Notícias Tech

Ataque à cadeia de suprimentos compromete pacotes npm ligados à SAP

há 3 horas
3 1 minuto de leitura
Ataque à cadeia de suprimentos compromete pacotes npm ligados à SAP
Resumo da notícia:

Pesquisadores de cibersegurança identificaram uma nova campanha de ataque à cadeia de suprimentos que comprometeu pacotes npm utilizados no ecossistema de desenvolvimento JavaScript e aplicações em nuvem da SAP. A campanha, batizada de “mini Shai-Hulud”, introduziu um malware especializado em roubo de credenciais, afetando versões específicas dos pacotes mbt, @cap-js/db-service, @cap-js/postgres e @cap-js/sqlite.

A técnica empregada pelos invasores envolveu a inclusão de um script “preinstall” no arquivo package.json dos pacotes comprometidos. Esse script baixava e executava automaticamente um binário do Bun JavaScript runtime a partir do GitHub, sem validação de destino, inclusive utilizando PowerShell com permissões elevadas em sistemas Windows. O objetivo era coletar credenciais locais de desenvolvedores, tokens do GitHub e npm, além de segredos de ambientes em nuvem como AWS, Azure, GCP e Kubernetes.

O malware também apresentava mecanismos avançados de persistência e propagação, injetando arquivos maliciosos em repositórios GitHub acessíveis e explorando configurações de agentes de código baseados em IA, como Claude Code e Visual Studio Code. Além disso, os dados exfiltrados eram criptografados com AES-256-GCM e encapsulados com RSA-4096, dificultando a interceptação por terceiros.

A investigação apontou que o ataque teve origem na violação de contas de mantenedores dos pacotes, aproveitando falhas de configuração no sistema de publicação OIDC do npm, que permitia a obtenção de tokens temporários a partir de workflows não autorizados. Em resposta, os responsáveis pelos pacotes afetados já disponibilizaram versões corrigidas, reforçando a importância de revisões contínuas nas configurações de automação e publicação de software. O episódio destaca a sofisticação crescente das ameaças à cadeia de suprimentos em ambientes de desenvolvimento moderno.

Fonte original: thehackernews.com

Acessar publicação original

Resumo editorial criado automaticamente pela Eletrônica Americana com base em fontes internacionais públicas, com finalidade informativa.

Além de se manter informado, você pode aprofundar seus conhecimentos em nossos guias de compra, onde comparamos as melhores opções do mercado para facilitar sua escolha. Para uma análise técnica, confira nossas reviews completas com testes reais de desempenho. E se você está em busca do melhor preço, não deixe de acompanhar nossa seleção de ofertas e descontos atualizados diariamente nas principais lojas.

há 3 horas
3 1 minuto de leitura
Foto de Eletrônica Americana

Eletrônica Americana

Artigos relacionados

Termos e ideias do universo incel ganham espaço no debate público

Termos e ideias do universo incel ganham espaço no debate público

fevereiro 25, 2026
Cientistas identificam proteína essencial para sobrevivência do parasita da malária

Cientistas identificam proteína essencial para sobrevivência do parasita da malária

março 5, 2026
Novo contratempo técnico adia teste de contagem regressiva da Artemis II

Novo contratempo técnico adia teste de contagem regressiva da Artemis II

fevereiro 15, 2026
Trajes especiais serão obrigatórios para visitantes de estação espacial privada

Trajes especiais serão obrigatórios para visitantes de estação espacial privada

há 5 dias
💬