quarta-feira, 1 de julho

O dispositivo do desenvolvedor é o novo ponto cego nas atuações de cadeia de suprimentos
Tecnologia 01/07/2026

O dispositivo do desenvolvedor é o novo ponto cego nas atuações de cadeia de suprimentos

Desenvolvedores são o novo alvo nas atuações de cadeia de suprimentos, e as consequências podem ser devastadoras

Um cenário desolador: Atuações de cadeia de suprimentos que atingem os desenvolvedores

A cadeia de suprimentos de software tem tido um brutal ano. Nos últimos meses, temos visto ataques contra Axios, Trivy, LiteLLM, SAP, Vercel e uma nova campanha Mini Shai-Hulud que afetou uma longa lista de pacotes, incluindo TanStack, UiPath e Mistral AI.

Em seguida, o GitHub confirmou que atacantes acessaram quase 3.800 repositórios internos após uma extensão VS Code envenenada ter sido carregada em um único computador de um colaborador. A extensão, chamada Nx Console, era uma ferramenta legítima com 2,2 milhões de instalações e uma etiqueta de publicador verificado, que foi comprometida usando um token roubado de uma atuação de cadeia de suprimentos separada.

A versão maliciosa foi postada no mercado por apenas 18 minutos, mas a atualização automática já a tinha empurrado nos editores em execução durante o período.

Desenvolvedores: Alvos em alta demanda para atuações de cadeia de suprimentos

Desenvolvedores se tornaram um dos alvos mais valorizados na cadeia de suprimentos de software porque detêm informações confidenciais de nuvem, chaves SSH, tokens de publicação npm, configurações de Kubernetes e acesso direto ao código-fonte. Uma credencial comprometida pode ser suficiente para publicar pacotes maliciosos ou desencadear compromissos downstream em milhares de organizações.

A ascensão da desenvolvimento de inteligência artificial também está contribuindo para o desafio em duas frentes. Em primeiro lugar, agentes de codificação trabalhando em laptops de desenvolvedores estão baixando pacotes e adicionando habilidades com pouco ou nenhum controle humano sobre o que é instalado, o que aumenta significativamente a superfície de ataque no dispositivo do desenvolvedor.

Em segundo lugar, isso reduziu drasticamente a barreira de entrada para fazer atuações de cadeia de suprimentos porque o que antes exigia habilidades reais e conhecimento técnico profundo agora requer apenas uma assinatura da LLM. Atacantes mais experientes também estão usando inteligência artificial para realizar ataques cada vez mais sofisticados que escalam mais rápido do que as equipes de segurança podem responder.

Segurança de cadeia de suprimentos: Focando no lado errado

A segurança de cadeia de suprimentos tem sido tratada como uma ferramenta de detecção de ameaças, abordando questões como quão rapidamente você pode identificar um pacote malicioso e quão logo pode marcar uma ordem de compra ou venda ou 'ordenar de compra ou venda' ou 'combinar de comprar e vender' maliciosa. No entanto, a realidade é que a segurança de cadeia de suprimentos é um problema muito maior.

Afinal de contas, a atuação mais perigosa começa antes do código entrar na infraestrutura compartilhada, no dispositivo do desenvolvedor, que é justamente onde a segurança de cadeia de suprimentos precisa ser abordada com mais frequência.

Publicidade