Nas últimas semanas, vimos um padrão que deveria obrigar a repensar a segurança do software: os atacantes já não se conformam com a introdução de código malicioso em pacotes ou contentores, seu objetivo cada vez mais frequente é roubar as credenciais e os tokens que permitem a esse software agir como “de confiança”. Campanhas contemporâneas demonstraram que a extração de segredos de ambientes de desenvolvimento e pipelines CI/CD oferece uma rota rápida e de alto impacto para manipulação, publicação e implantação de software legítimo. Isso converte o posto de trabalho do desenvolvedor em um elo crítico da cadeia de abastecimento, não em um simples endpoint mais.
Essa mudança exige uma leitura diferente do risco. Tradicionalmente, os investimentos têm se concentrado em proteger repositórios, registros de artefatos, plataformas CI e nuvens; essas defesas permanecem necessárias, mas incompletas. A verdadeira porta de entrada muitas vezes é o contexto local: repositórios clonados, variáveis de ambiente, históriais de terminal, agentes SSH carregados, arquivos .env, configurações de gestores de pacotes e sessões de navegador que contêm tokens ou pistas sobre onde e como as credenciais são usadas.
Quando um atacante acede a um token ou uma chave junto ao rastro de onde é usado — um remote de Git, um script de implantação, um perfil de nuvem — a simples peça de informação é transformada em um mapa operacional. Por isso a ameaça não é apenas “código malicioso” mas coleção de contexto e credenciais no ponto exato onde se confia nelas. A velocidade da automação e dos assistentes impulsionados pela IA faz com que a janela entre descoberta e exploração seja extremamente curta.
Para mitigar este risco, há que trabalhar em várias frentes e com coordenação entre equipamentos: AppSec, segurança de endpoints, identidade, plataforma e operações na nuvem. Isso não significa mais fricções para os desenvolvedores, mas pontos de controle inteligentes. As melhores práticas incluem controle de acesso minimamente privilegiado, credenciais efímeras ligadas à identidade e verificação do estado do dispositivo antes de conceder tokens. A adoção de modelos como OIDC para CI e STS para sessões de nuvem reduz o valor de qualquer segredo que fique exposto em um disco local.
No plano operacional é indispensável detectar segredos antes que saiam do âmbito local. Medidas como hooks de pré-commit, digitalização no IDE, detecção de segredos em pipelines e políticas que blocom commits ou merges automáticos quando se identifiquem credenciais reduzem a superfície. A telemetria precoce e os avisos contextuais são mais úteis que relatos punitivos: sinalizam risco e permitem corrigir sem parar a produtividade. Ferramentas de detecção precoce devem ser integradas com o fluxo de trabalho do desenvolvedor, não substituí-lo.
Também há que pensar na proteção da “memoria” automática: assistentes de código e agentes de automação. Perguntar-se o que podem ler, o que podem executar e onde terminam suas saídas é tão importante quanto auditar dependências externas. Para minimizar as fugas, recomenda-se a configuração de políticas que impeçam o envio de fragmentos sensíveis a serviços externos, a utilização de instâncias locais de modelos quando viável e a filtragem de prompts e logs em tempo real.
A resposta a incidentes deve ser tão rápida. Se se suspeitar de compromisso de um workstation, a organização precisa de poder identificar quais credenciais eram utilizáveis desde essa máquina, revogar ou rotarlas de forma automatizada, e rastrear uso lateral de tokens. A coordenação entre detecção em endpoint, revogação de identidade e medidas na nuvem reduz o tempo de exposição que os atacantes exploram.
Há guias e marcos que ajudam a articular esta abordagem holística: os recursos de agências como a CISA oferecem orientação prática sobre gestão de riscos da cadeia de fornecimento e resposta a incidentes, e as publicações de NIST sobre gestão do risco na cadeia de fornecimento fornecem marcos para priorizar controles técnicos e organizacionais. Consultar estes materiais ajuda a converter intuições em políticas repetiveis ( https://www.cisa.gov/supply-chain, https://csrc.nist.gov/publications/detail/sp/800-161/rev-1/final). Além disso, guias práticas de segurança da cadeia de fornecimento publicadas por grandes fornecedores recolhem controles aplicáveis em ambientes reais ( https://learn.microsoft.com/en-us/security/compass/software-supply-chain-security).
Na prática, as organizações devem começar por inventariar quais credenciais residem ou podem ser usadas desde estações de desenvolvimento, estabelecer regras sobre sua duração e privilégios, implantar detecção prévia a commit e melhorar a telemetria para saber rapidamente o que deve ser rotado. Paralelamente, a implementação de controlos de confiança baseados no dispositivo (mecanismos de pós-ureo), autenticar com identidade forte e aplicar políticas de mínimo privilégio em repositórios e registros limita o dano quando ocorre fuga.
A mensagem operacional é clara: tratar a estação de desenvolvimento como um boundary da cadeia de abastecimento, não como um usuário mais no parque de endpoints. Mudar essa abordagem permite projetar controles precisos que travam a extração de credenciais e quebram a lógica de ataque onde mais danos pode causar. Num mundo onde a automação acelera tanto a entrega como a exploração, antecipar e cortar o fluxo de confiança na origem é a defesa mais eficaz.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...