211 230 335

[email protected]

Espionagem Open Source: como detectar a cadeia comprometida com Sonatype

Cibersegurança | segurança | Sonatype

Nov, 2025

O software open source é hoje um dos motores mais poderosos da inovação. Mas a recente descoberta da Sonatype mostra o outro lado da moeda: uma campanha global de espionagem infiltrou pacotes maliciosos em repositórios como npm e PyPI, explorando falhas estruturais nos ecossistemas de código aberto.

Entre janeiro e julho de 2025, foram bloqueados mais de 230 pacotes de malware disfarçados de bibliotecas legítimas. Estes ataques exploram pontos fracos já conhecidos — dependências transitivas, pipelines de CI/CD pouco protegidos e a ausência de visibilidade sobre os componentes usados. No fundo, muitas organizações nem sabem ao certo quais bibliotecas têm em produção, o que as torna vulneráveis quando uma falha é descoberta.

Como a Sonatype responde

A Sonatype não se limitou a identificar o problema: disponibilizou soluções práticas que permitem às equipas de desenvolvimento proteger os seus pipelines. Destacam-se:

  • Repository Firewall, que impede a entrada de pacotes maliciosos antes de chegarem ao código da organização;
  • Lifecycle, que alerta para vulnerabilidades em componentes já em utilização;
  • Geração e análise contínua de SBOMs (Software Bill of Materials), garantindo rastreabilidade completa de cada dependência.

Com estas medidas, é possível não só bloquear ameaças antes que causem impacto, mas também ganhar controlo sobre um ecossistema cada vez mais complexo e exposto.

O que significa para a sua organização

Para qualquer empresa que dependa de software moderno, a lição é clara: não basta confiar na comunidade open source, é necessário monitorizar, validar e proteger continuamente. Isso passa por:

  • conhecer todas as dependências usadas, diretas e transitivas;
  • implementar ferramentas que bloqueiem pacotes maliciosos à entrada;
  • adotar SBOMs para garantir rastreabilidade;
  • aplicar a segurança desde cedo no ciclo de desenvolvimento (shift left).

O papel da homeostase

Na homeostase, acompanhamos estas ameaças emergentes e ajudamos as empresas a transformar teoria em prática. Trabalhamos com soluções líderes de mercado, como as da Sonatype, para garantir que dependências maliciosas não entram no seu pipeline e que a sua cadeia de fornecimento de software se mantém íntegra e confiável.

Ao combinar observabilidade, segurança e automação, apoiamos equipas a reduzir riscos e a criar aplicações mais seguras, sem travar a inovação.

Para refletir

A campanha revelada pela Sonatype é um alerta para todos: a cadeia de fornecimento de software é hoje um dos alvos mais críticos. A segurança começa no código que escolhe usar — e depende da visibilidade e do controlo que implementa no processo.

Fale connosco e descubra como a homeostase o pode ajudar a proteger a sua organização.

Fonte aqui.

continuar a ler

mais artigos no blog

receber newsletter