Em meio a uma semana movimentada de ataques à cadeia de suprimentos em repositórios open source, surge um novo desafio para desenvolvedores: o malware infiltrou-se no JavaScript via npm, plataforma popular para gestão de pacotes. Segundo a empresa de segurança Socket, mais de 5.000 usuários foram afetados por pacotes maliciosos publicados após uma invasão à conta da agência global Toptal.
Os hackers exploraram brechas no GitHub para acessar tokens do npm e publicar os pacotes infectados. Ainda não está claro exatamente como ocorreu a infecção, mas é certo que o prejuízo foi significativo. Os pacotes maliciosos coletavam informações sensíveis e apagavam sistemas completos, seja em Windows ou Linux.
Este não foi apenas um incidente isolado. Na mesma semana, outros ataques miraram repositórios de código-fonte, incluindo a plataforma PyPI. Juntos, esses pacotes foram baixados mais de 56.000 vezes antes que fossem identificados e retirados.
Para os desenvolvedores, o alerta é claro: a automação e a confiança nas ferramentas podem virar contra nós mesmos. É hora de repensar a segurança nas práticas diariamente usadas e adotar medidas protetivas, como a autenticação multifatorial (MFA), para evitar que nossos projetos se tornem vítimas inocentes de uma guerra cibernética silenciosa.
