Um pacote de autenticação open source amplamente usado foi comprometido, afetando projetos que dependem de bibliotecas de terceiros para login e autorização.
O vetor de ataque
O invasor alterou um pacote de autenticação para incluir código malicioso em builds, permitindo fuga de dados e persistência em aplicações que o instalaram.
Por que isso é perigoso
- dependências comprometidas impactam muitos projetos
- software de autenticação lida diretamente com credenciais
- repositórios de código ficam vulneráveis a supply chain poisoning
Como reduzir risco
- verifique assinaturas e hashes de pacotes
- use scanners de dependências e políticas de aprovação
- mantenha componentes atualizados e restrinja permissões
Auditar a cadeia de suprimentos de software é essencial para reduzir janelas de exposição em projetos corporativos.
