Como um Fundador de Web3 foi vítima do notório malware "BeaverTail" da Coreia do Norte

Fundador Web3 Akshit Ostwal perdeu $20K para o malware BeaverTail da Coreia do Norte numa fraude de criptomoedas sofisticada direcionada a desenvolvedores.

O espaço Web3 enfrentou recentemente um lembrete severo esta semana. Akshit Ostwal, cofundador do Epoch Protocol, perdeu mais de $20.000 após ajudar um amigo com o que parecia ser uma entrevista técnica padrão.

Este incidente mostra apenas a campanha contínua de hackers norte-coreanos para direcionar as próprias pessoas que constroem o futuro da internet.

Como começou a Fraude de Criptomoedas de Alto Risco

O problema começou no ano passado, a 18 de dezembro, com um pedido simples de um amigo. Este amigo estava a candidatar-se a um novo emprego e pediu a Ostwal para revisar um repositório de código.

O amigo acreditava que o código vinha de um recrutador legítimo de uma empresa de destaque.

Ostwal quis ser útil e executou o código de terceiros na sua máquina local.

https://t.co/FCHfkGQdeA

— (AK) Akshit | Epoch Protocol 🦇🔊🛡️ (@OstwalAk) 8 de janeiro de 2026

Este ato de bondade abriu a porta para a campanha “Entrevista Contagiosa”, que estava ligada ao notório Grupo Lazarus, apoiado pelo Estado, da Coreia do Norte.

Em vez de phishing em massa, esses atacantes agora usam engenharia social de alto contato para enganar desenvolvedores a executarem ficheiros adulterados.

Anatomia do Ataque de Malware BeaverTail

Ostwal notou numa publicação no X que, assim que executou o código, uma cadeia de infecção silenciosa começou na sua máquina.

Especialistas em segurança da Seal911 identificaram o principal culpado como o malware BeaverTail. Este software baseado em JavaScript é frequentemente usado com uma porta dos fundos secundária chamada InvisibleFerret.

Quando usados juntos, tornam-se uma dupla quase imparável de roubo de criptomoedas para qualquer ambiente de desenvolvimento.

Segundo Ostwal, o malware funcionou em várias fases:

A primeira foi a execução automática, onde assim que o servidor local começou, um ficheiro chamado analytics.controller.js começou a executar uma função oculta.

De seguida, o script enviou imediatamente as variáveis de ambiente do sistema de Ostwal ao atacante. Isto incluía itens sensíveis como URLs de bases de dados e chaves privadas.

Por fim, o servidor do atacante enviou de volta JavaScript malicioso, que foi executado com permissões de root no dispositivo infetado.

Antes que percebessem, $20.000 tinham desaparecido.

Porque a Fraude de Criptomoedas Permaneceu Oculta

Notavelmente, os hackers não transferiram o dinheiro imediatamente. Em vez disso, provavelmente mantiveram uma porta dos fundos no dispositivo de Ostwal durante quase um mês. Durante esse tempo, escreveram scripts personalizados para retirar a sua carteira DeFi.

Também esperaram pelo momento perfeito para “varrer” todos os seus ativos numa única transação.

Os atacantes eventualmente direcionaram tanto carteiras compatíveis com EVM quanto contas Solana.

Usaram ferramentas como Near-Intents e a Rubic Exchange para mover os fundos roubados. Esta tática de “trocar de cadeia” torna difícil para os investigadores rastrear o dinheiro através de diferentes blockchains.

Leitura Relacionada: $3,4 Mil Milhões Roubados: Coreia do Norte Conduz Recorde de $2 Mil Milhões em Roubo de Criptomoedas Este Ano

A Escala Recorde de Roubo Norte-Coreano

A experiência de Ostwal faz parte de um aumento massivo no cibercrime. Dados do Relatório de Crime em Criptomoedas de 2026 indicam que hackers norte-coreanos roubaram $2,02 mil milhões só no ano passado.

Este valor representa a maior parte dos $3,4 mil milhões perdidos em roubos de criptomoedas globalmente no ano passado.

A campanha “Entrevista Contagiosa” provou ser notavelmente eficaz. Hackers criam centenas de pacotes maliciosos NPM e usam IA para gerar respostas de entrevista que parecem humanas.

Em outras palavras, eles transformaram o mercado de trabalho numa verdadeira mina para engenheiros de software.