Cadeia De Suprimentos

Segurança da Cadeia de Suprimentos de Software O Impacto da IA

A segurança da cadeia de suprimentos de software enfrenta novos desafios com a integração da inteligência artificial (IA) no processo de desenvolvimento. Nos últimos anos, incidentes como SolarWinds e Log4Shell destacaram que os riscos estão mais associados ao que compõe o código do que ao código em si. Com a introdução de ferramentas autônomas e assistentes de codificação baseados em IA, a necessidade de entender a origem e a confiabilidade dos modelos e ferramentas se torna crucial. A validação do código gerado por IA antes de sua implementação é essencial, mas o verdadeiro desafio reside na governança das ferramentas e agentes que produzem esse código. Para lidar com essa nova realidade, as equipes de segurança precisam estender a rastreabilidade para incluir modelos e agentes, além de priorizar vulnerabilidades com base na real possibilidade de exploração. O recente reconhecimento do Gartner sobre a segurança da cadeia de suprimentos de software ressalta a importância de abordar esses riscos de forma sistemática. Um webinar programado para julho de 2026 discutirá como a integração da IA alterou a superfície de ataque e o que um programa de segurança deve incluir para ser eficaz nesta nova era.

GitHub reforça segurança na cadeia de suprimentos de software

O GitHub anunciou uma atualização significativa em sua ação ‘actions/checkout’ para fortalecer a segurança da cadeia de suprimentos de software, bloqueando ataques conhecidos como pwn requests. A partir de 18 de junho de 2026, a nova versão da ação não permitirá a execução de códigos maliciosos provenientes de pull requests de forks, a menos que os autores do workflow optem explicitamente por permitir isso. Essa mudança é crucial, pois o trigger ‘pull_request_target’ pode executar código não confiável com privilégios elevados, expondo segredos e o GITHUB_TOKEN. O GitHub destacou que essa vulnerabilidade já foi explorada em ataques recentes, como o comprometimento de pacotes do sistema de construção Nx e outras brechas em projetos populares. A atualização será retroativa a versões suportadas a partir de 16 de julho de 2026. Para mitigar riscos, os desenvolvedores são aconselhados a usar ‘pull_request’ quando não necessitam de permissões elevadas e a revisar cuidadosamente os workflows que utilizam segredos e permissões de escrita.

GitHub anuncia mudanças no npm para combater ameaças na cadeia de software

O GitHub anunciou mudanças significativas na versão 12 do npm, que visam aumentar a segurança da cadeia de suprimentos de software. Uma das principais alterações é a desativação padrão de scripts de instalação, que são frequentemente utilizados por atacantes para executar código malicioso durante o comando ’npm install’. Essa mudança é uma resposta a técnicas de ataque que exploram a execução automática de scripts de dependências transitivas, permitindo que um pacote comprometido execute código arbitrário em máquinas de desenvolvedores ou em ambientes de integração contínua (CI).

GitHub anuncia mudanças de segurança no npm para combater ataques

O GitHub revelou que a versão 12 do npm, prevista para o próximo mês, implementará mudanças significativas focadas na segurança, visando bloquear ataques à cadeia de suprimentos que exploram comportamentos do comando ’npm install’. Este comando é amplamente utilizado por desenvolvedores para baixar e instalar dependências de projetos, além de executar scripts relacionados à instalação. Os atacantes visam essa ação devido ao potencial de execução automática de código durante a instalação de pacotes.

Novo ataque à cadeia de suprimentos compromete pacotes do npm

Um novo ataque à cadeia de suprimentos afetou 36 pacotes no Node Package Manager (npm), introduzindo um malware infostealer chamado IronWorm. Este malware, escrito em Rust, visa 86 variáveis de ambiente e 20 arquivos de credenciais, que podem conter informações sensíveis como credenciais da OpenAI, AWS, Anthropic e npm, além de chaves SSH e arquivos de carteiras de criptomoedas. A pesquisa da JFrog revelou que o IronWorm se propaga utilizando credenciais roubadas para publicar pacotes no npm, comprometendo ambientes de desenvolvedores e sistemas de integração contínua (CI). O ataque começou a partir de uma conta comprometida chamada ‘asteroiddao’, que publicou versões maliciosas de pacotes. O malware utiliza um rootkit e se comunica com o operador via rede Tor, além de empregar um mecanismo que utiliza GitHub Actions para entregar segredos roubados. Embora o ataque tenha sido detectado rapidamente, a situação destaca a necessidade de os desenvolvedores atualizarem suas versões de pacotes e implementarem autenticação de dois fatores (2FA). O incidente é um lembrete da vulnerabilidade das cadeias de suprimentos e da importância de medidas de segurança robustas.

GitHub implementa controles de segurança para npm

O GitHub anunciou novas medidas de segurança para o npm, visando fortalecer a cadeia de suprimentos de software. A funcionalidade chamada ‘publicação em estágio’ permite que os mantenedores aprovem explicitamente uma versão de pacote antes que ela se torne disponível publicamente. Para isso, é necessário que o mantenedor passe por um desafio de autenticação de dois fatores (2FA) antes que o pacote seja enviado ao npmjs.com. Essa abordagem garante uma ‘prova de presença’ para cada publicação, incluindo aquelas provenientes de fluxos de trabalho CI/CD não interativos. Para utilizar a publicação em estágio, os mantenedores devem ter acesso de publicação ao pacote, que já deve existir no registro do npm, e ter 2FA habilitado. Além disso, o GitHub introduziu três novas flags de origem de instalação que permitem um controle mais rigoroso sobre as fontes de instalação de pacotes, aplicando uma abordagem de lista de permissões explícitas. Essas mudanças surgem em um contexto de aumento significativo de ataques à cadeia de suprimentos de software, especialmente em ecossistemas de código aberto, onde grupos cibercriminosos têm comprometido pacotes populares em larga escala.

Ataques à cadeia de suprimentos visam roubo de credenciais

Recentemente, três campanhas de ataque à cadeia de suprimentos atingiram plataformas populares como npm, PyPI e Docker Hub, focando no roubo de credenciais de ambientes de desenvolvedores e pipelines CI/CD. Os atacantes estão utilizando pacotes comprometidos, ferramentas de desenvolvimento vulneráveis e automação para coletar segredos como chaves de API, credenciais de nuvem e tokens. O artigo destaca que a segurança deve se concentrar não apenas em repositórios e ambientes de produção, mas também nas estações de trabalho dos desenvolvedores, que contêm informações sensíveis que podem ser exploradas. A velocidade dos ataques modernos, potencializada por ferramentas de automação e inteligência artificial, exige que as equipes de segurança reavaliem suas estratégias. Perguntas cruciais surgem, como a capacidade de identificar e limitar o uso de credenciais a partir das estações de trabalho dos desenvolvedores, bem como a detecção de materiais sensíveis antes que sejam expostos. O artigo conclui que a proteção das estações de trabalho deve ser vista como uma fronteira crítica na cadeia de suprimentos de software.

OpenAI sofre ataque na cadeia de suprimentos e troca certificados

A OpenAI confirmou que dispositivos de dois de seus funcionários foram comprometidos em um recente ataque à cadeia de suprimentos, conhecido como TanStack, que afetou centenas de pacotes do npm e PyPI. Apesar da gravidade do incidente, a empresa assegurou que não houve impacto em dados de clientes, sistemas de produção ou propriedade intelectual. O ataque está associado à campanha de extorsão ‘Mini Shai-Hulud’, que introduziu atualizações maliciosas em pacotes de software confiáveis. A OpenAI observou atividades de malware, incluindo acesso não autorizado e exfiltração de credenciais, em um subconjunto limitado de repositórios de código interno. Embora algumas credenciais tenham sido roubadas, não há evidências de que tenham sido utilizadas em ataques adicionais. Como medida de precaução, a OpenAI isolou os sistemas afetados, revogou sessões e rotacionou credenciais. A empresa também está trocando certificados de assinatura de código, exigindo que usuários do macOS atualizem seus aplicativos até junho de 2026. O ataque destaca uma tendência crescente de atacantes visando a cadeia de suprimentos de software, o que pode ter um impacto amplo e rápido nas organizações.

Comprometimento de biblioteca Axios afeta segurança de aplicativos macOS

Recentemente, a OpenAI revelou que um fluxo de trabalho do GitHub Actions utilizado para assinar seus aplicativos macOS resultou no download da biblioteca maliciosa Axios, embora não tenha havido comprometimento de dados de usuários ou sistemas internos. O incidente ocorreu em 31 de março e foi atribuído a um grupo de hackers norte-coreano conhecido como UNC1069, que comprometeu a conta de um mantenedor do pacote npm para inserir versões contaminadas da biblioteca. Essas versões continham uma dependência maliciosa chamada ‘plain-crypto-js’, que implantava um backdoor cross-platform chamado WAVESHAPER.V2, afetando sistemas Windows, macOS e Linux.

Segurança da Cadeia de Suprimentos Atualizações no npm e Riscos Persistentes

Em dezembro de 2025, o npm implementou uma reforma significativa em seu sistema de autenticação após o incidente Sha1-Hulud, visando reduzir ataques à cadeia de suprimentos. A mudança mais notável foi a revogação de tokens clássicos, que eram longos e permanentes, substituídos por tokens de sessão de curta duração, geralmente válidos por duas horas. Além disso, o npm agora prioriza a autenticação multifator (MFA) para operações sensíveis, como a publicação de pacotes. Apesar dessas melhorias, o npm ainda enfrenta riscos, como ataques de phishing direcionados a credenciais MFA e a possibilidade de desenvolvedores criarem tokens de 90 dias com bypass de MFA. Isso significa que, se um invasor obtiver acesso ao console de um mantenedor, ele pode publicar pacotes maliciosos. Para mitigar esses riscos, o artigo sugere que o uso de OIDC (OpenID Connect) se torne padrão e que a MFA seja obrigatória para uploads de pacotes. Além disso, construir pacotes a partir de código-fonte verificável, como faz a Chainguard, poderia reduzir significativamente a superfície de ataque, já que 98,5% dos pacotes maliciosos não continham malware no código-fonte original. Portanto, embora o npm tenha dado passos importantes, a segurança da cadeia de suprimentos ainda requer atenção contínua.

Velho Manual, Nova Escala Ataques Otimizados em 2025

O artigo destaca que, apesar da segurança cibernética frequentemente discutir novas ameaças, os ataques mais eficazes em 2025 são semelhantes aos de 2015. Os invasores continuam a explorar pontos de entrada conhecidos, mas com maior eficiência. A cadeia de suprimentos é um foco crítico, como demonstrado pela campanha Shai Hulud NPM, onde um único pacote comprometido pode afetar milhares de projetos. A inteligência artificial facilitou a execução de ataques, permitindo que até indivíduos realizem operações complexas que antes exigiam grandes equipes. O phishing permanece uma ameaça significativa, pois os humanos continuam sendo o elo mais fraco, exemplificado por um ataque recente que comprometeu pacotes com milhões de downloads. Além disso, extensões de navegador maliciosas continuam a contornar os mecanismos de segurança das lojas oficiais. O artigo conclui que, em vez de buscar novas estratégias de defesa, é essencial corrigir os modelos de permissão e fortalecer a verificação da cadeia de suprimentos, priorizando a segurança básica.

Ataque de cadeia de suprimentos Shai-Hulud afeta ecossistema Maven

Um novo ataque de cadeia de suprimentos, conhecido como Shai-Hulud v2, comprometeu mais de 830 pacotes no registro npm e se espalhou para o ecossistema Maven. A equipe de pesquisa Socket identificou um pacote no Maven Central, ‘org.mvnpm:posthog-node:4.18.1’, que contém componentes maliciosos semelhantes aos associados ao ataque original. O ataque visa roubar dados sensíveis, como chaves de API e credenciais de nuvem, e se tornou mais furtivo e destrutivo. Os atacantes conseguiram acessar contas de mantenedores do npm e publicar versões trojanizadas de pacotes, afetando mais de 28.000 repositórios. A vulnerabilidade explorada está relacionada a configurações inadequadas em workflows do GitHub Actions, permitindo que código malicioso seja executado. A campanha já vazou centenas de tokens de acesso do GitHub e credenciais de serviços como AWS e Google Cloud. Especialistas recomendam que os usuários rotacionem tokens, auditem dependências e reforcem ambientes de desenvolvimento com acesso de menor privilégio e varredura de segredos.

OWASP divulga lista dos 10 principais riscos de segurança de 2025

O Open Web Application Security Project (OWASP) lançou a oitava edição de sua lista dos 10 principais riscos de segurança para 2025, trazendo mudanças significativas que refletem a evolução das ameaças à segurança de aplicações. Entre as novidades, destacam-se duas novas categorias: ‘Falhas na Cadeia de Suprimentos de Software’, que ocupa a terceira posição, e ‘Mau Manuseio de Condições Excepcionais’, na décima posição. A primeira categoria aborda as vulnerabilidades que surgem em todo o ecossistema de dependências de software, enquanto a segunda trata de erros lógicos e manuseio inadequado de erros em situações anormais. A lista também revela que o ‘Controle de Acesso Quebrado’ continua sendo a principal preocupação, afetando 3,73% das aplicações testadas. Além disso, ‘Configuração de Segurança’ subiu para a segunda posição, refletindo um aumento nas falhas de configuração. A análise incluiu 589 Common Weakness Enumerations (CWEs) e cerca de 175.000 registros CVE, destacando a importância de uma abordagem proativa na segurança de aplicações. Com a crescente ênfase na segurança da cadeia de suprimentos e no tratamento adequado de erros, a lista serve como um documento essencial para desenvolvedores e equipes de segurança em todo o mundo.

Cibercriminosos exploram fraquezas em sistemas e usuários

O artigo destaca como cibercriminosos aproveitam vulnerabilidades em sistemas e na confiança dos usuários para realizar ataques. Um exemplo é a queda na atividade do malware Lumma Stealer, que ocorreu após a exposição de identidades de seus desenvolvedores, resultando na migração de clientes para outras ferramentas como Vidar Stealer 2.0. Este novo malware, reescrito em C, apresenta técnicas avançadas de extração de credenciais e evasão de detecções. Além disso, um esquema de fraude em larga escala em Cingapura utilizou imagens de autoridades locais para enganar cidadãos em uma plataforma de investimentos falsa, demonstrando como a confiança em instituições pode ser manipulada. Outro ponto crítico é a descoberta de um pacote npm malicioso que comprometeu a cadeia de suprimentos de software, reforçando a necessidade de cautela ao instalar pacotes de código aberto. O artigo também menciona a multa de $176 milhões imposta ao Cryptomus, uma plataforma de pagamentos digitais, por não reportar transações suspeitas ligadas a crimes graves. A SpaceX desativou dispositivos Starlink usados em centros de fraude na região do Sudeste Asiático, evidenciando a resposta a crimes cibernéticos em escala global.

As 10 Melhores Empresas de Segurança em Inteligência de Cadeia de Suprimentos em 2025

No contexto atual da economia global interconectada, a segurança das cadeias de suprimentos se tornou uma prioridade crítica para empresas em todo o mundo. O aumento de ciberataques, vazamentos de dados e interrupções geopolíticas ameaça a estabilidade das cadeias de suprimentos e a continuidade dos negócios. Para enfrentar esses riscos, empresas especializadas em segurança de inteligência de cadeia de suprimentos utilizam tecnologias avançadas como inteligência artificial (IA), aprendizado de máquina, inteligência de ameaças e análises de risco. Essas soluções permitem que as organizações identifiquem proativamente vulnerabilidades, monitorem fornecedores e mitiguem ameaças em tempo real. O artigo apresenta uma análise das dez melhores empresas de segurança em inteligência de cadeia de suprimentos em 2025, avaliando-as com base em critérios como especificações, recursos, razões para compra, prós e contras. A lista destaca empresas que se destacam em precisão, capacidade de integração e insights acionáveis, ajudando os gestores de risco a responder rapidamente e reduzir potenciais interrupções ou violações na cadeia de suprimentos.

As 10 Melhores Soluções de Gestão de Risco da Cadeia de Suprimentos em 2025

A gestão de risco da cadeia de suprimentos (SCRM) se tornou um pilar essencial para empresas que buscam resiliência em 2025. Com a crescente interconexão e fragilidade das cadeias globais, as organizações enfrentam riscos que vão desde conflitos geopolíticos até ciberataques. O artigo destaca as 10 melhores soluções de SCRM, que utilizam análises preditivas, monitoramento em tempo real e insights impulsionados por inteligência artificial para proteger suas redes de suprimentos. Entre as soluções mencionadas, Prewave se destaca por sua capacidade de detectar riscos em tempo real e monitorar a conformidade ESG, enquanto Resilinc oferece visibilidade em múltiplos níveis da cadeia de suprimentos, essencial para setores como tecnologia e saúde. Sphera é reconhecida por sua forte ênfase em gestão de riscos ambientais e de sustentabilidade. A escolha da solução adequada pode melhorar significativamente a visibilidade, mitigar riscos e fortalecer o desempenho dos fornecedores, tornando-se crucial para a competitividade das empresas no cenário atual.

Adoção de IA nas empresas riscos e segurança na cadeia de suprimentos

A adoção de Inteligência Artificial (IA) nas empresas está em rápida ascensão, com ferramentas de IA generativa sendo integradas a diversas funções, como marketing, desenvolvimento e recursos humanos. Essa transformação traz inovação e eficiência, mas também novos riscos que precisam ser geridos. Entre os principais desafios estão a ’expansão da IA’, onde funcionários utilizam ferramentas sem supervisão de segurança, e as vulnerabilidades na cadeia de suprimentos, que aumentam a superfície de ataque. Além disso, o compartilhamento de dados sensíveis com serviços de IA externos levanta preocupações sobre vazamentos e uso indevido de informações. Para mitigar esses riscos, é necessário um novo paradigma de segurança que inclua descoberta contínua, monitoramento em tempo real e avaliação adaptativa de riscos. A Wing Security se destaca nesse cenário, oferecendo visibilidade e controle sobre a utilização de aplicações de IA, permitindo que as empresas inovem com segurança, reduzindo a exposição a ataques e garantindo conformidade regulatória. Essa abordagem transforma a segurança em um facilitador de negócios, permitindo que as organizações adotem ferramentas de IA de forma responsável e segura.

Novo ataque à cadeia de suprimentos de software afeta pacotes do npm

Pesquisadores de cibersegurança identificaram um novo ataque à cadeia de suprimentos de software que comprometeu mais de 40 pacotes do registro npm, afetando diversos mantenedores. O ataque envolve a injeção de um código JavaScript malicioso em versões comprometidas dos pacotes, que utiliza a função NpmModule.updatePackage para baixar, modificar e republicar pacotes, permitindo a ’trojanização’ automática de pacotes subsequentes. O objetivo principal é escanear máquinas de desenvolvedores em busca de segredos, utilizando a ferramenta TruffleHog, e enviar essas informações para um servidor controlado pelos atacantes. O ataque é capaz de atingir sistemas Windows e Linux. Os pacotes afetados incluem, entre outros, angulartics2, @ctrl/deluge e ngx-color. Os desenvolvedores são aconselhados a auditar seus ambientes e rotacionar tokens npm e outros segredos expostos. Além disso, um alerta de phishing foi emitido para usuários do crates.io, com e-mails fraudulentos tentando capturar credenciais do GitHub. Esse cenário destaca a evolução preocupante das ameaças à cadeia de suprimentos de software, com um mecanismo de auto-propagação que pode comprometer todo o ecossistema.

PyPI implementa verificação de domínios expirados para segurança

Os mantenedores do repositório Python Package Index (PyPI) anunciaram uma nova funcionalidade que verifica domínios expirados para prevenir ataques à cadeia de suprimentos. Essa atualização visa combater ataques de ressurreição de domínios, onde atacantes compram domínios expirados para assumir o controle de contas do PyPI através de redefinições de senha. Desde junho de 2025, mais de 1.800 endereços de e-mail foram desmarcados como verificados assim que seus domínios entraram em fase de expiração. Embora essa medida não seja infalível, ela fecha uma importante brecha de ataque que poderia parecer legítima e difícil de detectar. Os usuários do PyPI são aconselhados a habilitar a autenticação de dois fatores (2FA) e a adicionar um segundo endereço de e-mail verificado de um domínio confiável, como Gmail ou Outlook, para aumentar a segurança. A nova funcionalidade utiliza a API de Status da Fastly para verificar o status dos domínios a cada 30 dias, marcando os endereços de e-mail como não verificados em caso de expiração.