Um ataque recente à cadeia de suprimentos de software gerou grandes preocupações na comunidade de desenvolvimento, comprometendo possivelmente mais de 23.000 repositórios no GitHub. O alvo dos invasores foi “tj-actions/changed-files”, uma ação popular do GitHub, na qual foi injetado código malicioso. O incidente, ocorrido em 12 de março, permitiu que os hackers roubassem segredos sensíveis, como chaves de API e tokens de autenticação, essenciais para acessar diversas ferramentas e plataformas de software. Embora o problema tenha sido identificado cerca de 12 horas após o ataque, milhares de usuários já estavam afetados.
Leia também
Novo ataque vaza tráfego VPN usando servidores DHCP
SAP corrige vulnerabilidades críticas no NetWeaver
Alex Ilgayev, chefe de pesquisa de segurança na Cycode, alertou para a crescente exploração de componentes de código aberto confiáveis por invasores, destacando a necessidade de um gerenciamento proativo de riscos. Ele sugeriu que as organizações realizem auditorias em seus fluxos de trabalho, rotacionem senhas e adotem medidas preventivas para evitar ataques semelhantes. A Dra. Katie Paxton-Fear, engenheira de pesquisa de segurança principal da Harness, explicou que os invasores utilizaram uma função maliciosa para exfiltrar credenciais por meio de um código ofuscado, aproveitando-se de componentes desatualizados que passaram despercebidos pelos mantenedores.
Nick Mistry, SVP e CISO na Lineaje, ressaltou as implicações do ataque na segurança de pipelines de integração contínua e implantação contínua (CI/CD), frequentemente negligenciados. Mistry enfatizou a necessidade de monitoramento em tempo real do código e das ferramentas de construção, além de sugerir a criação de uma Software Bill of Materials (SBOM) para fortalecer a segurança dos processos de desenvolvimento. A pesquisa conduzida por Henrik Plate, pesquisador de segurança da Endor Labs, mostrou que o impacto do ataque foi menos extenso do que o inicialmente temido, com a maioria dos segredos vazados envolvendo tokens GitHub de curta duração, que têm menor valor para os invasores.
Apesar da gravidade do incidente, a análise revelou que nem todos os repositórios afetados empregavam a ação comprometida, embora isso tenha servido como um alerta para a vulnerabilidade dos projetos de código aberto. A pesquisa de Plate destacou a importância da vigilância contínua e do suporte aprimorado à manutenção e segurança de projetos de código aberto, a fim de mitigar riscos semelhantes no futuro. O ataque sublinha a necessidade de reforçar as práticas de segurança em toda a cadeia de suprimentos de software.
A comunidade de segurança cibernética segue defendendo estratégias mais robustas e proativas para proteger a integridade dos sistemas, especialmente em relação ao uso de componentes de código aberto, que são essenciais para muitos desenvolvedores. A reação rápida das organizações afetadas, como a rotação de credenciais e a avaliação de atividades maliciosas, será crucial para evitar danos maiores e garantir a proteção contínua das infraestruturas de software.
