“A cadeia de fornecimento de software não se trata mais apenas de dependências”, disse ele, mas sim de suas cadeias de ferramentas, mercados e todo o ecossistema de desenvolvimento. “Você precisa tratar a infraestrutura do desenvolvedor como uma infraestrutura de produção.”
Os desenvolvedores e as equipes de segurança devem identificar sinais críticos: extensões maliciosas contendo caracteres Unicode invisíveis sendo carregadas; canais C2 ocultos usando memorandos blockchain e serviços legítimos como o Google Calendar para evitar remoções; e máquinas de desenvolvedores infectadas sendo usadas como nós proxy para lançar novas infecções.
As empresas devem reduzir as superfícies de ataque permitindo apenas componentes de editores confiáveis, desabilitando atualizações automáticas sempre que possível e mantendo um inventário de extensões instaladas, aconselhou Seker, bem como monitorando conexões de saída anormais de estações de trabalho, atividade de coleta de credenciais para tokens de nível de desenvolvedor (npm, GitHub, VS Code) e criação de servidor proxy ou VNC. Além disso, as equipes de segurança devem aplicar o “mesmo rigor” que usam para bibliotecas de terceiros em suas próprias cadeias de ferramentas de desenvolvedor.
