“O fato de o malware ter sido projetado para coletar tokens GitHub e npm, segredos do GitHub Actions e credenciais de nuvem da AWS, Azure, GCP e Kubernetes em uma única passagem indica que os invasores agora tratam a estação de trabalho do desenvolvedor como uma chave mestra”, disse Sakshi Grover, gerente sênior de pesquisa dos serviços de segurança cibernética da IDC Ásia-Pacífico.
Uma única identidade de desenvolvedor comprometida em um pipeline de CI/CD pode fornecer aos invasores uma rota para a cadeia de fornecimento de software mais ampla, permitindo-lhes inserir código malicioso em pacotes que os desenvolvedores downstream podem instalar com pouca visibilidade sobre adulteração.
Essa falta de visibilidade continua a ser uma preocupação, disse Grover, citando o Asia Pacific Security Survey 2025 da IDC, que concluiu que 46% das empresas planeiam implementar IA para análises de risco de terceiros e da cadeia de abastecimento durante os próximos 12 a 24 meses. Por enquanto, disse ela, muitas organizações ainda estão em fase de planejamento e ainda não operacionalizaram defesas baseadas em IA contra ataques como a mini campanha Shai-Hulud.
