Portas abertas: como a confiança em fornecedores se tornou o maior risco

Os ataques à cadeia de suprimentos de software seguem entre os principais vetores externos usados por cibercriminosos para invadir empresas, órgãos governamentais e até usuários comuns. Casos recentes expostos em setembro evidenciam como criminosos exploram vulnerabilidades em fornecedores menores para chegar a alvos estratégicos maiores. A análise é de Janet Worthington, analista sênior da Forrester.

O ataque mais sofisticado teve origem no acesso de criminosos ao repositório GitHub da Salesloft. A partir daí, os invasores alcançaram o ambiente AWS da Drift e obtiveram tokens de autorização usados em integrações, incluindo o Salesforce. O resultado foi o comprometimento de mais de 700 empresas, entre elas grandes fornecedores de segurança como CyberArk, Proofpoint, Tenable e Zscaler.

Os dados acessados incluíram informações de contas, tokens de acesso, contatos de clientes e registros de negócios. Além disso, hackers exploraram a prática de armazenar informações sensíveis em texto claro em notas de suporte do Salesforce, o que ampliou os danos. O episódio mostrou como criminosos conseguem escalar de uma aplicação para múltiplas integrações, transformando o ataque em uma ameaça de terceira e quarta camadas.

Leia também: IA generativa abre espaço para “era da experiência” no relacionamento com clientes, diz VP da Genesys

“Chalk and Debug”: phishing contra mantenedores do NPM

Outro ataque teve como alvo o ecossistema open source. Hackers lançaram uma campanha de phishing contra mantenedores de pacotes populares do Node Package Manager (NPM), roubando credenciais e publicando versões adulteradas de 18 bibliotecas, entre elas “chalk” e “debug”.

O malware inserido funcionava como interceptador em navegadores, alterando funções de rede e de carteiras digitais para desviar transações de criptomoedas. Apesar da sofisticação do código malicioso e da engenharia social convincente, a rápida reação da comunidade de segurança limitou os danos. Ainda assim, cerca de 2,5 milhões de downloads de pacotes comprometidos foram registrados antes do bloqueio.

GhostAction: segredos roubados no GitHub

Na campanha chamada “GhostAction”, atacantes injetaram commits aparentemente inofensivos em mais de 800 repositórios do GitHub. Quando acionadas, as ações maliciosas exfiltraram segredos e credenciais, incluindo chaves da AWS, tokens de acesso ao GitHub e credenciais de banco de dados.

Mais de 3.300 segredos foram roubados de 327 usuários. Embora nenhum pacote open source tenha sido diretamente comprometido, diversos projetos em NPM e PyPI foram classificados como em risco.

Como reduzir riscos na cadeia de software

Os incidentes reforçam que qualquer software utilizado por uma organização pode se tornar ponto de ataque — desde soluções SaaS até bibliotecas open source. A Forrester recomenda práticas como:

• Mapear a cadeia de software: usar sistemas de gestão de ativos e exigir de fornecedores a entrega de SBOMs (software bill of materials).
• Selecionar dependências seguras: adotar ferramentas de análise de composição de software (SCA), automatizar varreduras em repositórios e CI/CD, além de utilizar firewalls de dependências.
• Proteger pipelines de desenvolvimento: aplicar princípios de Zero Trust, exigir MFA resistente a phishing, revisar permissões de acesso e usar gerenciadores de segredos.
• Estratégia de open source corporativa: envolver times jurídicos para avaliar licenças, incentivar contribuição para projetos e realizar testes de segurança que reforcem a proteção do ecossistema.

A Forrester alerta que falhas na cadeia de suprimentos podem gerar perda de confiança de clientes, prejuízos de marca, ações legais e aumento nos custos de seguro. Segundo Worthington, esses riscos são evitáveis desde que empresas adotem medidas proativas, integrem segurança em todas as fases do ciclo de vida e exijam transparência de fornecedores.

Siga o IT Forum no LinkedIn e fique por dentro de todas as notícias!