O GitHub anunciou novas medidas de segurança para o npm, visando fortalecer a cadeia de suprimentos de software. A funcionalidade chamada ‘publicação em estágio’ permite que os mantenedores aprovem explicitamente uma versão de pacote antes que ela se torne disponível publicamente. Para isso, é necessário que o mantenedor passe por um desafio de autenticação de dois fatores (2FA) antes que o pacote seja enviado ao npmjs.com. Essa abordagem garante uma ‘prova de presença’ para cada publicação, incluindo aquelas provenientes de fluxos de trabalho CI/CD não interativos. Para utilizar a publicação em estágio, os mantenedores devem ter acesso de publicação ao pacote, que já deve existir no registro do npm, e ter 2FA habilitado. Além disso, o GitHub introduziu três novas flags de origem de instalação que permitem um controle mais rigoroso sobre as fontes de instalação de pacotes, aplicando uma abordagem de lista de permissões explícitas. Essas mudanças surgem em um contexto de aumento significativo de ataques à cadeia de suprimentos de software, especialmente em ecossistemas de código aberto, onde grupos cibercriminosos têm comprometido pacotes populares em larga escala.
Fonte: https://thehackernews.com/2026/05/npm-adds-2fa-gated-publishing-and.html
⚠️BR DEFENSE CENTER: SECURITY BRIEFING
23/05/2026 • Risco: ALTO
TECNOLOGIA
GitHub implementa controles de segurança para npm
RESUMO EXECUTIVO
As novas funcionalidades de segurança do GitHub para o npm são cruciais em um cenário de aumento de ataques à cadeia de suprimentos. A implementação de autenticação de dois fatores e a publicação em estágio são passos importantes para proteger pacotes de software, que são amplamente utilizados por empresas brasileiras. A necessidade de ações proativas por parte dos CISOs é evidente, considerando o impacto potencial em conformidade e segurança.
💼 IMPACTO DE NEGÓCIO
Financeiro
Possíveis perdas financeiras devido a interrupções e comprometimento de dados.
Operacional
Aumento de ataques à cadeia de suprimentos de software, comprometendo pacotes populares.
Setores vulneráveis
['Tecnologia', 'Financeiro', 'Saúde']
📊 INDICADORES CHAVE
Aumento significativo de ataques à cadeia de suprimentos de software.
Indicador
Grupo cibercriminoso TeamPCP envolvido em compromissos em larga escala.
Contexto BR
Mudanças implementadas em npm a partir de maio de 2026.
Urgência
⚡ AÇÕES IMEDIATAS
1
Verificar se a autenticação de dois fatores está habilitada para contas de mantenedores de pacotes.
2
Implementar a publicação em estágio para novos pacotes e versões.
3
Monitorar continuamente as fontes de instalação de pacotes e a atividade de publicação.
🇧🇷 RELEVÂNCIA BRASIL
CISOs devem se preocupar com a segurança da cadeia de suprimentos, pois ataques a pacotes podem comprometer a integridade de aplicações críticas.
⚖️ COMPLIANCE
Implicações legais relacionadas à segurança de dados e conformidade com a LGPD.
Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).
