Programação
Geral
Alerta de Segurança no npm, PyPI e NuGet: Como Pacotes Maliciosos Estão Roubando Tokens, Credenciais e Segredos de Desenvolvedores

Alerta de Segurança no npm, PyPI e NuGet: Como Pacotes Maliciosos Estão Roubando Tokens, Credenciais e Segredos de Desenvolvedores

Paulo Coutinho Portuguese Iniciante

O ecossistema de pacotes JavaScript passou por uma sequência de ataques de cadeia de suprimentos que mudou a forma como projetos precisam tratar dependências. O npm, usado para distribuir bibliotecas JavaScript e Node.js, foi o principal foco porque pacotes legítimos e populares chegaram a receber versões maliciosas, publicadas por contas comprometidas, tokens roubados ou pipelines de publicação abusados.

O problema não se limita ao npm. O PyPI, repositório de pacotes Python, e o NuGet, repositório de pacotes .NET, também tiveram campanhas relevantes. Ainda assim, o caso do npm merece atenção maior porque combina volume enorme de dependências, instalação automática em ambientes de desenvolvimento, execução de scripts durante o install, dependências transitivas e uso intenso em pipelines de integração contínua e entrega contínua, conhecidos como CI/CD.

Desbloqueie Todo o Conteúdo Premium

Assine agora e tenha acesso ilimitado a todo o conhecimento da plataforma

Artigos Ilimitados

Acesso completo a todos os artigos e tutoriais sem qualquer restrição

Todos os Cursos

Aprenda com todos os cursos criados pela plataforma e acelere sua carreira

Notícias em Primeira Mão

Fique por dentro de todas as novidades e tendências do mercado sem limites

Ver Planos e Assinar Agora

segurança npm pacotes maliciosos npm ataque supply chain npm segurança de dependências pacotes comprometidos npm npm malware roubo de tokens npm roubo de credenciais de desenvolvedores segurança PyPI segurança NuGet pacotes maliciosos PyPI npm