.png)
há 2 semanas
13
O GitHub anunciou novas medidas para reforçar a segurança da cadeia de suprimentos do NPM após uma série de ataques que comprometeram centenas de pacotes com malware. A iniciativa inclui tokens granulares com validade máxima de sete dias, autenticação multifator (2FA) obrigatória para publicações locais e a adoção do modelo de Trusted Publishing baseado em OpenID Connect (OIDC).
Leia também
Intel integra solução da Acronis em PCs com IA
Planilha e agenda do Google em comunicação de C2
O NPM é o principal gerenciador de pacotes do ecossistema Node.js e hospeda o maior repositório de software do mundo. Nos últimos meses, atacantes conseguiram inserir malwares em diversos pacotes NPM por meio de phishing e do roubo de tokens de acesso, permitindo a propagação automática de código malicioso em projetos legítimos. Um exemplo foi o malware Shai-Hulud, capaz de infectar pacotes e buscar tokens nos sistemas dos desenvolvedores para ampliar o comprometimento.
O modelo de dependências do NPM aumenta o risco, já que um único pacote comprometido pode afetar múltiplos projetos e desenvolvedores. Para reduzir esse impacto, o GitHub determinou que a publicação local só poderá ser feita com 2FA baseada em FIDO, substituindo métodos anteriores como TOTP. Além disso, os tokens clássicos de longa duração serão descontinuados, dando lugar aos tokens granulares de curta validade e acesso limitado.
Essas mudanças têm como objetivo mitigar o uso indevido de credenciais roubadas e reduzir a superfície de ataque da cadeia de suprimentos. O GitHub informou que a implementação será gradual para permitir que os desenvolvedores adaptem seus fluxos de trabalho sem grandes interrupções.
English (US) · 
Portuguese (BR) ·