Cadeia de suprimentos de software volta aos holofotes com novas invasões
NCSC da Holanda e ACSC da Austrália alertaram recentemente para uma escalada de comprometimentos em pacotes dos repositórios npm e Python que afetam projetos amplamente usados, como o scanner de vulnerabilidades Trivy e a biblioteca HTTP Axios, abrindo brechas para roubo de credenciais e instalação de malware.
- Em resumo: Pacotes infectados driblam confiança dos devs, sequestram tokens e espalham código malicioso.
Ataque supply chain: o elo fraco agora é o repositório
Os órgãos de cibersegurança classificam o cenário como “alto risco” após notar picos de uploads suspeitos no npm e no PyPI. De acordo com análise citada pelo The Hacker News, os invasores aproveitam falhas de autenticação para assumir contas de mantenedores e distribuir versões adulteradas.
“As falhas exploradas permitiram que invasores obtivessem credenciais de desenvolvedores e instalassem malware em sistemas de usuários.”
Por que isso importa para empresas e devs
Comprometimentos em bibliotecas populares afetam diretamente pipelines CI/CD, onde esses pacotes são puxados automaticamente. Um levantamento da Sonatype indica que mais de 88 mil componentes maliciosos foram detectados em ecossistemas de código aberto só em 2023, sinalizando que ataques como os observados pela NCSC e ACSC tendem a crescer em 2024.
O histórico reforça o alerta: episódios como o dependency confusion na Apple e na Microsoft expuseram que a validação de assinaturas e o uso de repositórios internos espelhados são práticas indispensáveis. Especialistas também recomendam ativar autenticação multifator para publicadores e monitorar hashes de releases antes de enviar artefatos à produção.
O que você acha? Sua empresa já revisou a política de dependências externas? Para mais análises de cibersegurança, acesse nossa editoria especializada.
Crédito da imagem: Divulgação / NCSC
