Vulnerabilidade na versão CLI do Bitwarden, prisão de coletores "negritos" em Kiev e outros eventos de cibersegurança - ForkLog: criptomoedas, IA, singularidade, futuro

# Hack da versão CLI do Bitwarden, prisão de coletores “pretos” em Kiev e outros eventos de cibersegurança

Reunimos as notícias mais importantes do mundo da cibersegurança da semana.

• Hackers norte-coreanos roubaram criptomoedas no valor de $12 milhões em três meses usando ferramentas de IA.
• Ex-negociador com sequestradores revelou-se cúmplice.
• Inteligência britânica: 100 governos no mundo têm acesso a software de espionagem comercial.
• Foi implementado um infostyler no gestor de senhas para desenvolvedores Bitwarden.

Hackers norte-coreanos roubaram criptomoedas no valor de $12 milhões em três meses usando ferramentas de IA

Em três meses, o grupo de hackers norte-coreano HexagonalRodent roubou cerca de $12 milhões em criptomoedas e infectou mais de 2000 computadores de desenvolvedores Web3 com o objetivo de roubar credenciais e acesso a carteiras de criptomoedas. Isso foi divulgado pelo especialista em cibersegurança da Expel, Marcus Hutchins.

O ataque baseou-se no método de vib-coding — geração de malware e infraestrutura através de solicitações de texto a redes neurais:

• usando ferramentas de IA de design web da Anima, os hackers criaram sites para empresas de TI inexistentes;
• as vítimas eram atraídas por anúncios falsos de emprego e solicitadas a realizar uma “tarefa de teste” contendo malware;
• todo o código e comunicação em inglês impecável eram gerados com ChatGPT e Cursor.

Fragmento de código hacker. Fonte: Expel O especialista analisou a infraestrutura dos hackers, que eles por descuido deixaram aberta. Vazaram seus prompts e banco de dados com carteiras das vítimas. Hutchins observou que o código escrito estava cheio de comentários em inglês e emojis — sinal claro de que o software foi totalmente gerado por LLM.

Segundo Hutchins, em 2026, Pyongyang deu um salto qualitativo, usando IA para automatizar cada etapa de ataques cibernéticos, transformando operadores de baixa qualificação em uma ameaça cibernética em escala.

A atividade do HexagonalRodent é apenas parte de uma estratégia global da Coreia do Norte para automatizar crimes, como confirmam relatórios de outros gigantes tecnológicos:

• a Microsoft informou que operadores norte-coreanos usam IA para gerar documentos falsos, estudar vulnerabilidades e engenharia social;
• a Anthropic afirmou que interrompeu tentativas de agentes da Coreia do Norte de usar o modelo Claude para aprimorar vírus.

Nos comentários da WIRED, representantes da OpenAI, Cursor e Anima confirmaram os abusos de seus serviços. Segundo eles, contas relacionadas aos hackers foram bloqueadas, e a investigação ajudará a entender como prevenir incidentes semelhantes.

Ex-negociador com sequestradores revelou-se cúmplice

Angelo Martino, que anteriormente negociava com sequestradores na empresa de cibersegurança DigitalMint, admitiu ter ajudado criminosos cibernéticos. Isso foi divulgado pelo Departamento de Justiça dos EUA.

Martino confessou que atuou “duas faces” em cinco incidentes diferentes. Formalmente trabalhando para as vítimas, ele fornecia informações confidenciais aos operadores do malware ALPHV/BlackCat, além de fornecer dados como limites de apólices de seguro das vítimas e estratégias de negociação.

A investigação revelou que Martino maximizou os pagamentos aos criminosos, recebendo sua parte.

O grupo ALPHV/BlackCat operava sob o modelo CaaS, onde a gangue cria e mantém software de criptografia de arquivos, e os “parceiros” o usam em ataques, pagando uma parte do lucro aos desenvolvedores.

Em 2023, as autoridades apreenderam o site dos hackers na dark web e lançaram um programa de descriptografia que ajudou mais de 500 vítimas a recuperar seus sistemas.

Em 2025, outros funcionários da DigitalMint, Kevin Tyler Martin e Ryan Clifford Goldberg, ajudaram o mesmo grupo de hackers. Juntos, ganharam mais de $1,2 milhão apenas com uma das vítimas.

Martino admitiu extorsão, podendo pegar até 20 anos de prisão. As autoridades apreenderam ativos dele no valor de $10 milhões.

Inteligência britânica: 100 governos no mundo têm acesso a software de espionagem comercial

De acordo com dados da inteligência britânica, mais da metade dos governos do mundo têm acesso a softwares capazes de invadir dispositivos para roubar informações confidenciais. Isso foi reportado pelo Politico.

Segundo a mídia, a barreira ao acesso a tecnologias de espionagem desse tipo diminuiu. Além disso, houve aumento no número de países potencialmente detentores dessas ferramentas de hacking: agora são 100, e não 80, como em 2023.

O software de espionagem comercial, desenvolvido por empresas privadas como Pegasus da NSO Group, geralmente explora vulnerabilidades em softwares de telefones e computadores. Embora os governos afirmem que essas ferramentas são usadas apenas contra suspeitos de crimes graves, incluindo terrorismo.

Segundo a inteligência britânica, nos últimos anos, o “círculo de vítimas” expandiu-se de críticos políticos, opositores e jornalistas para banqueiros e empresários ricos.

Os EUA usam ativamente o software israelense Graphite. Todd Lyons, diretor interino da agência, confirmou essa informação à NPR.

Segundo ele, as forças de segurança usam o software para combater organizações terroristas estrangeiras e traficantes de fentanil que usam mensagens criptografadas. O software permite acessar mensagens no telefone sem precisar clicar em links (zero-click).

Foi implementado um infostyler no gestor de senhas para desenvolvedores Bitwarden

Em 22 de abril de 2026, o pacote oficial do CLI do gerenciador de senhas Bitwarden, versão 2026.4.0, foi comprometido. Uma versão contendo código malicioso para roubar credenciais de desenvolvedores foi encontrada no repositório.

Várias empresas de segurança analisaram a cadeia de infecção e avaliaram o incidente:

• especialistas da JFrog descobriram que o pacote usava um carregador personalizado, bw_setup.js, para executar silenciosamente um spyware. O vírus coletava tokens do npm e GitHub, chaves SSH e acessos de AWS, Azure e Google Cloud;
• na OX Security, foi detectado que os dados roubados eram carregados automaticamente em repositórios públicos no GitHub da vítima. Os repositórios eram marcados com a frase Shai-Hulud: The Third Coming, e o vírus podia se espalhar por conta própria;
• a Socket confirmou que o objetivo do vírus era a infraestrutura de CI/CD. Também estabeleceram conexão técnica entre esse incidente e a recente violação na cadeia de suprimentos da Checkmarx.

O ataque é atribuído ao grupo hacker TeamPCP, que já realizou campanhas de grande escala contra desenvolvedores dos projetos Trivy e LiteLLM. Especialistas recomendaram que os desenvolvedores troquem imediatamente todas as chaves e tokens se interagiram com o CLI afetado.

A Bitwarden removeu rapidamente a versão infectada em uma hora e meia após o início do ataque, confirmando a integridade dos cofres e senhas dos usuários.

Apple corrigiu falha que permitia ao FBI ler mensagens excluídas do Signal

A Apple lançou uma correção e recomendações de segurança após o FBI obter acesso ao conteúdo de notificações do Signal via iOS, mesmo após o aplicativo ter sido excluído.

Estamos muito felizes que hoje a Apple lançou um patch e um aviso de segurança. Isso ocorre após a @404mediaco relatar que o FBI acessou o conteúdo de notificações de mensagens do Signal via iOS, apesar do aplicativo ter sido deletado.

O aviso da Apple confirmou que os bugs que permitiram isso…

— Signal (@signalapp) 22 de abril de 2026

O Signal informou que, após a instalação da atualização, todas as notificações não intencionalmente salvas serão apagadas, e novas não serão armazenadas.

Em Kiev, prenderam gangue de coletores que extorquiam criptomoedas usando bot farms

Em Kiev, as autoridades prenderam fraudadores que usaram as plataformas Bitcapital e Crypsee para oferecer empréstimos em criptomoedas. Devedores e seus familiares eram perseguidos com conteúdo ofensivo gerado e uma bot farm com 6000 SIM cards, informa a Polícia Cibernética da Ucrânia.

Segundo as investigações, os membros do grupo organizaram um call center em Dnipro, atuando desde 2023 sob disfarce de empresas registradas no Reino Unido e Chipre.

Os operadores ligavam para os devedores e, usando dados falsos e programas de alteração de voz, exigiam o pagamento. Se os clientes pagavam a tempo, os criminosos inventavam dívidas inexistentes. Depois, por meio de chantagem e ameaças, extorquiam dinheiro.

A bot farm era usada para gerar e distribuir conteúdo humilhante usando dados e fotos das vítimas, seus parentes e colegas, além de fazer chamadas telefônicas sistemáticas com ameaças.

Fonte: Polícia Cibernética da Ucrânia. Ao mesmo tempo, um grupo de dois a seis indivíduos poderia atuar na vítima, usando abordagens diferentes, ajustando-se às vulnerabilidades específicas. Se bem-sucedidos, cada um recebia uma porcentagem do valor transferido à vítima.

As autoridades realizaram 44 mandados de busca em Dnipro e Kiev. Foram apreendidos mais de 80 celulares, equipamentos de informática, dinheiro, documentos, carimbos e bot farms.

Segundo estimativas preliminares, o dano causado ultrapassou 5 milhões de hryvnias ( aproximadamente )000 no câmbio atual. Os suspeitos podem pegar até 12 anos de prisão.

Também no ForkLog:

• a Tether bloqueou USDT no valor de ( milhões por solicitação dos EUA.
• na Grã-Bretanha, ocorreram operações contra o comércio ilegal de criptomoedas P2P.
• especialistas em cibersegurança alertaram para uma nova onda de ataques de hackers da Coreia do Norte.
• na Bloomberg, soube-se de acesso não autorizado ao modelo de IA Mythos.
• hackers atacaram a Volo e roubaram $3,5 milhões de pools WBTC e USDC.
• jornalistas descobriram uma nova esquema de extorsão de bitcoins por passagem pelo Estreito de Ormuz.
• a Arbitrum congelou 30.000 ETH em investigação de um hack na ponte cross-chain.
• a Eth.limo recuperou o controle do domínio após ataque ao easyDNS.
• o protocolo Kelp perdeu $113 milhões após ataque à ponte cross-chain.

O que ler no fim de semana?

Por muito tempo, o uso de armas cibernéticas para espionagem foi considerado privilégio de um grupo restrito de serviços de inteligência. No entanto, a investigação do governo dos EUA sobre a Operation Zero revelou a escala do comércio de vulnerabilidades de zero-day.

Sobre mercados sombrios de estados e o custo de invasões — no novo material do ForkLog.