CibersegurançaNotícias

Segurança npm: GitHub anuncia 2FA obrigatório e Tokens seguros

Imagem do autor do SempreUpdate Jardeson Márcio
Escrito por
Jardeson Márcio
Imagem do autor do SempreUpdate Jardeson Márcio
PorJardeson Márcio
Jardeson Márcio é Jornalista e Mestre em Tecnologia Agroalimentar pela Universidade Federal da Paraíba. Com 8 anos de experiência escrevendo no SempreUpdate, Jardeson é um especialista...
Follow:
gitloker abusa das notificacoes do github para enviar aplicativos oauth maliciosos 2

Entenda as novas regras de 2FA, tokens e publicação confiável do GitHub para proteger seus pacotes no ecossistema npm.

Nos últimos meses, a segurança npm entrou em evidência após uma série de incidentes envolvendo ataques à cadeia de suprimentos de software. Um dos casos mais notórios foi o malware Shai-Hulud, que explorou a confiança dos desenvolvedores em pacotes de código aberto para roubar credenciais e comprometer pipelines de CI/CD. Esses ataques evidenciam que, mesmo ecossistemas consolidados como o npm, não estão imunes a vulnerabilidades que podem impactar milhões de projetos.

Conteúdo

Em resposta a esse cenário crítico, o GitHub anunciou uma série de medidas de segurança obrigatórias que prometem mudar radicalmente a forma como pacotes são publicados e gerenciados no npm. Entre as novidades estão a obrigatoriedade de autenticação de dois fatores (2FA), a introdução de tokens granulares de curta duração e o sistema de Trusted Publishing, que promete trazer mais confiança à cadeia de suprimentos de software. Este artigo detalha cada uma dessas mudanças, explica o contexto que motivou sua implementação e fornece orientações práticas para desenvolvedores e equipes de TI.

Para qualquer desenvolvedor que publica pacotes no npm, essas alterações não são apenas recomendações: são obrigatórias e impactam diretamente o fluxo de trabalho de publicação, automação e integração contínua. Entender essas mudanças é essencial para manter a proteção do ecossistema npm e garantir que seus projetos permaneçam seguros.

O estopim: O ataque Shai-Hulud e a vulnerabilidade da cadeia de suprimentos

Imagem com a logo do GitHub

Ataques à cadeia de suprimentos ocorrem quando agentes maliciosos comprometem componentes confiáveis de software para infectar usuários finais ou sistemas dependentes. No caso do npm, pacotes infectados podem se propagar rapidamente, atingindo projetos pessoais, corporativos e de código aberto.

O malware Shai-Hulud ilustra a gravidade desse tipo de ataque. Ele se infiltrava em contas de desenvolvedores, publicava pacotes maliciosos e se autorreplicava dentro do npm, roubando credenciais e informações sensíveis. Além disso, aproveitava pipelines automatizados para espalhar o ataque de forma silenciosa, afetando ambientes de produção e CI/CD. Incidentes como esse demonstram que senhas de longa duração e permissões excessivas tornam o npm vulnerável e exigem medidas mais rígidas de segurança npm.

A resposta do GitHub: Um escudo de três camadas para o npm

Para enfrentar essas ameaças, o GitHub estruturou uma abordagem em três frentes, visando reduzir drasticamente o risco de ataques e fortalecer a confiança no ecossistema:

Adeus, senhas de app: A era dos tokens granulares e de curta duração

Historicamente, desenvolvedores utilizavam tokens de longa duração ou senhas de app para autenticar operações no npm. Embora convenientes, esses métodos eram um risco: se vazados, podiam ser explorados indefinidamente por atacantes.

Com a mudança, o GitHub introduz tokens granulares, que possuem:

  • Permissões específicas: cada token só pode realizar ações determinadas, limitando o impacto caso seja comprometido.
  • Validade de até sete dias: reduzindo drasticamente a janela de exploração por agentes maliciosos.
  • Integração com scripts e pipelines: exigindo ajustes na automação existente para se adequar ao novo modelo.

Essa medida torna a autenticação mais segura e segmentada, diminuindo a exposição de projetos no npm a ataques de supply chain.

Publicação confiável (Trusted Publishing): O que é e por que é um divisor de águas?

O Trusted Publishing é um sistema inovador baseado em OpenID Connect (OIDC) que permite que pipelines de CI/CD publiquem pacotes no npm sem armazenar tokens permanentes. Entre os principais benefícios:

  • Verificação de proveniência: cada pacote publicado pode ser rastreado até o pipeline e ambiente de build que o gerou.
  • Automação segura: integra-se com ferramentas como GitHub Actions, garantindo que apenas processos autorizados publiquem pacotes.
  • Redução de risco de comprometimento: sem tokens de longa duração armazenados, a exposição a roubo de credenciais é minimizada.

Essa abordagem fortalece a confiança na cadeia de suprimentos, tornando mais difícil para agentes maliciosos infiltrar código malicioso em pacotes legítimos.

2FA mais forte: A migração para FIDO e o fim do TOTP

A autenticação de dois fatores (2FA) também está sendo modernizada. O GitHub está descontinuando métodos baseados em TOTP (como Google Authenticator) em favor de FIDO, que inclui:

  • Chaves de segurança físicas (como YubiKey)
  • Biometria (impressão digital ou reconhecimento facial)
  • Proteção contra phishing mais robusta

Ao adotar FIDO, o GitHub eleva significativamente o nível de segurança npm, garantindo que mesmo se um atacante obtiver a senha de um desenvolvedor, não conseguirá publicar pacotes sem o segundo fator físico ou biométrico.

O que isso significa para você, desenvolvedor? Passos práticos a serem tomados

Para se adequar às novas políticas de GitHub segurança npm, desenvolvedores e equipes devem seguir alguns passos claros:

  1. Verifique sua configuração de 2FA: atualize para métodos compatíveis com FIDO e retire qualquer dependência de TOTP.
  2. Migre seus scripts de publicação: substitua tokens de longa duração por tokens granulares de curta duração.
  3. Explore o Trusted Publishing: configure pipelines de CI/CD para usar OIDC e validar a proveniência dos pacotes.
  4. Audite pacotes existentes: revise permissões e tokens ativos para identificar potenciais riscos.
  5. Eduque sua equipe: garanta que todos os colaboradores entendam as novas práticas de segurança npm.

Implementar essas ações reduzirá significativamente a exposição a ataques e alinhará seu fluxo de trabalho com as melhores práticas modernas de segurança.

Criatividade para o mal: O caso do pacote ‘fezbox’ e o roubo de senhas com QR Code

Outro exemplo recente de ataque no npm envolveu o pacote fezbox, que utilizava QR Codes para ocultar e executar código malicioso. A técnica de esteganografia permitia esconder scripts dentro de imagens, que eram lidas e interpretadas durante a instalação do pacote. Esse tipo de ataque demonstra que os agentes maliciosos estão cada vez mais criativos e que medidas como tokens de curta duração e Trusted Publishing não são opcionais, mas essenciais.

Conclusão: Um futuro mais seguro para o código aberto é um caminho sem volta

As novas medidas do GitHub representam um marco na proteção do ecossistema npm. A obrigatoriedade de 2FA FIDO, os tokens granulares de curta duração e o Trusted Publishing não apenas mitigam riscos imediatos, mas também estabelecem padrões de segurança que provavelmente serão adotados por outras plataformas de código aberto.

Para desenvolvedores e equipes de TI, a mensagem é clara: não há mais espaço para negligência. Revise suas configurações de publicação no GitHub e npm hoje mesmo e prepare seu fluxo de trabalho para um futuro mais seguro. A proteção da cadeia de suprimentos é um esforço contínuo, e o GitHub segurança npm é um passo decisivo para garantir que o código aberto permaneça confiável, seguro e resiliente frente a ameaças cada vez mais sofisticadas.

TAGGED:
Compartilhe este artigo
Artigo anterior mt8189 linux Suporte a decodificador e codificador de vídeo para o SoC MediaTek MT8189 chega ao Kernel Linux
Próximo artigo Google Fotos Ajude-me a editar: a nova IA do Google Fotos chega ao Android
DistribuiçõesLinux

Atualização do Fedora 43 falhando? Entenda o bug do Mesa e sua solução

grY89lSP 43 upgrade

O bug do Mesa que travou o upgrade — e como foi corrigido

Por Emanuel Negromonte

Leia também

Posts sobre o mesmo assunto