O Gaslight é um backdoor macOS escrito em Rust que carrega 38 mensagens falsas de sistema projetadas para enganar ferramentas de triagem de malware baseadas em inteligência artificial. Descoberto pela SentinelOne e atribuído à Coreia do Norte, o implante usa o Telegram como canal de comando e controle cifrado com AES-GCM, rouba credenciais de navegadores e o cofre de senhas do sistema, e representa a primeira mudança significativa na tática de malware: atacar a percepção do analista de IA em vez do sandbox.
Pontos-chave
Um novo malware escrito em Rust, apelidado de Gaslight, carrega 38 mensagens falsas de sistema projetadas para enganar ferramentas de análise de malware baseadas em IA. O implante usa o Telegram como canal de comando e controle, com criptografia AES-GCM e certificate pinning para dificultar a interceptação. Pesquisadores da SentinelOne atribuíram o malware, com alta confiança, a atores alinhados à Coreia do Norte.
Pesquisadores de cibersegurança identificaram um implante macOS inédito que introduz uma mudança alarmante na tática de ataques: em vez de tentar escapar de sandboxes, o malware ataca diretamente as ferramentas que os analistas usam para investigá-lo. Trata-se do Gaslight, um backdoor escrito em Rust que embute um payload de prompt injection projetado para sabotar agentes de triagem assistidos por inteligência artificial.
A descoberta foi publicada em 23 de junho de 2026 por Phil Stokes, pesquisador da SentinelLabs, e levantou preocupações imediatas na comunidade de segurança. A Coreia do Norte já é conhecida por campanhas sofisticadas de ciberespionagem e sabotagem de cadeia de suprimentos, e o Gaslight mostra que o arsenal do país está evoluindo para explorar a própria infraestrutura de defesa baseada em IA.
O que é o Gaslight
Gaslight é um implante macOS completo que funciona tanto como backdoor remoto quanto como infostealer. Escrito em Rust, o binário é assinado ad hoc e carrega o identificador endpoint-macos-aarch64. A Apple adicionou uma assinatura XProtect para a amostra no início de junho, sob a regra MACOS_BONZAI_COBUCH — uma família que a SentinelOne associa a atividade da Coreia do Norte. Um segundo binário relacionado também foi detectado pela regra AIRPIPE, igualmente vinculada a operações do país asiático.
O nome Gaslight reflete a tática central do malware: manipular a percepção do analista para que ele duvide da própria análise. O binário carrega 38 mensagens de sistema forjadas dentro de um bloco delimitado por tokens {{DATA}}, formatadas em Markdown para imitar o scaffold interno de uma ferramenta de triagem por LLM. As mensagens falsas alertam sobre expiração de token, falhas de memória, exaustão de disco, falhas de operação repetidas e vulnerabilidades de injeção inexistentes. O objetivo é fazer com que o agente de IA aborte, trunque ou recuse a análise do arquivo.
Conforme relato da The Hacker News, versões anteriores dessa técnica usavam um único bloco injetado. O Gaslight empilhou 38 mensagens em cascata — uma escalada que revela a intenção deliberada de sobrecarregar a capacidade de raciocínio do modelo.
Canal de comando via Telegram
O canal de comando e controle do Gaslight opera inteiramente sobre a API de bots do Telegram. O implante entra em um loop de polling com getUpdates e só executa quando nenhum webhook está registrado. O operador mantém controle sobre a vítima por meio de seis comandos principais: shell para execução de comandos no sistema, upload para exfiltração de arquivos, kill para encerrar processos por PID, id para identificação do implante, help para ajuda e stop para encerrar a operação. Há indícios de um sétimo comando chamado focus, cuja funcionalidade ainda não foi determinada.
A comunicação é protegida por duas camadas. A primeira é criptografia AES-GCM implementada com a biblioteca Rust aes-gcm 0.10.3, com nonce gerado por CCRandomGenerateBytes. A chave AES é fornecida em tempo de execução e não fica embutida no binário. A segunda é certificate pinning via SecTrustSetAnchorCertificatesOnly, que restringe a validação TLS a uma âncora de certificado personalizada, frustrando a interceptação por proxies corporativos padrão. O implante ainda respeita as configurações de proxy do sistema via SCDynamicStoreCopyProxies, permitindo que o tráfego flua mesmo em redes corporativas restritivas.
Um detalhe de operações que chamou a atenção dos pesquisadores: o Gaslight implementa autoexclusão do token do bot Telegram em seu próprio output em tempo de execução. Quando a URL contém o literal “file”, o construtor substitui o token pela string file/token:redacted. Isso impede que defensores recuperem o token de logs, dumps de memória ou artefatos de crash — um recurso de OPSEC que dificulta significativamente a investigação.
Capacidades e módulos do malware
| Componente | Função | Detalhe técnico |
|---|---|---|
| Prompt injection | Sabotar análise por IA | 38 mensagens falsas em bloco Markdown delimitado por {{DATA}} |
| Shell remoto | Execução de comandos | 6 comandos: shell, upload, kill, id, help, stop |
| Python stealer | Roubo de dados | 6,6 KB, captura keychain + 4 navegadores + Terminal |
| C2 via Telegram | Comunicação cifrada | AES-GCM + certificate pinning + autoexclusão de token |
| LaunchAgent | Persistência | Label com.apple.system.services.activity, bloqueia suspensão |
Roubo de dados do macOS
Além do acesso remoto via shell, o Gaslight carrega um módulo de coleta de dados embutido: um script Python de 6,6 KB codificado em base64. Quando decodificado e executado, o script rouba dados de quatro navegadores — Chrome, Brave, Firefox e Safari — incluindo credenciais armazenadas, cookies e histórico de navegação. Também captura o histórico de comandos do Terminal, lista de aplicativos instalados, snapshot de processos em execução via ps aux, perfil de hardware e software do sistema via system_profiler e uma cópia bruta do arquivo login.keychain-db — o cofre de senhas do macOS.
Os dados coletados são compactados em temp/collected_data.zip e enviados ao operador via mecanismo de upload do Telegram. Um instalador bash separado de 2 KB faz o download de um interpretador Python autônomo (cpython-3.10.18) do projeto astral-sh/python-build-standalone, técnica inédita documentada pela SentinelOne. A presença abundante de emojis e cabeçalhos de comentário sugere que o código foi gerado por um modelo de linguagem.
A persistência é alcançada por meio de um LaunchAgent com o label com.apple.system.services.activity, disfarçado dentro do namespace oficial da Apple — uma tática recorrente em malwares macOS vinculados à Coreia do Norte. O implante ainda usa IOPMAssertionCreateWithName para impedir que o Mac entre em modo de suspensão, garantindo que o polling de C2 continue mesmo quando o usuário está inativo.
Ligação com a Coreia do Norte
A atribuição ao regime de Pyongyang é baseada em múltiplos indicadores. A assinatura MACOS_BONZAI_COBUCH no XProtect da Apple é a evidência principal — a SentinelOne associa essa família à atividade norte-coreana. Um binário relacionado, capturado pela regra AIRPIPE, reforça essa conclusão. A técnica de usar LaunchAgents com labels com.apple.* para persistência é amplamente documentada em campanhas anteriores do mesmo grupo de ameaças, incluindo o Atomic macOS Stealer (AMOS).
A Infosecurity Magazine destacou que o Gaslight faz parte de uma tendência mais ampla na qual atores de ameaças priorizam a manipulação das ferramentas de IA e machine learning que organizações utilizam para resposta a incidentes. A Coreia do Norte já explorou plataformas de inteligência de ameaças para phishing e ferramentas de IA corporativa para acesso não autorizado.
Impacto na defesa cibernética
O Gaslight não é um problema exclusivo de usuários de macOS. Ele evidencia uma mudança fundamental na guerra entre atacantes e defensores: o campo de batalha migrou do sandbox para a mente da ferramenta de análise. Enquanto equipes de segurança adotam LLMs para acelerar a triagem de amostras maliciosas, atacantes estão aprendendo a explorar as próprias limitações desses modelos — incluindo sua tendência a seguir “instruções” encontradas dentro do conteúdo que analisam.
Para quem usa macOS em ambiente corporativo, a recomendação inclui garantir que o XProtect esteja atualizado, monitorar LaunchAgents com labels com.apple.* que não correspondam a serviços legítimos da Apple e ficar atento a processos que fazem polling contínuo de APIs externas. Para equipes de segurança que utilizam IA na triagem de malware, a lição é tratar todo conteúdo de amostras como input adversarial — nunca como instruções — e implementar filtros que isolem o conteúdo analisado do prompt do modelo.
Referências
- Phil Stokes, “macOS.Gaslight | Rust Backdoor Turns Prompt Injection on the Analyst, Not the Sandbox”, SentinelLabs, 23 de junho de 2026
- Ravie Lakshmanan, “New Gaslight macOS Malware Uses Prompt Injection to Disrupt AI-Assisted Analysis”, The Hacker News, 25 de junho de 2026
- Alessandro Mascellino, “macOS Backdoor Uses Prompt Injection to Evade AI Triage”, Infosecurity Magazine, 24 de junho de 2026
- Dennis Fisher, “macOS Gaslight Backdoor Weaponizes Prompt Injection Against Security Analysts”, Decipher, 24 de junho de 2026