{"id":20076,"date":"2026-06-11T20:16:32","date_gmt":"2026-06-11T23:16:32","guid":{"rendered":"https:\/\/fenati.org.br\/vazamento-de-worm-kit-completo-ataques-ciberneticos\/"},"modified":"2026-07-02T23:13:22","modified_gmt":"2026-07-03T02:13:22","slug":"vazamento-de-worm-kit-completo-ataques-ciberneticos","status":"publish","type":"post","link":"https:\/\/fenati.org.br\/en\/vazamento-de-worm-kit-completo-ataques-ciberneticos\/","title":{"rendered":"Vazamento de worm sofisticado vira kit completo para ataques cibern\u00e9ticos"},"content":{"rendered":"<p><strong>Vazamento de worm &#8211;<\/strong> O c\u00f3digo-fonte do Miasma, considerado um dos worms de supply chain mais sofisticados j\u00e1 identificados, foi divulgado publicamente no GitHub na segunda-feira (8) por meio de contas de desenvolvedores comprometidas.<\/p>\n<p>Antes que os reposit\u00f3rios fossem removidos pela plataforma, a empresa de seguran\u00e7a SafeDep conseguiu analisar o conte\u00fado e concluiu que o material exposto vai muito al\u00e9m do malware original, reunindo um conjunto completo de ferramentas voltadas para ataques a cadeias de suprimento de software.<\/p>\n<p><a href=\"https:\/\/fenati.org.br\/en\/pix-recebe-protecao-maxima-marca-criticas\/\" target=\"_blank\" rel=\"noopener\"><strong>LEIA: Pix recebe prote\u00e7\u00e3o m\u00e1xima de marca ap\u00f3s cr\u00edticas dos Estados Unidos<\/strong><\/a><\/p>\n<p>Os reposit\u00f3rios surgiram com o nome \u201cMiasma-Open-Source-Release\u201d e continham recursos capazes de ampliar significativamente o alcance da amea\u00e7a. Worms de supply chain s\u00e3o malwares que se propagam por meio da contamina\u00e7\u00e3o de pacotes leg\u00edtimos de software. Quando um desenvolvedor instala um pacote comprometido e o utiliza em seus projetos, a infec\u00e7\u00e3o se espalha automaticamente para novos sistemas e depend\u00eancias.<\/p>\n<p>Antes do vazamento, o Miasma j\u00e1 havia comprometido mais de 100 projetos de c\u00f3digo aberto da Red Hat e da Microsoft, alcan\u00e7ando posteriormente outras v\u00edtimas. A empresa de seguran\u00e7a Socket rastreou 473 artefatos de pacotes afetados at\u00e9 ter\u00e7a-feira.<\/p>\n<p><strong>Plataforma completa de ataque<\/strong><\/p>\n<p>Segundo a SafeDep, o material publicado n\u00e3o se limita ao worm respons\u00e1vel pela propaga\u00e7\u00e3o da infec\u00e7\u00e3o. O vazamento inclui uma plataforma completa que permite aos operadores executar diferentes etapas de um ataque contra ambientes corporativos e ecossistemas de desenvolvimento.<\/p>\n<p>Com o kit, \u00e9 poss\u00edvel roubar credenciais de servi\u00e7os em nuvem como AWS, Azure e Google Cloud, infectar pacotes distribu\u00eddos pelos reposit\u00f3rios npm, PyPI e RubyGems, comprometer reposit\u00f3rios e fluxos de automa\u00e7\u00e3o hospedados no GitHub, infiltrar ferramentas de intelig\u00eancia artificial utilizadas por desenvolvedores e ainda se movimentar lateralmente em redes corporativas por meio de conex\u00f5es SSH.<\/p>\n<p>O pesquisador Rami McCarthy, da empresa Wiz, confirmou que o reposit\u00f3rio representa uma evolu\u00e7\u00e3o do Mini Shai-Hulud, um worm anterior cujo c\u00f3digo tamb\u00e9m foi disponibilizado publicamente no m\u00eas passado pelo grupo TeamPCP.<\/p>\n<p><strong>Comunica\u00e7\u00e3o escondida dentro do GitHub<\/strong><\/p>\n<p>Uma das caracter\u00edsticas mais sofisticadas do Miasma \u00e9 sua capacidade de operar sem infraestrutura pr\u00f3pria. Todo o mecanismo de controle remoto, comunica\u00e7\u00e3o e coleta de dados acontece dentro do pr\u00f3prio GitHub.<\/p>\n<p>O worm utiliza a ferramenta p\u00fablica de busca de commits da plataforma como canal de comando e controle. Para isso, procura mensagens contendo sequ\u00eancias espec\u00edficas, como \u201cDontRevokeOrItGoesBoom\u201d e \u201cTheBeautifulSandsOfTime\u201d, extraindo delas instru\u00e7\u00f5es cifradas enviadas pelos operadores.<\/p>\n<p>A estrat\u00e9gia dificulta a detec\u00e7\u00e3o por ferramentas tradicionais de seguran\u00e7a. Em vez de se comunicar com servidores suspeitos, o malware utiliza um servi\u00e7o amplamente confi\u00e1vel e acessado por desenvolvedores em todo o mundo.<\/p>\n<p>O mecanismo tamb\u00e9m garante a renova\u00e7\u00e3o constante da infraestrutura utilizada pelos atacantes. Quando uma m\u00e1quina \u00e9 comprometida e o token de acesso de um desenvolvedor \u00e9 roubado, o worm publica esse token de forma cifrada em um commit p\u00fablico identificado pela mensagem \u201cDontRevokeOrItGoesBoom\u201d.<\/p>\n<p>Outras inst\u00e2ncias do malware realizam buscas por essa mesma sequ\u00eancia, localizam as credenciais e passam a utiliz\u00e1-las em novos ataques. Dessa forma, cada conta comprometida alimenta automaticamente o pr\u00f3ximo ciclo de infec\u00e7\u00e3o.<\/p>\n<p><strong>Revogar credenciais pode acionar destrui\u00e7\u00e3o de arquivos<\/strong><\/p>\n<p>Os pesquisadores identificaram ainda uma funcionalidade destinada a dificultar a rea\u00e7\u00e3o das v\u00edtimas. Ap\u00f3s o roubo de um token, o Miasma instala silenciosamente um script de monitoramento que verifica a validade da credencial a cada 60 segundos.<\/p>\n<p>Caso o usu\u00e1rio revogue o token comprometido, o script executa um comando que apaga todo o conte\u00fado da pasta pessoal e da pasta de Documentos da m\u00e1quina afetada. O pr\u00f3prio nome da sequ\u00eancia utilizada pelo malware, \u201cDontRevokeOrItGoesBoom\u201d, funciona como um alerta expl\u00edcito sobre essa consequ\u00eancia.<\/p>\n<p><strong>Ferramentas de IA tamb\u00e9m s\u00e3o alvo<\/strong><\/p>\n<p>Entre os recursos presentes no kit est\u00e1 um m\u00f3dulo voltado especificamente para comprometer ferramentas de intelig\u00eancia artificial utilizadas no desenvolvimento de software, incluindo Claude, Gemini CLI, Cursor e Copilot.<\/p>\n<p>O m\u00e9todo consiste em inserir arquivos de configura\u00e7\u00e3o maliciosos em reposit\u00f3rios comprometidos. Quando o desenvolvedor inicia uma sess\u00e3o com essas ferramentas em um projeto infectado, o payload pode ser executado automaticamente, sem exigir qualquer a\u00e7\u00e3o adicional.<\/p>\n<p>Na pr\u00e1tica, isso significa que apenas abrir um assistente de IA em um ambiente comprometido pode resultar na execu\u00e7\u00e3o involunt\u00e1ria do malware.<\/p>\n<p><strong>Impacto do vazamento<\/strong><\/p>\n<p>Apesar da repercuss\u00e3o, Rami McCarthy, da Wiz, avalia que a disponibiliza\u00e7\u00e3o p\u00fablica do c\u00f3digo n\u00e3o necessariamente resultar\u00e1 em uma onda imediata de ataques. Segundo ele, ap\u00f3s a divulga\u00e7\u00e3o do c\u00f3digo do Mini Shai-Hulud pelo TeamPCP no m\u00eas passado, n\u00e3o houve registro de uso significativo do toolkit por criminosos oportunistas.<\/p>\n<p>Especialistas destacam, contudo, que o principal impacto do vazamento est\u00e1 na dificuldade de atribui\u00e7\u00e3o de futuros incidentes. Com o c\u00f3digo dispon\u00edvel publicamente, ataques que apresentem caracter\u00edsticas semelhantes \u00e0s do Miasma poder\u00e3o ser realizados por diferentes agentes, tornando mais complexo identificar os respons\u00e1veis originais.<\/p>\n<p>Diante do cen\u00e1rio, pesquisadores recomendam que organiza\u00e7\u00f5es que dependem de pacotes de c\u00f3digo aberto reforcem o monitoramento de altera\u00e7\u00f5es inesperadas em depend\u00eancias de software, revisem as permiss\u00f5es concedidas a tokens de acesso e adotem ferramentas de seguran\u00e7a capazes de atuar na camada de protocolo de aplica\u00e7\u00e3o, em vez de depender exclusivamente da an\u00e1lise tradicional de tr\u00e1fego de rede.<\/p>\n<p><strong>Junte cashback e transfira para sua conta com a Benef\u00edcios Rede Bee!<\/strong><\/p>\n<p>A Bee Fenati \u2013 a rede social dos profissionais de TI de todo o Brasil \u2013 segue em expans\u00e3o para garantir aos seus usu\u00e1rios cada vez mais benef\u00edcios. Agora a plataforma conta com a Benef\u00edcios Rede Bee, que re\u00fane descontos em dezenas de grandes marcas, com muitas delas oferecendo cashback, ou seja, o retorno de um valor da sua compra que poder\u00e1 ser transferido direto para sua conta! <a href=\"https:\/\/fenati.org.br\/en\/novidade-trabalhador-zerar-contribuicao-sindical-bee-fenati\/\"><strong>(Saiba mais aqui)<\/strong><\/a><\/p>\n<p>Baixe o aplicativo nas lojas\u00a0<a href=\"https:\/\/apps.apple.com\/br\/app\/bee-fenati\/id6749653741\" rel=\"nofollow noopener\" target=\"_blank\"><strong>App Store<\/strong><\/a>\u00a0e\u00a0<a href=\"https:\/\/play.google.com\/store\/apps\/details?id=com.redebee.redebeefenati\" rel=\"nofollow noopener\" target=\"_blank\"><strong>Play Store<\/strong><\/a>\u00a0e aproveite agora! A Bee Fenati re\u00fane em um \u00fanico ambiente ofertas em \u00e1reas como educa\u00e7\u00e3o, compras, viagens, lazer, servi\u00e7os, tecnologia e muito mais. Dentre as marcas parceiras est\u00e3o Magalu, Renner, Drogasil, C&amp;A, Dell, Casas Bahia, Vivo, Petz, Drogaria S\u00e3o Paulo, e muito mais!<\/p>\n<p>Al\u00e9m de poderem aproveitar os descontos oferecidos pelas marcas parceiras, os usu\u00e1rios da plataforma receber\u00e3o de volta um percentual a cada compra que realizarem em parceiros que oferecem o cashback.<\/p>\n<p>Este valor ficar\u00e1 em uma carteira digital dentro da plataforma da Benef\u00edcios Rede Bee e, a partir de R$ 20 reais acumulados em cashback, o trabalhador pode transferir o dinheiro direto para sua conta banc\u00e1ria!<\/p>\n<p>Na pr\u00e1tica, a ferramenta permitir\u00e1 que s\u00f3cios e contribuintes dos sindicatos filiados \u00e0 Fenati (Federa\u00e7\u00e3o Nacional dos Trabalhadores em Tecnologia da Informa\u00e7\u00e3o) possam ZERAR o valor da sua contribui\u00e7\u00e3o assistencial e associativa!<\/p>\n<p>Atualmente, o valor da contribui\u00e7\u00e3o \u00e9 de R$ 32,50 por m\u00eas para s\u00f3cios e R$ 35 por m\u00eas para contribuintes, ou seja, \u00e9 poss\u00edvel recuperar todo esse valor e ainda acumular muito mais \u2013 tudo isso contribuindo para fortalecer a categoria e transformando as compras e servi\u00e7os do cotidiano em ganho real.<\/p>\n<p>&nbsp;<\/p>\n<p><strong><em>(Com informa\u00e7\u00f5es de Tecmundo)<\/em><\/strong><\/p>\n<p><strong><em>(Foto: Reprodu\u00e7\u00e3o\/Magnific\/leafart\u2122)<\/em><\/strong><\/p>","protected":false},"excerpt":{"rendered":"<p>Material publicado no GitHub inclui recursos para roubo de credenciais, infec\u00e7\u00e3o de pacotes e at\u00e9 contamina\u00e7\u00e3o de ferramentas de IA<\/p>","protected":false},"author":16,"featured_media":20077,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[35],"tags":[13],"class_list":["post-20076","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-ti","tag-sindical"],"_links":{"self":[{"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/posts\/20076","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/users\/16"}],"replies":[{"embeddable":true,"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/comments?post=20076"}],"version-history":[{"count":1,"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/posts\/20076\/revisions"}],"predecessor-version":[{"id":20417,"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/posts\/20076\/revisions\/20417"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/media\/20077"}],"wp:attachment":[{"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/media?parent=20076"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/categories?post=20076"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/tags?post=20076"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}