O ecossistema npm, usado por milhões de desenvolvedores, foi alvo de um dos maiores ataques de cadeia de suprimentos já registrados. A invasão começou com um golpe de phishing que comprometeu a conta de um mantenedor, permitindo a publicação de versões maliciosas de pacotes amplamente utilizados, somando mais de 2 bilhões de downloads semanais.
Após o roubo de credenciais, o invasor conseguiu injetar malware em pacotes populares, incluindo bibliotecas mantidas por projetos como eslint e até ferramentas como Nx. Em muitos casos, o código malicioso permitia o controle remoto dos sistemas das vítimas, roubo de tokens GitHub, credenciais de nuvem, carteiras de criptomoedas e execução de scripts perigosos via rundll32.
Além disso, as campanhas foram sofisticadas. Alguns ataques usaram assistentes de IA para automatizar o reconhecimento de ambiente e exfiltração de dados. Em outra frente, grupos patrocinados por Estados, como hackers norte-coreanos, aplicaram golpes com promessas de emprego para induzir candidatos a instalar pacotes infectados durante processos seletivos falsos.
Esses ataques se propagaram silenciosamente por dias em bibliotecas com milhares de dependências cruzadas. Em casos mais graves, como o pacote ‘is’, milhões de desenvolvedores ficaram vulneráveis por mais de 6 horas até que as versões fossem removidas do repositório.
Dica de prevenção
Mantenha autenticação multifator ativada em todas as contas de publicação de pacotes. Nunca use tokens de publicação que não exijam 2FA. Limite o escopo dos tokens e rotacione-os regularmente. Reforce a validação de pacotes de terceiros antes de qualquer atualização e automatize alertas para atividades suspeitas.
A crescente onda de ataques à cadeia de suprimentos mostra que práticas básicas de segurança já não são suficientes. Reforce a segurança da sua equipe com o MFA Vault, nossa solução segura para autenticação multifator centralizada. Saiba mais em mfa2go.com