A segurança no desenvolvimento de software open source está sob ataque. Uma campanha coordenada, descrita como uma verdadeira “praga digital”, tem inundado o registro npm (Node Package Manager) com dezenas de milhares de pacotes maliciosos. O objetivo? Roubar tokens de desenvolvedores desavisados que utilizam o Tea Protocol, um sistema que recompensa o trabalho de programação.

Pesquisadores da Amazon revelaram que mais de 150 mil pacotes foram criados como parte dessa campanha. A Sonatype, empresa especializada em gerenciamento da cadeia de suprimentos de software, alertou que o número já ultrapassou os 153 mil. O CTO da Sonatype, Brian Fox, lamenta que o “worm” ainda não esteja sob controle e adverte que outros atores maliciosos podem se inspirar nessa tática.

A Ameaça se Amplia

Fox expressa preocupação com a possibilidade de que a técnica de replicação massiva seja utilizada para distribuir malware real, e não apenas roubar tokens. A velocidade de replicação do worm o torna um vetor de ataque extremamente eficiente.

Quando a Sonatype identificou a campanha, há pouco mais de um ano, foram encontrados apenas 15 mil pacotes suspeitos, aparentemente criados por uma única pessoa. O aumento exponencial no número de pacotes demonstra a gravidade da situação.

Pesquisadores da Amazon classificam o incidente como “um dos maiores casos de inundação de pacotes na história dos repositórios de código aberto” e um “momento decisivo na segurança da cadeia de suprimentos”.

Crise na Segurança Open Source

Dmitry Raidman, CTO da Cybeats, descreve a situação como uma “crise total” e alerta para a erosão da confiança no ecossistema open source. Ele cita a rápida disseminação do worm Shai-Hulud como exemplo de como invasores podem roubar tokens de desenvolvedores, corromper pacotes e se propagar rapidamente por todo o ecossistema.

Raidman relembra o ataque ao sistema de build Nx, quando versões maliciosas do pacote foram inseridas no npm. Em poucas horas, desenvolvedores em todo o mundo estavam baixando código que roubava chaves SSH, tokens de autenticação e carteiras de criptomoedas sem saber.

Os recentes ataques em larga escala a repositórios open source, segundo Raidman, são “apenas o começo” se desenvolvedores e mantenedores de repositórios não fortalecerem a segurança.

O Protocolo Tea: Uma Recompensa Que Virou Isca

O Tea Protocol é uma plataforma baseada em blockchain que recompensa desenvolvedores e mantenedores de pacotes open source com tokens chamados Tea. Esses tokens também visam proteger a cadeia de suprimentos de software e habilitar a governança descentralizada na rede. No entanto, o esquema do worm busca manipular o sistema, fazendo com que a blockchain considere os aplicativos criados pelos invasores como altamente populares, gerando uma grande quantidade de tokens.

Embora os tokens não tenham valor no momento, especula-se que os invasores estejam se posicionando para receber criptomoedas reais quando o Tea Protocol lançar sua Mainnet, onde os tokens Tea terão valor monetário real e poderão ser negociados.

Medidas Urgentes Para Proteger o Ecossistema

Diante desse cenário, especialistas apontam para a necessidade de medidas urgentes para fortalecer a segurança dos repositórios open source e proteger os desenvolvedores. Raidman, da Cybeats, sugere o fortalecimento do controle de acesso, limitando o número de usuários autorizados a enviar código, a implementação de autenticação multifator e a adição de assinaturas digitais ao código enviado para autenticar o autor.

Líderes de TI devem exigir uma lista de materiais de software (SBOM) para todo o código utilizado, permitindo que as equipes de segurança visualizem os componentes. É fundamental garantir que os desenvolvedores conheçam as versões do código open source que estão utilizando e que apenas versões aprovadas e seguras sejam utilizadas.

Fox, da Sonatype, recomenda a compra de ferramentas que possam interceptar e bloquear downloads maliciosos de repositórios. Ele ressalta que o software antivírus tradicional pode ser ineficaz nesses casos, pois o código malicioso pode não conter assinaturas detectáveis.

Ações Proativas e Monitoramento Contínuo

Os pesquisadores da Amazon propõem a implementação de sistemas de detecção avançados para identificar padrões suspeitos, como arquivos de configuração maliciosos, código mínimo ou clonado, esquemas de nomenclatura de código previsíveis e cadeias de dependência circulares. O monitoramento da velocidade de publicação de pacotes, a validação de autores e a aplicação de princípios de “culpa por associação” são outras medidas importantes.

Paul McCarty, pesquisador australiano da SourceCodeRed, enfatiza a necessidade de proteger os laptops dos desenvolvedores e os pipelines de integração e entrega contínuas (CI/CD) [https://www.redhat.com/pt-br/topics/devops/what-is-ci-cd]. Ele alerta que ferramentas de segurança tradicionais podem não detectar malware em pacotes e recomenda o uso de ferramentas de varredura de malware open source, como opensourcemalware.com [https://opensourcemalware.com/] e MALOSS [https://github.com/srcclr/maloss].

Conclusão: A Confiança Ameaçada

A praga digital que assola o npm revela a fragilidade da segurança no ecossistema open source. A confiança, pilar fundamental do desenvolvimento colaborativo, está sob ameaça. A resposta a essa crise exige um esforço conjunto de desenvolvedores, mantenedores de repositórios e líderes de TI. A implementação de medidas de segurança robustas, o monitoramento contínuo e a conscientização sobre as ameaças são cruciais para proteger a integridade do software open source e garantir a confiança dos usuários.

Investir em segurança não é apenas proteger o código, mas preservar o futuro da inovação e da colaboração no mundo digital.