Os ataques à cadeia de suprimentos de software seguem entre os principais vetores externos usados por cibercriminosos para invadir empresas, órgãos governamentais e até usuários comuns. Casos recentes expostos em setembro evidenciam como criminosos exploram vulnerabilidades em fornecedores menores para chegar a alvos estratégicos maiores. A análise é de Janet Worthington, analista sênior da Forrester. […]
Os ataques à cadeia de suprimentos de software seguem entre os principais vetores externos usados por cibercriminosos para invadir empresas, órgãos governamentais e até usuários comuns. Casos recentes expostos em setembro evidenciam como criminosos exploram vulnerabilidades em fornecedores menores para chegar a alvos estratégicos maiores. A análise é de Janet Worthington, analista sênior da Forrester.
O ataque mais sofisticado teve origem no acesso de criminosos ao repositório GitHub da Salesloft. A partir daí, os invasores alcançaram o ambiente AWS da Drift e obtiveram tokens de autorização usados em integrações, incluindo o Salesforce. O resultado foi o comprometimento de mais de 700 empresas, entre elas grandes fornecedores de segurança como CyberArk, Proofpoint, Tenable e Zscaler.
Os dados acessados incluíram informações de contas, tokens de acesso, contatos de clientes e registros de negócios. Além disso, hackers exploraram a prática de armazenar informações sensíveis em texto claro em notas de suporte do Salesforce, o que ampliou os danos. O episódio mostrou como criminosos conseguem escalar de uma aplicação para múltiplas integrações, transformando o ataque em uma ameaça de terceira e quarta camadas.
Leia também: IA generativa abre espaço para “era da experiência” no relacionamento com clientes, diz VP da Genesys
Outro ataque teve como alvo o ecossistema open source. Hackers lançaram uma campanha de phishing contra mantenedores de pacotes populares do Node Package Manager (NPM), roubando credenciais e publicando versões adulteradas de 18 bibliotecas, entre elas “chalk” e “debug”.
O malware inserido funcionava como interceptador em navegadores, alterando funções de rede e de carteiras digitais para desviar transações de criptomoedas. Apesar da sofisticação do código malicioso e da engenharia social convincente, a rápida reação da comunidade de segurança limitou os danos. Ainda assim, cerca de 2,5 milhões de downloads de pacotes comprometidos foram registrados antes do bloqueio.
Na campanha chamada “GhostAction”, atacantes injetaram commits aparentemente inofensivos em mais de 800 repositórios do GitHub. Quando acionadas, as ações maliciosas exfiltraram segredos e credenciais, incluindo chaves da AWS, tokens de acesso ao GitHub e credenciais de banco de dados.
Mais de 3.300 segredos foram roubados de 327 usuários. Embora nenhum pacote open source tenha sido diretamente comprometido, diversos projetos em NPM e PyPI foram classificados como em risco.
Os incidentes reforçam que qualquer software utilizado por uma organização pode se tornar ponto de ataque — desde soluções SaaS até bibliotecas open source. A Forrester recomenda práticas como:
A Forrester alerta que falhas na cadeia de suprimentos podem gerar perda de confiança de clientes, prejuízos de marca, ações legais e aumento nos custos de seguro. Segundo Worthington, esses riscos são evitáveis desde que empresas adotem medidas proativas, integrem segurança em todas as fases do ciclo de vida e exijam transparência de fornecedores.
Siga o IT Forum no LinkedIn e fique por dentro de todas as notícias!
