Cadeia De Suprimentos

Em dezembro de 2025, o npm implementou uma reforma significativa em seu sistema de autenticação após o incidente Sha1-Hulud, visando reduzir ataques à cadeia de suprimentos. A mudança mais notável foi a revogação de tokens clássicos, que eram longos e permanentes, substituídos por tokens de sessão de curta duração, geralmente válidos por duas horas. Além disso, o npm agora prioriza a autenticação multifator (MFA) para operações sensíveis, como a publicação de pacotes. Apesar dessas melhorias, o npm ainda enfrenta riscos, como ataques de phishing direcionados a credenciais MFA e a possibilidade de desenvolvedores criarem tokens de 90 dias com bypass de MFA. Isso significa que, se um invasor obtiver acesso ao console de um mantenedor, ele pode publicar pacotes maliciosos. Para mitigar esses riscos, o artigo sugere que o uso de OIDC (OpenID Connect) se torne padrão e que a MFA seja obrigatória para uploads de pacotes. Além disso, construir pacotes a partir de código-fonte verificável, como faz a Chainguard, poderia reduzir significativamente a superfície de ataque, já que 98,5% dos pacotes maliciosos não continham malware no código-fonte original. Portanto, embora o npm tenha dado passos importantes, a segurança da cadeia de suprimentos ainda requer atenção contínua.

O artigo destaca que, apesar da segurança cibernética frequentemente discutir novas ameaças, os ataques mais eficazes em 2025 são semelhantes aos de 2015. Os invasores continuam a explorar pontos de entrada conhecidos, mas com maior eficiência. A cadeia de suprimentos é um foco crítico, como demonstrado pela campanha Shai Hulud NPM, onde um único pacote comprometido pode afetar milhares de projetos. A inteligência artificial facilitou a execução de ataques, permitindo que até indivíduos realizem operações complexas que antes exigiam grandes equipes. O phishing permanece uma ameaça significativa, pois os humanos continuam sendo o elo mais fraco, exemplificado por um ataque recente que comprometeu pacotes com milhões de downloads. Além disso, extensões de navegador maliciosas continuam a contornar os mecanismos de segurança das lojas oficiais. O artigo conclui que, em vez de buscar novas estratégias de defesa, é essencial corrigir os modelos de permissão e fortalecer a verificação da cadeia de suprimentos, priorizando a segurança básica.

Um novo ataque de cadeia de suprimentos, conhecido como Shai-Hulud v2, comprometeu mais de 830 pacotes no registro npm e se espalhou para o ecossistema Maven. A equipe de pesquisa Socket identificou um pacote no Maven Central, ‘org.mvnpm:posthog-node:4.18.1’, que contém componentes maliciosos semelhantes aos associados ao ataque original. O ataque visa roubar dados sensíveis, como chaves de API e credenciais de nuvem, e se tornou mais furtivo e destrutivo. Os atacantes conseguiram acessar contas de mantenedores do npm e publicar versões trojanizadas de pacotes, afetando mais de 28.000 repositórios. A vulnerabilidade explorada está relacionada a configurações inadequadas em workflows do GitHub Actions, permitindo que código malicioso seja executado. A campanha já vazou centenas de tokens de acesso do GitHub e credenciais de serviços como AWS e Google Cloud. Especialistas recomendam que os usuários rotacionem tokens, auditem dependências e reforcem ambientes de desenvolvimento com acesso de menor privilégio e varredura de segredos.

O Open Web Application Security Project (OWASP) lançou a oitava edição de sua lista dos 10 principais riscos de segurança para 2025, trazendo mudanças significativas que refletem a evolução das ameaças à segurança de aplicações. Entre as novidades, destacam-se duas novas categorias: ‘Falhas na Cadeia de Suprimentos de Software’, que ocupa a terceira posição, e ‘Mau Manuseio de Condições Excepcionais’, na décima posição. A primeira categoria aborda as vulnerabilidades que surgem em todo o ecossistema de dependências de software, enquanto a segunda trata de erros lógicos e manuseio inadequado de erros em situações anormais. A lista também revela que o ‘Controle de Acesso Quebrado’ continua sendo a principal preocupação, afetando 3,73% das aplicações testadas. Além disso, ‘Configuração de Segurança’ subiu para a segunda posição, refletindo um aumento nas falhas de configuração. A análise incluiu 589 Common Weakness Enumerations (CWEs) e cerca de 175.000 registros CVE, destacando a importância de uma abordagem proativa na segurança de aplicações. Com a crescente ênfase na segurança da cadeia de suprimentos e no tratamento adequado de erros, a lista serve como um documento essencial para desenvolvedores e equipes de segurança em todo o mundo.

O artigo destaca como cibercriminosos aproveitam vulnerabilidades em sistemas e na confiança dos usuários para realizar ataques. Um exemplo é a queda na atividade do malware Lumma Stealer, que ocorreu após a exposição de identidades de seus desenvolvedores, resultando na migração de clientes para outras ferramentas como Vidar Stealer 2.0. Este novo malware, reescrito em C, apresenta técnicas avançadas de extração de credenciais e evasão de detecções. Além disso, um esquema de fraude em larga escala em Cingapura utilizou imagens de autoridades locais para enganar cidadãos em uma plataforma de investimentos falsa, demonstrando como a confiança em instituições pode ser manipulada. Outro ponto crítico é a descoberta de um pacote npm malicioso que comprometeu a cadeia de suprimentos de software, reforçando a necessidade de cautela ao instalar pacotes de código aberto. O artigo também menciona a multa de $176 milhões imposta ao Cryptomus, uma plataforma de pagamentos digitais, por não reportar transações suspeitas ligadas a crimes graves. A SpaceX desativou dispositivos Starlink usados em centros de fraude na região do Sudeste Asiático, evidenciando a resposta a crimes cibernéticos em escala global.

No contexto atual da economia global interconectada, a segurança das cadeias de suprimentos se tornou uma prioridade crítica para empresas em todo o mundo. O aumento de ciberataques, vazamentos de dados e interrupções geopolíticas ameaça a estabilidade das cadeias de suprimentos e a continuidade dos negócios. Para enfrentar esses riscos, empresas especializadas em segurança de inteligência de cadeia de suprimentos utilizam tecnologias avançadas como inteligência artificial (IA), aprendizado de máquina, inteligência de ameaças e análises de risco. Essas soluções permitem que as organizações identifiquem proativamente vulnerabilidades, monitorem fornecedores e mitiguem ameaças em tempo real. O artigo apresenta uma análise das dez melhores empresas de segurança em inteligência de cadeia de suprimentos em 2025, avaliando-as com base em critérios como especificações, recursos, razões para compra, prós e contras. A lista destaca empresas que se destacam em precisão, capacidade de integração e insights acionáveis, ajudando os gestores de risco a responder rapidamente e reduzir potenciais interrupções ou violações na cadeia de suprimentos.

A gestão de risco da cadeia de suprimentos (SCRM) se tornou um pilar essencial para empresas que buscam resiliência em 2025. Com a crescente interconexão e fragilidade das cadeias globais, as organizações enfrentam riscos que vão desde conflitos geopolíticos até ciberataques. O artigo destaca as 10 melhores soluções de SCRM, que utilizam análises preditivas, monitoramento em tempo real e insights impulsionados por inteligência artificial para proteger suas redes de suprimentos. Entre as soluções mencionadas, Prewave se destaca por sua capacidade de detectar riscos em tempo real e monitorar a conformidade ESG, enquanto Resilinc oferece visibilidade em múltiplos níveis da cadeia de suprimentos, essencial para setores como tecnologia e saúde. Sphera é reconhecida por sua forte ênfase em gestão de riscos ambientais e de sustentabilidade. A escolha da solução adequada pode melhorar significativamente a visibilidade, mitigar riscos e fortalecer o desempenho dos fornecedores, tornando-se crucial para a competitividade das empresas no cenário atual.

A adoção de Inteligência Artificial (IA) nas empresas está em rápida ascensão, com ferramentas de IA generativa sendo integradas a diversas funções, como marketing, desenvolvimento e recursos humanos. Essa transformação traz inovação e eficiência, mas também novos riscos que precisam ser geridos. Entre os principais desafios estão a ’expansão da IA’, onde funcionários utilizam ferramentas sem supervisão de segurança, e as vulnerabilidades na cadeia de suprimentos, que aumentam a superfície de ataque. Além disso, o compartilhamento de dados sensíveis com serviços de IA externos levanta preocupações sobre vazamentos e uso indevido de informações. Para mitigar esses riscos, é necessário um novo paradigma de segurança que inclua descoberta contínua, monitoramento em tempo real e avaliação adaptativa de riscos. A Wing Security se destaca nesse cenário, oferecendo visibilidade e controle sobre a utilização de aplicações de IA, permitindo que as empresas inovem com segurança, reduzindo a exposição a ataques e garantindo conformidade regulatória. Essa abordagem transforma a segurança em um facilitador de negócios, permitindo que as organizações adotem ferramentas de IA de forma responsável e segura.

Pesquisadores de cibersegurança identificaram um novo ataque à cadeia de suprimentos de software que comprometeu mais de 40 pacotes do registro npm, afetando diversos mantenedores. O ataque envolve a injeção de um código JavaScript malicioso em versões comprometidas dos pacotes, que utiliza a função NpmModule.updatePackage para baixar, modificar e republicar pacotes, permitindo a ’trojanização’ automática de pacotes subsequentes. O objetivo principal é escanear máquinas de desenvolvedores em busca de segredos, utilizando a ferramenta TruffleHog, e enviar essas informações para um servidor controlado pelos atacantes. O ataque é capaz de atingir sistemas Windows e Linux. Os pacotes afetados incluem, entre outros, angulartics2, @ctrl/deluge e ngx-color. Os desenvolvedores são aconselhados a auditar seus ambientes e rotacionar tokens npm e outros segredos expostos. Além disso, um alerta de phishing foi emitido para usuários do crates.io, com e-mails fraudulentos tentando capturar credenciais do GitHub. Esse cenário destaca a evolução preocupante das ameaças à cadeia de suprimentos de software, com um mecanismo de auto-propagação que pode comprometer todo o ecossistema.

Os mantenedores do repositório Python Package Index (PyPI) anunciaram uma nova funcionalidade que verifica domínios expirados para prevenir ataques à cadeia de suprimentos. Essa atualização visa combater ataques de ressurreição de domínios, onde atacantes compram domínios expirados para assumir o controle de contas do PyPI através de redefinições de senha. Desde junho de 2025, mais de 1.800 endereços de e-mail foram desmarcados como verificados assim que seus domínios entraram em fase de expiração. Embora essa medida não seja infalível, ela fecha uma importante brecha de ataque que poderia parecer legítima e difícil de detectar. Os usuários do PyPI são aconselhados a habilitar a autenticação de dois fatores (2FA) e a adicionar um segundo endereço de e-mail verificado de um domínio confiável, como Gmail ou Outlook, para aumentar a segurança. A nova funcionalidade utiliza a API de Status da Fastly para verificar o status dos domínios a cada 30 dias, marcando os endereços de e-mail como não verificados em caso de expiração.