Criminosos têm inserido malware em repositórios legítimos do GitHub, utilizando práticas de desenvolvimento comuns para comprometer sistemas. Para se proteger, é essencial adotar boas práticas de s...
Criminosos têm inserido malware em repositórios legítimos do GitHub, utilizando práticas de desenvolvimento comuns para comprometer sistemas. Para se proteger, é essencial adotar boas práticas de segurança, como a fixação de versões de dependências e a revisão rigorosa de códigos de terceiros.
Relatos recentes mostram que criminosos têm inserido código malicioso em repositórios legítimos do GitHub, expondo empresas e projetos open source a riscos de roubo de segredos, comprometimento de pipelines e distribuição de artefatos infectados.
Os atacantes exploram práticas comuns de desenvolvimento, como dependências não fixadas, bibliotecas terceirizadas e automações de CI/CD, para propagar backdoors que só se manifestam em ambientes de produção, tornando a detecção mais difícil. Muitas campanhas utilizam técnicas de typosquatting, dependência confusa (dependency confusion) e comprometimento de contas de mantenedores para submeter pull requests aparentemente inofensivos.
No detalhe, os vetores incluem commits maliciosos aprovados por colaboradores comprometidos, workflows do GitHub Actions que expõem segredos em logs e pacotes distribuídos com código ofuscado. O uso de repositórios alternativos ou espelhos facilita a publicação sem validação rigorosa.
Para mitigar esses riscos, adote práticas simples e efetivas:
Mantenha um inventário de dependências, bloqueie pacotes não aprovados em CI, revogue tokens expostos e configure alertas para alterações em contas de mantenedores. Treine desenvolvedores para reconhecer pull requests e pacotes suspeitos e realize auditorias periódicas nos pipelines.
Typosquatting é uma técnica usada por atacantes em que são criados repositórios com nomes semelhantes a projetos populares, mas com pequenas variações que podem enganar os desenvolvedores.
Fique atento a alterações inesperadas em commits, permissões excessivas em workflows e pacotes que não possuem documentação clara ou que não foram revisados por outros colaboradores.
Ferramentas de Software Composition Analysis (SCA) e scanners de supply chain são essenciais para identificar composição de pacotes e mudanças suspeitas antes que cheguem à produção.
Se sua organização precisa de avaliação prática e estratégias para proteger a cadeia de suprimentos de software, a LC SEC oferece penteste, Threat Intelligence com IA, auditoria interna, conscientização, plano diretor de segurança e estruturação de SGSI.