Descoberta e panorama
Pesquisadores vinculam Tsundere a atividade detectada desde outubro de 2024 e observaram uma nova fase de operações a partir de meados de 2025. A investigação citada nas fontes aponta que os atacantes publicaram 287 pacotes npm maliciosos por meio de typosquatting, imitando bibliotecas populares como Puppeteer e Bignum.js para induzir desenvolvedores e sistemas a instalar componentes maliciosos.
Vetor e cadeia de ataque
A campanha opera com múltiplos vetores: pacotes npm maliciosos, instaladores disfarçados (ex.: jogos pirateados) e abusos de ferramentas de Remote Monitoring and Management. Em vítimas onde o comprometimento inicial usou npm, o impacto alcançou Windows, Linux e macOS; porém o actor tem foco em usuários Windows nas fases recentes.
Arquitetura técnica e persistência
O kit de infecção instala runtime Node.js legítimo no diretório AppData e executa um loader JavaScript ofuscado via PowerShell. Esse loader descriptografa o payload principal com AES‑256‑CBC e instala automaticamente três pacotes npm críticos para o funcionamento do bot: ws (WebSocket), ethers (interação com Ethereum) e pm2 (persistência).
- pm2 é usado para criar chaves de registro que garantem reinício automático do agente no login do usuário;
- o bot consulta nodes Ethereum via RPC públicos e lê um endereço de C2 armazenado como variável em um smart contract;
- essa técnica permite rotação dinâmica de C2 sem depender exclusivamente de IPs estáticos, dificultando bloqueios tradicionais por endereço.
Comunicação e comando
Após recuperar o endereço de C2 do smart contract, o bot estabelece canal WebSocket protegido e recebe comandos que são entregues como código JavaScript dinâmico para execução remota. A infraestrutura observada inclui um painel de controle que entrega instaladores MSI e scripts PowerShell como mecanismos de distribuição.
Quem está por trás e modelo de negócio
Pesquisadores identificaram um operador apelidado de “koneko”, descrito como um actor russo‑falante que mantém um marketplace profissional para venda de serviços de botnet, permitindo que outros criminosos comprem acesso ou funcionalidades adicionais.
Impacto e recomendações
Tsundere representa um avanço nas técnicas de supply‑chain e de resiliência de infraestrutura: uso de typosquatting em registries de pacotes, bundling com runtimes legítimos, e uso de blockchain para orquestração. As fontes indicam que mitigações devem incluir:
- bloquear/monitorar instalações de pacotes npm não verificados em ambientes de produção e CI/CD;
- higienizar ambientes de desenvolvimento e verificação de dependências (SCA) para detectar typosquats e pacotes com baixa reputação;
- monitorar processos Node.js iniciados por comandos PowerShell e entradas do pm2 no registro;
- inspecionar transações de smart contracts relacionados a projetos internos caso haja suspeita de comprometimento para identificar leitura de C2.
Limites das informações
As fontes não quantificam um número preciso de máquinas atualmente ativas no botnet na fase Tsundere nem detalham incidentes públicos atribuídos ao ataque; os relatos descrevem TTPs, amostras e artefatos investigados pelos analistas.
Contexto
O uso de smart contracts como repositório de instruções e endereços de C2 é uma tendência observada recentemente e exige que times de defesa considerem sinais de blockchain como parte do hunting em ataques que abusam de ecossistemas de criptomoeda.