Ataque à Cadeia de Suprimentos Polyfill Afetando 100 Mil Sites Ligado à Coreia do Norte
Aprofundamento CEVIU
Aprofundamento
O ataque à Polyfill.io não foi um incidente isolado de injeção maliciosa, mas uma operação coordenada de espionagem e lavagem de criptomoedas com assinatura norte-coreana. A aquisição da CDN Funnull em fevereiro de 2024 serviu como cobertura para assumir o controle técnico do domínio, com acesso confirmado ao DNS e ao tenant Cloudflare após a infecção por LummaC2 em 6 de agosto de 2024. O redirecionamento massivo para sites do Suncity Group não era só para geração de receita publicitária: era um canal estruturado para reintroduzir criptomoedas roubadas no fluxo financeiro global, aproveitando a alta rotatividade de tráfego legítimo de mais de 100 mil sites.
Além disso, a descoberta do agente 'Ariel Cruz' dentro da Gate.us revela uma nova camada de ameaça: a infiltração direta em exchanges para manipular controles de conformidade (AML/KYC) por dentro. Isso permite não apenas lavar fundos, mas também mapear falhas de segurança antes que sejam corrigidas, como visto na exfiltração de projetos sensíveis do NIMS do Japão. O uso de um gateway automatizado no Telegram para lavagem de USDT confirma que a operação já está escalada, com pouca dependência de intervenção humana.
Por que isso importa
Esse caso mostra que cadeias de suprimentos de código aberto não são alvos secundários, são pontos críticos de ruptura sistêmica. Um único script de compatibilidade, incorporado por centenas de milhares de sites, virou vetor para lavagem de bilhões. Para empresas brasileiras que usam CDNs ou bibliotecas de terceiros, o risco não é teórico: é operacional, regulatório e financeiro. A ANPD pode enquadrar falhas nesse tipo de dependência como descumprimento do art. 46 da LGPD, por ausência de due diligence em fornecedores de processamento de dados. E, com a ameaça quântica realista, menos de 500 mil qubits já seriam suficientes para quebrar a criptografia ECDSA usada pela Gate.io , , a vulnerabilidade se torna estrutural, não pontual.
Perguntas frequentes
Como um serviço como Polyfill.io pôde ser usado para lavagem de criptomoedas?
O tráfego legítimo de 100 mil sites foi desviado para páginas de apostas do Suncity Group. Cada clique gerava receita por anúncio ou comissão por depósito, convertendo tráfego em moeda fiduciária, que depois era trocada por criptomoedas e reinjetada no circuito norte-coreano. Não houve roubo direto de ativos digitais, mas sim monetização em larga escala de infraestrutura comprometida.
Por que a Gate.io aparece nessa investigação?
Um agente norte-coreano, usando o nome falso 'Ariel Cruz', foi identificado trabalhando internamente na Gate.us desde 2023. Ele participou de reuniões com fornecedores de KYC e exfiltrou dados sensíveis do Japão. Sua presença não foi acidental: permitiu entender como os controles de identidade eram aplicados, e como burlá-los.
O que muda para desenvolvedores e equipes de TI no Brasil?
Agora é obrigatório auditar não só o código, mas a cadeia de propriedade e controle de todos os serviços de terceiros. Usar cdn.polyfill.io após fevereiro de 2024 representou exposição ativa a um canal de comando e controle norte-coreano. Ferramentas como SCA (Software Composition Analysis) devem incluir verificação de histórico de domínios, mudanças de registrador e anomalias em tenants de CDN.
Existe risco quântico real para exchanges brasileiras hoje?
Não imediato, mas concreto. Um estudo do Google Quantum AI de abril de 2026 mostrou que menos de 500 mil qubits físicos bastam para quebrar a ECDSA-256 em menos de nove minutos. Como Gate.io e outras exchanges usam essa criptografia, plataformas brasileiras que integram soluções externas sem migração planejada para pós-quântica já estão em posição de risco antecipado, especialmente se operam com wallets quentes expostas.
Fontes
- securityweek.comfonte original
- Categoria
- CEVIU Segurança da Informação
- Publicado
- 13 de março de 2026
- Editoria
- CEVIU Segurança da Informação
