Os ataques à cadeia de suprimentos de software seguem entre os principais vetores externos usados por cibercriminosos para invadir empresas, órgãos governamentais e até usuários comuns. Casos recentes expostos em setembro evidenciam como criminosos exploram vulnerabilidades em fornecedores menores para chegar a alvos estratégicos maiores. A análise é de Janet Worthington, analista sênior da Forrester.
O ataque mais sofisticado teve origem no acesso de criminosos ao repositório GitHub da Salesloft. A partir daí, os invasores alcançaram o ambiente AWS da Drift e obtiveram tokens de autorização usados em integrações, incluindo o Salesforce. O resultado foi o comprometimento de mais de 700 empresas, entre elas grandes fornecedores de segurança como CyberArk, Proofpoint, Tenable e Zscaler.
Os dados acessados incluíram informações de contas, tokens de acesso, contatos de clientes e registros de negócios. Além disso, hackers exploraram a prática de armazenar informações sensíveis em texto claro em notas de suporte do Salesforce, o que ampliou os danos. O episódio mostrou como criminosos conseguem escalar de uma aplicação para múltiplas integrações, transformando o ataque em uma ameaça de terceira e quarta camadas.
Leia também: IA generativa abre espaço para “era da experiência” no relacionamento com clientes, diz VP da Genesys
“Chalk and Debug”: phishing contra mantenedores do NPM
Outro ataque teve como alvo o ecossistema open source. Hackers lançaram uma campanha de phishing contra mantenedores de pacotes populares do Node Package Manager (NPM), roubando credenciais e publicando versões adulteradas de 18 bibliotecas, entre elas “chalk” e “debug”.
O malware inserido funcionava como interceptador em navegadores, alterando funções de rede e de carteiras digitais para desviar transações de criptomoedas. Apesar da sofisticação do código malicioso e da engenharia social convincente, a rápida reação da comunidade de segurança limitou os danos. Ainda assim, cerca de 2,5 milhões de downloads de pacotes comprometidos foram registrados antes do bloqueio.
GhostAction: segredos roubados no GitHub
Na campanha chamada “GhostAction”, atacantes injetaram commits aparentemente inofensivos em mais de 800 repositórios do GitHub. Quando acionadas, as ações maliciosas exfiltraram segredos e credenciais, incluindo chaves da AWS, tokens de acesso ao GitHub e credenciais de banco de dados.
Mais de 3.300 segredos foram roubados de 327 usuários. Embora nenhum pacote open source tenha sido diretamente comprometido, diversos projetos em NPM e PyPI foram classificados como em risco.
Como reduzir riscos na cadeia de software
Os incidentes reforçam que qualquer software utilizado por uma organização pode se tornar ponto de ataque — desde soluções SaaS até bibliotecas open source. A Forrester recomenda práticas como:
- Mapear a cadeia de software: usar sistemas de gestão de ativos e exigir de fornecedores a entrega de SBOMs (software bill of materials).
- Selecionar dependências seguras: adotar ferramentas de análise de composição de software (SCA), automatizar varreduras em repositórios e CI/CD, além de utilizar firewalls de dependências.
- Proteger pipelines de desenvolvimento: aplicar princípios de Zero Trust, exigir MFA resistente a phishing, revisar permissões de acesso e usar gerenciadores de segredos.
- Estratégia de open source corporativa: envolver times jurídicos para avaliar licenças, incentivar contribuição para projetos e realizar testes de segurança que reforcem a proteção do ecossistema.
A Forrester alerta que falhas na cadeia de suprimentos podem gerar perda de confiança de clientes, prejuízos de marca, ações legais e aumento nos custos de seguro. Segundo Worthington, esses riscos são evitáveis desde que empresas adotem medidas proativas, integrem segurança em todas as fases do ciclo de vida e exijam transparência de fornecedores.
Siga o IT Forum no LinkedIn e fique por dentro de todas as notícias!