A intrusão combinou aproximação presencial, identidades profissionais fabricadas, integração em cofre do ecossistema e possível uso de projeto malicioso para VS Code antes do desvio de ativos em 1º de abril de 2026.
| Componente | Ecossistema Drift, contribuidores do protocolo, integração de Ecosystem Vault, projetos de código compartilhados, VS Code, tasks.json, Telegram e teste de produto de carteira via TestFlight. |
| Vetor | Operação de engenharia social iniciada no outono de 2025, com intermediários presenciais, perfis profissionais completos, conversas técnicas prolongadas e possível exposição a repositório malicioso aberto em IDE ou a aplicativo de carteira em beta. |
| Impacto | Ataque em 1º de abril de 2026 resultou no roubo de US$ 285 milhões; a investigação também aponta exclusão de conversas no Telegram e de software malicioso no momento próximo à intrusão. |
| Prioridade | Revisar todas as interações com a suposta empresa de trading, auditar projetos recebidos, tokens de desenvolvimento, acessos de contribuidores, integrações de cofre, dispositivos usados em testes e trilhas de execução automática em workspaces. |
| Artefatos | Técnica baseada em projeto para VS Code que arma tasks.json para acionar código ao abrir a pasta por meio de runOn: folderOpen; Microsoft adicionou controles nas versões 1.109 e 1.110 do VS Code contra execução não intencional de tarefas. |
| Atribuição | A atividade é vinculada à DPRK por sobreposição operacional de personas e por fluxos on-chain usados para preparar e testar a operação, com conexão a invasores associados ao caso Radiant Capital. |
A intrusão contra a Drift foi apresentada como resultado de uma operação de inteligência e engenharia social de aproximadamente seis meses, iniciada no outono de 2025 e culminando no ataque de 1º de abril de 2026. O caso não se limita a um artefato isolado de malware ou a uma falha pontual de configuração: a cadeia descrita combina presença física em conferências de criptomoedas, construção de confiança com contribuidores específicos, discussão técnica compatível com uma relação comercial legítima, depósito superior a US$ 1 milhão por parte do grupo que se apresentava como empresa de trading e continuidade de conversas sobre estratégias e integrações de cofre até fevereiro e março de 2026. O impacto financeiro confirmado foi o roubo de US$ 285 milhões, valor que coloca o incidente dentro do padrão de operações voltadas à geração de receita ilícita para o regime norte-coreano.
A atribuição à DPRK se apoia em dois eixos técnicos: movimentação on-chain usada para preparação e teste da operação, rastreada até invasores ligados ao ataque contra a Radiant Capital, e sobreposição operacional de personas com atividades já associadas à Coreia do Norte. O histórico descrito para esse conjunto de ameaças inclui ataques ao setor de criptomoedas desde pelo menos 2018, com referências ao comprometimento de supply chain envolvendo X_TRADER e 3CX em 2023 e ao ataque de US$ 53 milhões contra a Radiant Capital em outubro de 2024. A leitura defensiva mais importante é que a intrusão não dependeu apenas de exploração técnica imediata; ela explorou processos de confiança, onboarding de contraparte, colaboração por repositórios, comunicação por mensageria e uso de ferramentas normais de desenvolvimento.
A fase inicial da operação envolveu pessoas que se apresentaram como integrantes de uma empresa de quantitative trading e abordaram contribuidores da Drift em uma grande conferência de criptomoedas e em eventos internacionais do setor. As pessoas que apareceram presencialmente não eram descritas como cidadãos norte-coreanos, o que é coerente com o uso de intermediários por operações da DPRK em interações face a face. Os perfis usados na aproximação tinham histórico profissional, credenciais públicas e redes profissionais aparentes, elementos projetados para resistir a verificações comuns durante uma relação de negócios ou de contraparte. Após o primeiro contato, foi criado um grupo no Telegram, onde as conversas seguiram por meses com discussões sobre estratégias de trading e possíveis integrações de vault.
Entre dezembro de 2025 e janeiro de 2026, o grupo criou um Ecosystem Vault na Drift, etapa que exigia o preenchimento de um formulário com detalhes de estratégia. Durante esse processo, os operadores interagiram com vários contribuidores e fizeram perguntas técnicas detalhadas sobre o produto, ao mesmo tempo em que depositaram mais de US$ 1 milhão em fundos próprios. Essa presença operacional funcional dentro do ecossistema reduziu o atrito para conversas posteriores e ajudou a tornar plausíveis os links de projetos, ferramentas e aplicações compartilhados nos meses seguintes. A investigação passou a considerar essas interações como possível caminho inicial de infecção porque chats no Telegram e software malicioso foram apagados em período próximo ao ataque.
O vetor baseado em repositório é avaliado como envolvendo um projeto malicioso para Microsoft Visual Studio Code. O mecanismo descrito arma o arquivo tasks.json para disparar código quando a pasta é aberta na IDE, usando a opção runOn: folderOpen. Essa técnica transforma uma ação comum de análise ou colaboração em ponto de execução, sem exigir que a vítima rode manualmente um comando visível. O mesmo padrão é associado a campanhas norte-coreanas do conjunto conhecido como Contagious Interview desde dezembro de 2025, nas quais alvos são levados a executar código de repositórios falsos sob pretexto de avaliação técnica. Em resposta a esse tipo de risco, as versões 1.109 e 1.110 do VS Code passaram a incluir novos controles para impedir execução não intencional de tarefas ao abrir workspaces.
Há ainda uma segunda linha de possível exposição: um contribuinte teria sido persuadido a baixar um produto de carteira via TestFlight para testar uma versão beta. O contexto não confirma publicamente qual artefato específico abriu o acesso decisivo, portanto a defesa deve tratar os dois caminhos como hipóteses técnicas relevantes: repositório com automação de workspace e aplicativo de carteira distribuído como teste. A consequência operacional é que a investigação não deve ficar restrita aos sistemas de produção do protocolo; ela precisa alcançar estáções de trabalho, IDEs, ambientes de desenvolvimento, contas de mensageria, dispositivos móveis usados para beta testing, tokens locais, credenciais de integração e qualquer ponte entre contribuidores e recursos de cloud ou de assinatura de transações.
A superfície exposta inclui contribuidores do protocolo que mantiveram contato com a suposta empresa de trading, contas envolvidas em conversas no Telegram, ambientes locais onde repositórios de terceiros foram clonados ou abertos, instâncias de VS Code usadas para análise de projetos e dispositivos que instalaram o produto de carteira em beta. Como o grupo fez perguntas técnicas sobre integração e operou um Ecosystem Vault legítimo dentro do ecossistema, também entram no escopo os fluxos de onboarding de contraparte, permissões associadas ao vault, credenciais usadas para integração, endpoints de frontend relacionados ao cofre e controles que separam colaboração comercial de acesso técnico sensível.
A operação é relevante para organizações de criptomoedas, fintechs e equipes que dependem de contribuidores distribuídos, pois o padrão observado mistura identidade profissional fabricada, contato presencial, reputação aparente e artefatos técnicos em canais comuns de trabalho. A presença de depósitos reais e conversas de produto reduz a eficácia de filtros puramente financeiros ou baseados apenas em domínio recém-criado. O risco também se estende a processos de contratação e parceria, porque campanhas da DPRK citadas no mesmo contexto usam identidades roubadas, personas geradas por IA, credenciais falsificadas, recrutadores, facilitadores e entrevistadores de países como Irã, Síria, Líbano, Arábia Saudita, Irlanda e Índia para entrar em empresas ocidentais.
- Contribuidores que conversaram com a suposta empresa de trading desde o outono de 2025, especialmente em conferências, Telegram e discussões de integração.
- Máquinas de desenvolvimento que abriram projetos recebidos do grupo, com foco em workspaces do
VS Codee presença detasks.jsoncom execução ao abrir pasta. - Contas, chaves, tokens, carteiras, dispositivos móveis e sessões associadas a beta testing de produto de carteira via
TestFlight. - Registros do Ecosystem Vault criado entre dezembro de 2025 e janeiro de 2026, incluindo formulário de estratégia, depósitos superiores a US$ 1 milhão e interações com múltiplos contribuidores.
A busca defensiva deve começar por uma linha do tempo que conecte interações humanas e eventos técnicos. Reuniões em conferências, criação do grupo no Telegram, recebimento de links, clonagem de repositórios, abertura de workspaces, instalação de aplicativo em beta e mudanças em acessos devem ser correlacionados com o ataque de 1º de abril de 2026. A exclusão de chats e de software malicioso em período próximo à intrusão é um sinal relevante: defensores devem preservar backups, exportações, histórico de notificações, artefatos de endpoint e registros de sincronização antes que evidências voláteis sejam perdidas. Em ambientes de desenvolvimento, a análise deve procurar execução automática associada à IDE, criação de processos inesperados a partir do VS Code, conexões de rede iniciadas logo após abertura de projeto e leitura de segredos locais.
No plano de identidade e cloud, a investigação deve procurar acessos incomuns vindos de estáções de contribuidores, alterações em permissões, consultas a configurações de IAM, uso anômalo de tokens e acesso a recursos associados a carteiras, frontends, vaults ou pipelines. O contexto cita um incidente anterior em fintech europeia no qual pacotes Python maliciosos foram entregues por recrutamento fraudulento, seguido de movimento lateral para cloud, acesso a IAM e desvio de criptoativos. Esse precedente não deve ser transplantado como fato confirmado no caso Drift, mas orienta perguntas defensivas: quais credenciais locais poderiam ser coletadas, quais permissões permitiriam chegar a recursos sensíveis e quais logs mostram uso fora do padrão após o contato com a contraparte.
Para threat intelligence, o hunting deve tratar as personas como artefatos tão importantes quanto hashes ou domínios. Perfis com histórico de emprego completo, redes profissionais consistentes e familiaridade operacional com a vítima podem fazer parte da infraestrutura de intrusão. A investigação deve mapear nomes, contas, números, endereços de mensageria, perfis profissionais, documentos de onboarding, gravações de chamadas e links compartilhados, mantendo separação entre evidência observada e inferência de atribuição. O uso de intermediários presenciais também exige cuidado: a pessoa vista em conferência pode não ser o operador principal, e decisões de bloqueio ou denúncia devem se apoiar em evidências técnicas, financeiras e comportamentais.
- Processos iniciados por
VS Codeimediatamente após abertura de pasta, especialmente quando associados atasks.jsone automações de workspace. - Repositórios recebidos por Telegram ou por links compartilhados durante conversas de integração, com histórico de clone, abertura e arquivos de configuração de tarefas.
- Instalações de aplicativos de carteira via
TestFlight, permissões concedidas no dispositivo, perfis de desenvolvedor e tráfego de rede do aplicativo beta. - Alterações em IAM, chaves, tokens, sessões, permissões de vault, acessos a recursos cloud e operações de carteira após contatos com a contraparte.
- Apagamento de conversas, remoção de binários, limpeza de diretórios de projeto ou desaparecimento de artefatos em período próximo a 1º de abril de 2026.
A resposta deve priorizar preservação de evidências e contenção de acessos antes de mudanças destrutivas em endpoints. Estáções de contribuidores que abriram projetos do grupo, dispositivos que instalaram o aplicativo beta e contas envolvidas em conversas de integração devem ser isolados logicamente, inventariados e analisados com coleta de artefatos de IDE, histórico de repositórios, cache de mensageria, registros de instalação móvel e credenciais locais. Chaves, tokens e sessões que tenham passado por esses ambientes precisam ser invalidados e recriados com escopo mínimo. Em paralelo, a organização deve revisar todas as permissões concedidas ao Ecosystem Vault e a qualquer integração discutida com a suposta contraparte, verificando se havia caminho técnico para assinatura, roteamento, atualização de frontend, acesso cloud ou movimentação de ativos.
Equipes que usam VS Code devem aplicar as versões 1.109 ou 1.110, ou versões posteriores equivalentes, e revisar políticas de execução de tarefas em workspaces recebidos de terceiros. A mitigação não deve depender de o usuário reconhecer um repositório como malicioso: projetos externos usados em avaliação, parceria ou integração devem ser abertos em ambientes descartáveis, sem segredos, sem carteiras, sem tokens cloud e sem acesso direto a repositórios internos. Arquivos como tasks.json devem passar por revisão antes da abertura na IDE quando vierem de uma contraparte não verificada, e qualquer automação que execute ao abrir pasta deve ser tratada como comportamento de alto risco.
No processo de negócios, a principal mudança é separar confiança comercial de confiança técnica. Depósitos reais, conversas competentes e presença em eventos não devem autorizar acesso progressivo sem controles de contraparte, segregação de ambientes e validação independente de artefatos. Para empresas de cripto, fintechs e defesa, o caso reforça a necessidade de triagem contínua de personas, verificação de identidades profissionais, revisão de colaboradores terceirizados, controle de aplicativos em beta e governança de interações por mensageria. O cenário descrito para operações da DPRK mostra fragmentação entre trilhas de espionagem, geração de receita, ransomware e wipers, o que dificulta atribuição rápida; por isso, a resposta defensiva deve se concentrar primeiro em comportamento observável, integridade de credenciais e redução de permissões, antes de conclusões amplas sobre grupo ou campanha.
- Preservar endpoints, dispositivos móveis, conversas, históricos de repositório e logs antes de limpar arquivos ou reinstalar sistemas.
- Invalidar credenciais, tokens, sessões e chaves acessíveis a partir de máquinas que abriram repositórios ou instalaram o aplicativo beta.
- Atualizar
VS Codepara versões com controles contra execução não intencional de tarefas e bloquear automações de workspace não revisadas. - Abrir projetos de contrapartes em sandboxes sem segredos, sem carteiras, sem tokens cloud e sem acesso a recursos internos.
- Revisar permissões do Ecosystem Vault, integrações discutidas, acessos de contribuidores e qualquer operação associada ao período entre o outono de 2025 e 1º de abril de 2026.
0 Comentários