Novo ataque à cadeia de suprimentos de software afeta pacotes do npm

BR Defense Center (By River de Morais e Silva)
malware

Pesquisadores de cibersegurança identificaram um novo ataque à cadeia de suprimentos de software que comprometeu mais de 40 pacotes do registro npm, afetando diversos mantenedores. O ataque envolve a injeção de um código JavaScript malicioso em versões comprometidas dos pacotes, que utiliza a função NpmModule.updatePackage para baixar, modificar e republicar pacotes, permitindo a ’trojanização’ automática de pacotes subsequentes. O objetivo principal é escanear máquinas de desenvolvedores em busca de segredos, utilizando a ferramenta TruffleHog, e enviar essas informações para um servidor controlado pelos atacantes. O ataque é capaz de atingir sistemas Windows e Linux. Os pacotes afetados incluem, entre outros, angulartics2, @ctrl/deluge e ngx-color. Os desenvolvedores são aconselhados a auditar seus ambientes e rotacionar tokens npm e outros segredos expostos. Além disso, um alerta de phishing foi emitido para usuários do crates.io, com e-mails fraudulentos tentando capturar credenciais do GitHub. Esse cenário destaca a evolução preocupante das ameaças à cadeia de suprimentos de software, com um mecanismo de auto-propagação que pode comprometer todo o ecossistema.

Fonte: https://thehackernews.com/2025/09/40-npm-packages-compromised-in-supply.html

⚠️
BR DEFENSE CENTER: SECURITY BRIEFING
16/09/2025 • Risco: ALTO
MALWARE

Novo ataque à cadeia de suprimentos de software afeta pacotes do npm

RESUMO EXECUTIVO
O ataque à cadeia de suprimentos de software compromete pacotes npm, permitindo que atacantes roubem credenciais de desenvolvedores. A injeção de código malicioso e a capacidade de auto-propagação representam uma ameaça significativa, exigindo que as organizações revisem suas práticas de segurança e rotacionem segredos expostos.

💼 IMPACTO DE NEGÓCIO

Financeiro
Possíveis perdas financeiras devido a vazamentos de dados e compromissos de segurança.
Operacional
Roubo de credenciais e segredos de desenvolvedores, comprometendo repositórios do GitHub.
Setores vulneráveis
['Tecnologia da Informação', 'Desenvolvimento de Software']

📊 INDICADORES CHAVE

Mais de 40 pacotes afetados. Indicador
Uso de TruffleHog para escanear segredos como GITHUB_TOKEN e AWS_SECRET_ACCESS_KEY. Contexto BR
Capacidade de atingir sistemas Windows e Linux. Urgência

⚡ AÇÕES IMEDIATAS

1 Auditar ambientes para identificar pacotes npm afetados.
2 Rotacionar tokens npm e credenciais expostas imediatamente.
3 Monitorar continuamente atividades suspeitas em repositórios e ambientes de desenvolvimento.

🇧🇷 RELEVÂNCIA BRASIL

CISOs devem se preocupar com a segurança da cadeia de suprimentos, pois a exploração de pacotes pode levar a vazamentos de dados críticos.

⚖️ COMPLIANCE

Implicações na LGPD devido ao potencial vazamento de dados pessoais.
Status
ativo
Verificação
alta
BR Defense Center

Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).