Trojan em extensão do SillyTavern roubou chaves de API de IA

Uma extensão popular para o SillyTavern, plataforma open-source de chat com IA usada por mais de 28 mil desenvolvedores no GitHub, continha um cavalo de Troia sofisticado que exfiltrou chaves de API de todos os provedores de inteligência artificial configurados pelos usuários. O ataque de cadeia de suprimentos permaneceu ativo por meses antes de ser detectado.

Ataque de três estágios

A extensão BotBrowser, distribuída sob a conta GitHub mia13165, executava um ataque em três camadas descrito em detalhe em um relatório forense publicado pela comunidade. O repositório original foi removido do GitHub após a descoberta.

No primeiro estágio, a extensão carregava um banco de dados de personagens envenenado a partir de um repositório secundário controlado pelo atacante (mia13165/updated_cards). Um card específico era renderizado invisivelmente por 10 milissegundos no modal de detalhes. O campo metadata desse card continha um payload XSS que executava código JavaScript dentro do contexto do SillyTavern.

No segundo estágio, após um atraso aleatório de 15 a 25 minutos — quando o usuário já havia fechado as ferramentas de desenvolvedor —, o payload baixava e executava um script remoto hospedado em gm92342/sdhiabfkgcnf no GitHub. Esse script carregava o fengari-web, uma máquina virtual Lua 5.3 compilada para navegadores, e um payload ofuscado em Lua a partir de um gist do mesmo autor.

No terceiro estágio, a VM Lua executava o coletor de credenciais. Em instâncias multi-usuário com privilégios de administrador, o malware enumerava todos os usuários via /api/users/list e baixava os backups completos de cada um. A exfiltração coletava chaves de API de 25 provedores: OpenAI, Anthropic (Claude), Google (Gemini), DeepSeek, xAI (Grok), Mistral, Groq, Perplexity, HuggingFace, Together AI, Fireworks, Azure OpenAI, Vertex AI, OpenRouter, NovelAI, Moonshot, DreamGen, Featherless, AIML, ElectronHub, NanoGPT, ZAI/GLM, além de senhas de proxies reversos, perfis de conexão e endpoints personalizados.

C2 e técnicas de evasão

Os dados coletados eram criptografados com uma cifra tipo Vigenère (chave hardcoded st-anchor-2025) e enviados via POST para o servidor de comando e controle em 4sxtluoyg6o5tijchstlj74vli.srv.us, um túnel SSH efêmero. O malware rotacionava entre sete formas diferentes de invocar Promise.then para evitar detecção por ferramentas de segurança.

Uma sessão marcada por sessionStorage['session-2389432'] impedia execuções repetidas no mesmo navegador. O relatório forense confirma que logs de chat, cards e imagens não foram exfiltrados — apenas credenciais e configurações de conexão.

Cronologia do incidente

O repositório mia13165/SillyTavern-BotBrowser foi criado em novembro de 2025. A versão comprometida v2.0.5 foi a que distribuiu o trojan. Em 28 de abril de 2026, o desenvolvedor MeowCatboyMeow publicou um patch de segurança que corrigia o sink XSS e bloqueava a conexão com o repositório malicioso. No mesmo dia, o usuário mexenchik publicou o fork SillyTavern-BotBrowser-Purified com todo o código malicioso removido, accompanied de um relatório forense completo em SECURITY.md. O repositório original do atacante foi removido do GitHub.

A extensão comprometida operou por aproximadamente seis meses sem ser detectada. O número exato de usuários afetados não foi divulgado. O SillyTavern possui 28.563 stars e 5.419 forks no GitHub, indicando uma base de usuários significativa.

Conexão Brasil

O Brasil é um dos maiores mercados de IA generativa da América Latina. Segundo pesquisa da McKinsey, 62% das empresas brasileiras experimentaram soluções de IA generativa em 2025. O SillyTavern é utilizado por comunidades brasileiras de desenvolvedores e entusiastas de IA, com grupos ativos no Discord e Telegram.

O roubo de chaves de API tem impacto financeiro direto: créditos de OpenAI e Anthropic podem ser consumidos por terceiros. Na modalidade pay-as-you-go, um atacante pode gerar cobranças de centenas a milhares de dólares antes que a vítima perceba.

Pela LGPD (Lei Geral de Proteção de Dados), se um usuário brasileiro teve suas credenciais comprometidas e essas credenciais davam acesso a dados pessoais armazenados em serviços de IA, a empresa responsável pela ferramenta comprometida pode ser notificada. A ANPD (Autoridade Nacional de Proteção de Dados) recomenda que vítimas de vazamento de dados registrem o incidente no portal oficial.

Usuários brasileiros que utilizavam o SillyTavern com a extensão BotBrowser instalada devem revogar todas as chaves de API imediatamente, especialmente aquelas vinculadas a contas com cartão de crédito cadastrado.

O que fazer agora

Se você instalou a extensão BotBrowser original (repositório mia13165) no SillyTavern:

1. Revogue todas as chaves de API de todos os provedores configurados (OpenAI, Claude, Gemini, DeepSeek, OpenRouter e outros). Gere novas chaves.

2. Troque todas as senhas de proxies reversos e endpoints personalizados.

3. Remova a pasta da extensão: data/default-user/extensions/third-party/SillyTavern-BotBrowser/.

4. Instale a versão limpa a partir de https://github.com/mexenchik/SillyTavern-BotBrowser-Purified.

5. Em instâncias multi-usuário, repita o processo para todas as contas de administrador.

6. Verifique extratos de cartão de crédito vinculados às APIs para cobranças suspeitas.

7. Verifique a existência da chave session-2389432 no sessionStorage do navegador — sua presença indica que o malware executou naquele navegador.

8. Monitore requisições para .srv.us em logs de rede, indicador de comunicação com o C2.

IOCs (Indicadores de Comprometimento):

  • Conta GitHub: mia13165 (removida), gm92342 (removida)
  • Repositórios: mia13165/SillyTavern-BotBrowser, mia13165/updated_cards, mia13165/BotBrowser-Plugin, gm92342/sdhiabfkgcnf
  • C2: 4sxtluoyg6o5tijchstlj74vli.srv.us
  • sessionStorage: session-2389432, _oy2
  • Cipher key: st-anchor-2025
  • Prefix: ST01
  • Versão comprometida: BotBrowser v2.0.5

Fontes: