Inteligência Artificial GranaBit Insight

npm: Contas Roubadas e Certificados Válidos Quebram Último Sinal de Confiança.

23/05/2026 11 min GranaBit - Redação feita por IA
hero.png

Explicado em 3 pontos

  • O que aconteceu: Uma série de vulnerabilidades críticas e ataques coordenados expôs a fragilidade da cadeia de suprimentos de software e das ferramentas de...
  • Pesquisadores de segurança revelaram como certificados Sigstore foram falsificados, extensões de VS Code comprometidas e assistentes de codificação de IA explorados, abalando a confiança...
  • Nos últimos dias de maio, o ecossistema de desenvolvimento global foi atingido por uma onda de incidentes de segurança que desafiou a validade de...

O que aconteceu: Uma série de vulnerabilidades críticas e ataques coordenados expôs a fragilidade da cadeia de suprimentos de software e das ferramentas de desenvolvimento, especialmente aquelas integradas à inteligência artificial. Pesquisadores de segurança revelaram como certificados Sigstore foram falsificados, extensões de VS Code comprometidas e assistentes de codificação de IA explorados, abalando a confiança nos sistemas de verificação automatizada.

Nos últimos dias de maio, o ecossistema de desenvolvimento global foi atingido por uma onda de incidentes de segurança que desafiou a validade de mecanismos de confiança até então considerados robustos. Equipes de pesquisa renomadas, incluindo Endor Labs, Socket, StepSecurity, Adversa AI, Johns Hopkins, Microsoft MSRC e LayerX, independentemente, demonstraram falhas sistêmicas no modelo de verificação de ferramentas para desenvolvedores, revelando que a suposição de autenticidade no fluxo de trabalho de código está comprometida.

O problema central é a incapacidade dos sistemas atuais de discernir entre um desenvolvedor legítimo e um atacante munido de credenciais roubadas, mesmo quando os certificados de verificação parecem válidos. Este gap transformou o que deveria ser um sinal de confiança em uma porta aberta para intrusões.

Leia também

O impacto real foi sentido em campanhas como a “Mini Shai-Hulud”, atribuída ao grupo TeamPCP e focada em ganhos financeiros, que em 19 de maio conseguiu que 633 versões maliciosas de pacotes npm passassem pela verificação de proveniência do Sigstore. O sistema os aprovou porque os atacantes geraram certificados de assinatura válidos a partir de contas de mantenedores comprometidas. Embora o Sigstore tenha funcionado conforme o design – verificando a construção em ambiente CI (Integração Contínua) e registrando tudo –, ele não conseguiu impedir que credenciais roubadas autorizassem publicações maliciosas.

Um dia antes, em 18 de maio, a extensão Nx Console VS Code, amplamente utilizada por mais de 2,2 milhões de desenvolvedores, foi comprometida. A versão 18.95.0, publicada com credenciais roubadas e ativa por menos de 40 minutos, foi ativada por aproximadamente 6.000 usuários via autoatualização. O payload coletou dados sensíveis como arquivos de configuração do Claude Code, chaves AWS, tokens GitHub, tokens npm, conteúdo de cofres 1Password e tokens de contas de serviço Kubernetes.

A campanha Mini Shai-Hulud, detectada inicialmente pela Endor Labs em pacotes npm dormentes como jest-canvas-mock e size-sensor, rapidamente se espalhou pelo ecossistema @antv e dezenas de outros pacotes, incluindo echarts-for-react (com cerca de 1,1 milhão de downloads semanais). No total, o Socket rastreou 1.055 versões maliciosas em 502 pacotes abrangendo npm, PyPI e Composer ao longo do ciclo de vida da campanha. A StepSecurity confirmou que o payload incluía integração completa com Sigstore, indicando que os atacantes não apenas roubaram credenciais, mas também as usaram para assinar e publicar pacotes com atestados de proveniência válidos.

Além disso, múltiplas vulnerabilidades foram expostas em ferramentas de codificação com IA: a Adversa AI revelou a falha “TrustFall” (7 de maio), mostrando que Claude Code, Gemini CLI, Cursor CLI e Copilot CLI autoexecutam servidores MCP (Multi-agent Communication Protocol) definidos em projetos ao aceitar um prompt de confiança de pasta, com privilégios completos e sem sandboxing. Pesquisadores da Johns Hopkins publicaram “Comment and Control”, demonstrando que uma instrução maliciosa no título de um pull request do GitHub podia fazer com que o Claude Code Security Review publicasse sua própria chave de API. Ataques similares afetaram o Gemini CLI Action do Google e o Copilot Agent do GitHub. A Microsoft MSRC (7 de maio) divulgou duas vulnerabilidades críticas no Semantic Kernel, permitindo execução remota de código (RCE). Pesquisadores da LayerX mostraram que o Cursor armazena chaves de API e tokens de sessão em locais desprotegidos, acessíveis a qualquer extensão de navegador.

Os relatórios recentes reforçam a urgência: o Relatório de Investigações de Violação de Dados (DBIR) de 2026 da Verizon (19 de maio) apontou que 67% dos funcionários acessam serviços de IA de contas não corporativas em dispositivos da empresa, com o código-fonte sendo o tipo de dado mais enviado para plataformas de IA não autorizadas (o mesmo tipo de ativo visado pela campanha npm). O Relatório de Ameaças a Serviços Financeiros de 2026 da CrowdStrike (14 de maio) detalhou que grupos como STARDUST CHOLLIMA triplicaram suas operações, usando IA para criar perfis falsos e enviar desafios de codificação maliciosos, buscando credenciais como PATs do GitHub, tokens npm e chaves AWS.

Resumo prático: A principal lição é que o modelo de verificação de segurança em ferramentas de desenvolvimento, crucial para a integridade do código e a proteção de dados, precisa de uma revisão urgente face a ataques sofisticados.

Como isso pode ser usado na prática

Diante dessas revelações, empresas e profissionais de tecnologia devem adotar medidas proativas para fortalecer sua postura de segurança:

  • Gerenciamento de Pacotes (npm): Exija aprovação de duas partes para publicações de pacotes com alto volume de downloads (acima de 10.000 semanais). Não considere o selo verde do Sigstore como prova única de legitimidade, especialmente após incidentes onde certificados válidos foram gerados a partir de contas comprometidas.
  • Extensões VS Code: Implemente políticas de idade mínima para atualizações de extensões e fixe versões críticas. Faça uma auditoria rigorosa de todas as extensões que acessam APIs de terminal ou sistema de arquivos.
  • Ferramentas de Codificação com IA (CLIs): Desabilite a aprovação automática de servidores MCP (Multi-agent Communication Protocol) com escopo de projeto em ferramentas como Claude Code, Gemini CLI, Cursor CLI e Copilot CLI. Bloqueie arquivos .mcp.json em pipelines CI/CD, a menos que explicitamente permitidos.
  • Pipelines CI/CD e Agentes de IA: Migre fluxos de trabalho de revisão de código de IA para gatilhos pull_request em vez de pull_request_target. Audite todos os fluxos de trabalho pull_request_target com acesso a segredos que integrem agentes de IA, pois são superfícies de injeção de prompt que podem processar comentários de PR como instruções maliciosas.
  • Frameworks de Agentes de IA: Atualize imediatamente o Semantic Kernel Python SDK para a versão 1.39.4 e o .NET SDK para 1.71.0. Audite todos os frameworks de agentes por funções marcadas como ‘model-callable’ que acessam o sistema de arquivos do host ou o shell.
  • Armazenamento de Credenciais em IDEs: Auditoria rigorosa das práticas de armazenamento de credenciais em ferramentas de desenvolvimento. Exija armazenamento protegido (como chaveiros do sistema operacional ou cofres de credenciais criptografados) para todas as configurações de ferramentas de codificação com IA, para evitar exposição a extensões de navegador maliciosas.
  • Exposição de Dados por Shadow AI: Implemente governança de IA na camada do navegador para monitorar o uso de serviços de IA não corporativos em dispositivos da empresa. Faça um inventário das extensões de navegador de IA em toda a organização para mitigar a exfiltração de código-fonte e outros dados sensíveis.

Entenda a tecnologia

As recentes falhas destacam a complexidade e os riscos inerentes à crescente integração de inteligência artificial no desenvolvimento de software:

  • Verificação de Proveniência (Sigstore): Um sistema que atesta a origem e a integridade de pacotes de software. No entanto, sua eficácia foi comprometida quando atacantes obtiveram certificados válidos a partir de contas de mantenedores legítimos, usando-os para assinar e distribuir pacotes maliciosos. O Sigstore registrou a transação, mas não pôde inferir a intenção maliciosa por trás do uso de credenciais roubadas. Isso destaca que um “selo verde” de verificação pode não ser suficiente sem uma camada adicional de autorização humana.
  • Modelos de Linguagem Grandes (LLMs): São algoritmos treinados com vastos volumes de texto e código para gerar respostas, textos ou até mesmo auxiliar na codificação. Ferramentas como Claude Code, Gemini CLI e Copilot CLI utilizam LLMs para oferecer assistência. As vulnerabilidades mostraram que essas IAs, quando integradas a ambientes de desenvolvimento, podem ser exploradas para executar comandos indesejados ou vazar informações se forem alimentadas com instruções maliciosas (injections de prompt) ou se seus frameworks subjacentes tiverem falhas de segurança.
  • Agentes de Codificação com IA: Representam a nova geração de assistentes que vão além da sugestão de código, atuando em tarefas mais complexas como revisão de código ou execução de trechos. As falhas recentes, como a do Semantic Kernel da Microsoft, revelaram que esses agentes, se mal configurados ou com vulnerabilidades em suas APIs, podem ter acesso excessivo ao sistema hospedeiro, permitindo a execução de código ou o acesso a arquivos de forma não intencional.
  • Shadow AI: Refere-se ao uso de serviços de IA por funcionários em dispositivos corporativos, mas fora do controle ou monitoramento da TI da empresa. Com 67% dos funcionários acessando IAs de contas não corporativas e enviando código-fonte, há um risco significativo de vazamento de propriedade intelectual e credenciais, uma vez que as políticas de segurança existentes (como CASB – Cloud Access Security Broker) não cobrem esses cenários não sancionados.

Essas falhas demonstram que, embora a IA ofereça ganhos significativos em velocidade e eficiência na codificação, ela introduz novas e complexas superfícies de ataque que precisam ser compreendidas e mitigadas. A ênfase na produtividade não pode ofuscar a necessidade de uma segurança robusta, que atualmente possui limitações na detecção de ameaças que exploram a confiança implícita nos sistemas automatizados e a facilidade de acesso a credenciais.

Oportunidades no mercado

As vulnerabilidades reveladas, apesar de preocupantes, abrem um vasto campo de oportunidades para o mercado de tecnologia, especialmente para empresas focadas em segurança e inovação:

  • Desenvolvimento de Soluções de Segurança Abrangentes: Há uma necessidade urgente de frameworks e ferramentas de segurança que auditam todas as sete superfícies de ataque identificadas (falsificação de proveniência npm, roubo de credenciais de extensão VS Code, autoexecução de servidor MCP, injeção de prompt em agente CI/CD, execução de código em framework de agente, exposição de armazenamento de credenciais de IDE e exposição de dados por Shadow AI). Isso cria uma demanda por soluções que vão além dos EDRs (Endpoint Detection and Response) e SASTs (Static Application Security Testing) tradicionais, oferecendo visibilidade e controle sobre o ciclo de vida completo do desenvolvimento de software e a interação com IA.
  • Consultoria e Auditoria de Segurança para IA/DevOps: Empresas e consultorias especializadas em segurança podem se posicionar para oferecer serviços de auditoria e implementação de políticas de segurança para ferramentas de desenvolvimento e pipelines de CI/CD, com um foco particular nas integrações de IA. A expertise em identificar e mitigar riscos de injeção de prompt, má configuração de agentes e gerenciamento de credenciais será altamente valorizada.
  • Inovação em Governança de IA: A ascensão do Shadow AI exige novas soluções de governança que operem na camada do navegador ou em proxies, permitindo que as empresas monitorem e controlem o uso de serviços de IA por funcionários em dispositivos corporativos. Isso pode gerar novos produtos para CASB e DLP (Data Loss Prevention) que se adaptem a este cenário emergente.
  • Ferramentas de Desenvolvimento Mais Seguras: Desenvolvedores de IDEs e ferramentas de codificação com IA têm a oportunidade de inovar, incorporando segurança por design. Isso inclui armazenamento de credenciais mais robusto, mecanismos de autorização mais granulares e uma clara diferenciação entre ações legítimas e o uso indevido de credenciais. A capacidade de demonstrar resistência a roubos de identidade se tornará um diferencial competitivo crucial.

Estas necessidades não são apenas um custo adicional, mas uma oportunidade para gerar eficiência e vantagem competitiva, garantindo a integridade do código e a proteção de dados sensíveis em um cenário onde a automação e a inteligência artificial são pilares da produtividade. Investir em segurança robusta para o ambiente de desenvolvimento de IA será um imperativo estratégico para qualquer empresa que busque inovação de forma sustentável.

Movimentos como esse indicam como a inteligência artificial está sendo incorporada de forma cada vez mais prática nos negócios, ao mesmo tempo em que destaca a urgência de construir uma base de confiança digital inabalável.

Hashtags: #Valid #certificates #stolen #accounts #attackers #broke #npms #trust #signal #GranaBit #InteligenciaArtificial #IA #Produtividade #Inovacao

Quer entender a IA de verdade? Acompanhe o GranaBit e fique por dentro das aplicações que estão transformando o mercado.

Fonte: venturebeat.com (Adaptação: GranaBit)

Leia também