Devsecops

Uma nova campanha de ataque coordenado à cadeia de suprimentos impactou oito pacotes no Packagist, incluindo código malicioso que executa um binário Linux a partir de uma URL do GitHub. Os pacotes afetados, todos relacionados ao Composer, tiveram o código malicioso inserido no arquivo package.json, em vez do composer.json, o que pode passar despercebido por desenvolvedores e equipes de segurança que focam apenas nas dependências do Composer. O código malicioso, que foi removido do Packagist, inclui um script postinstall que baixa um binário Linux, altera suas permissões e o executa em segundo plano. A análise revelou que o mesmo payload foi encontrado em 777 arquivos no GitHub, sugerindo uma campanha mais ampla. O nome do malware, ‘gvfsd-network’, é uma referência a um daemon do GNOME, e a natureza exata do payload baixado permanece desconhecida, pois a conta do GitHub associada foi desativada. A instalação maliciosa pode permitir execução remota de código e tenta ocultar suas atividades desativando a verificação TLS e suprimindo erros.

O GitHub anunciou novas medidas de segurança para o npm, visando fortalecer a cadeia de suprimentos de software. A funcionalidade chamada ‘publicação em estágio’ permite que os mantenedores aprovem explicitamente uma versão de pacote antes que ela se torne disponível publicamente. Para isso, é necessário que o mantenedor passe por um desafio de autenticação de dois fatores (2FA) antes que o pacote seja enviado ao npmjs.com. Essa abordagem garante uma ‘prova de presença’ para cada publicação, incluindo aquelas provenientes de fluxos de trabalho CI/CD não interativos. Para utilizar a publicação em estágio, os mantenedores devem ter acesso de publicação ao pacote, que já deve existir no registro do npm, e ter 2FA habilitado. Além disso, o GitHub introduziu três novas flags de origem de instalação que permitem um controle mais rigoroso sobre as fontes de instalação de pacotes, aplicando uma abordagem de lista de permissões explícitas. Essas mudanças surgem em um contexto de aumento significativo de ataques à cadeia de suprimentos de software, especialmente em ecossistemas de código aberto, onde grupos cibercriminosos têm comprometido pacotes populares em larga escala.

Um estudo recente da OX Security analisou 216 milhões de descobertas de segurança em 250 organizações ao longo de 90 dias, revelando um aumento significativo nas vulnerabilidades críticas. O volume de alertas cresceu 52% em relação ao ano anterior, enquanto os riscos críticos aumentaram quase 400%. Essa disparidade é atribuída ao uso crescente de ferramentas de desenvolvimento assistidas por inteligência artificial (IA), que geram um ‘gap de velocidade’, onde a complexidade das falhas de segurança aumenta mais rapidamente do que os fluxos de trabalho de remediação conseguem acompanhar.

Uma vulnerabilidade de alta severidade foi identificada no Docker Engine, permitindo que atacantes contornem plugins de autorização (AuthZ) em circunstâncias específicas. A falha, identificada como CVE-2026-34040, possui uma pontuação CVSS de 8.8 e resulta de uma correção incompleta da vulnerabilidade CVE-2024-41110, revelada em julho de 2024. De acordo com os mantenedores do Docker, um atacante pode enviar uma solicitação de API especialmente elaborada, fazendo com que o daemon do Docker encaminhe a solicitação para um plugin de autorização sem o corpo da requisição. Isso pode permitir que um pedido que normalmente seria negado seja aceito, comprometendo a segurança. A vulnerabilidade foi descoberta por vários pesquisadores de segurança e já foi corrigida na versão 29.3.1 do Docker Engine. O impacto é significativo, pois permite a criação de contêineres privilegiados com acesso ao sistema de arquivos do host, expondo credenciais e dados sensíveis. Além disso, agentes de inteligência artificial (IA) podem ser induzidos a executar códigos maliciosos que exploram essa vulnerabilidade, aumentando ainda mais o risco. Recomenda-se que as organizações evitem o uso de plugins AuthZ que dependem da inspeção do corpo da requisição e limitem o acesso à API do Docker.

A Anthropic, empresa de inteligência artificial, lançou uma nova funcionalidade chamada Claude Code Security, que permite a análise de códigos de software em busca de vulnerabilidades e sugere correções. Atualmente, essa ferramenta está disponível em uma prévia de pesquisa limitada para clientes das categorias Enterprise e Team. Segundo a empresa, a Claude Code Security utiliza inteligência artificial para identificar falhas que métodos tradicionais podem não detectar, oferecendo uma vantagem aos defensores contra ataques automatizados. A funcionalidade vai além da análise estática, raciocinando sobre o código como um pesquisador humano, compreendendo a interação entre componentes e rastreando fluxos de dados. Cada vulnerabilidade identificada passa por um processo de verificação em múltiplas etapas para minimizar falsos positivos e é classificada quanto à severidade, permitindo que as equipes priorizem as correções. Os resultados são apresentados em um painel, onde os analistas podem revisar e aprovar as sugestões. A Anthropic destaca que a decisão final sempre fica a cargo dos desenvolvedores, garantindo um controle humano sobre as ações recomendadas.

Pesquisadores de cibersegurança descobriram uma campanha ativa de ataque à cadeia de suprimentos de software, denominada PhantomRaven, que visa o registro npm. Desde agosto de 2025, mais de 100 pacotes maliciosos foram identificados, com um total de 126 bibliotecas npm que atraíram mais de 86.000 instalações. Esses pacotes são projetados para roubar tokens de autenticação, segredos de CI/CD e credenciais do GitHub dos desenvolvedores. O ataque se destaca pela técnica de esconder código malicioso em dependências, utilizando URLs HTTP personalizadas que direcionam para um site não confiável, dificultando a detecção por ferramentas de segurança. Quando um desenvolvedor instala um pacote aparentemente benigno, o código malicioso é executado, coletando informações sensíveis do ambiente do desenvolvedor e enviando-as para um servidor remoto. A escolha dos nomes dos pacotes não é aleatória, aproveitando-se de um fenômeno conhecido como slopsquatting, onde nomes plausíveis são gerados por modelos de linguagem. Essa situação ressalta a necessidade de uma vigilância constante em ecossistemas de código aberto, onde a facilidade de publicação pode facilitar a disseminação de malware.

As plataformas de Teste de Segurança de Aplicações Dinâmicas (DAST) são ferramentas essenciais para equipes de segurança de empresas modernas, permitindo a identificação de vulnerabilidades em aplicações web durante a execução. Com a crescente adoção da transformação digital e soluções nativas da nuvem, é crucial que as organizações utilizem DAST robustas para proteger ativos críticos contra técnicas de ataque em evolução. Este guia avalia as 10 principais plataformas DAST para 2025, considerando fatores como confiabilidade, precisão, escalabilidade e integração. As soluções DAST são fundamentais para pipelines DevSecOps, oferecendo avaliação automatizada de vulnerabilidades em aplicações web, APIs e microserviços. O artigo destaca a importância de incorporar a automação de segurança em todas as etapas do desenvolvimento de aplicações web, enfatizando que apenas as melhores soluções DAST conseguem ajudar as empresas a se manterem resilientes, com detecções precisas e baixa taxa de falsos positivos. As plataformas analisadas foram selecionadas com base em desempenho técnico, capacidade de integração e suporte ao fluxo de trabalho dos desenvolvedores, fornecendo um recurso confiável para líderes de segurança focados em reduzir riscos em 2025.

O artigo apresenta uma análise dos dez melhores serviços de teste de penetração em aplicativos móveis para 2025, destacando a importância dessa prática na segurança cibernética. Os testes de penetração são cruciais, pois as aplicações móveis são um vetor primário para vazamentos de dados, enfrentando ameaças únicas como armazenamento inseguro de dados e engenharia reversa. As empresas selecionadas foram avaliadas com base em sua experiência, confiabilidade e a riqueza de recursos oferecidos, como testes manuais e automatizados, integração com DevSecOps e análise de APIs. Entre as empresas destacadas estão Bluefire Redteam, NowSecure e Cobalt, que se destacam por suas metodologias robustas e plataformas de teste contínuo. O artigo enfatiza que um teste de penetração eficaz não apenas identifica vulnerabilidades, mas também fornece orientações práticas para mitigação, ajudando as organizações a protegerem os dados dos usuários e a atenderem requisitos de conformidade.