Paulista (1.063)
  • Esporte (764)
  • Saúde (487)

Notícias de São Paulo e do mundo, em tempo real. Cobertura completa de política, economia, mercado, cidades e assuntos que importam — com contexto e credibilidade.

Facebook Twitter Instagram Linkedin Youtube

Copyright © 2026 SampaNews. Todos os Direitos Reservados.

  • Anuncie
  • Contato
  • Política de Privacidade
sampanews.com
  • Home