Pesquisadores de cibersegurança descobriram que diversos ecossistemas de programação, como Python, npm e Ruby, estão sendo explorados por invasores para realizar ataques à cadeia de suprimentos. Esses ataques aproveitam “pontos de entrada” nas ferramentas de empacotamento, possibilitando a execução de código malicioso ao usar comandos específicos.

Os cibercriminosos podem, por exemplo, falsificar pacotes populares ou usar comandos legítimos do sistema para infiltrar-se de maneira sorrateira. Uma técnica furtiva chamada “empacotamento de comando” executa código malicioso junto com o comando original, dificultando a detecção.

Profissionais de cibersegurança destacaram a gravidade dessa ameaça e a necessidade de novas medidas de segurança para proteger os desenvolvedores de ataques avançados que visam diretamente a cadeia de suprimentos de software.