08/05/2026 –, Ian Murdock (Sala Multiuso no térreo) Idioma: Português brasileiro
Imagine instalar uma ferramenta de segurança que, na verdade, está te espionando. Em março de 2026, isso aconteceu com o Trivy, um dos scanners de vulnerabilidades mais usados no mundo. Atacantes comprometeram o repositório oficial no GitHub e publicaram uma versão maliciosa que, silenciosamente, roubava credenciais de nuvem pública, chaves SSH e tokens de Kubernetes de ambientes de CI/CD ao redor do mundo. Dias depois, o LiteLLM, uma biblioteca Python amplamente utilizada para integrar aplicações com modelos de inteligência artificial, também foi comprometido via PyPI, com versões maliciosas que executavam um roubo de credenciais automaticamente — sem nenhuma interação do usuário. Como consequência em cascata, o ataque ao Trivy originou o CanisterWorm, um worm que se propagou por mais de 66 pacotes npm, infectando sistemas de dezenas de desenvolvedores. Esta palestra apresenta o que são ataques de supply chain de software, porque eles são tão perigosos e suas possíveis mitigações.
Vivemos numa era em que instalar uma dependência de software é um ato de confiança cega. Quando você roda npm install ou pip install, você está executando código escrito por dezenas ou centenas de pessoas desconhecidas. Os ataques de software supply chain exploram exatamente essa confiança: ao invés de atacar diretamente o sistema final, os atacantes comprometem uma ferramenta, biblioteca ou repositório que as pessoas já utilizam.
Começaremos do zero: o que é uma cadeia de suprimentos de software? Por que ela existe e por que é difícil de proteger?
Em seguida, vamos mergulhar em três casos reais e recentes:
O ataque ao Trivy (março de 2026): Atacantes obtiveram acesso a credenciais comprometidas da Aqua Security e usaram esse acesso para substituir tags legítimas no GitHub por versões maliciosas, afetando 75 de 77 tags do trivy-action. O malware era executado antes da lógica legítima do scanner, fazendo com que tudo parecesse normal enquanto credenciais eram exfiltradas silenciosamente.
O CanisterWorm e o npm (março de 2026): A partir dos tokens roubados no ataque ao Trivy, um worm chamado CanisterWorm se propagou autonomamente por mais de 141 artefatos maliciosos em mais de 66 pacotes npm distintos, reinfectando ambientes e perpetuando o ataque. Antes disso, em setembro de 2025, uma campanha de phishing comprometeu a conta de um mantenedor npm e injetou código malicioso em bibliotecas com bilhões de downloads, como debug, chalk e ansi-styles.
O ataque ao LiteLLM (março de 2026): As versões 1.82.7 e 1.82.8 dessa popular biblioteca de IA foram publicadas no PyPI com um arquivo .pth malicioso. Arquivos .pth são executados automaticamente pelo interpretador Python na inicialização — ou seja, sem que o usuário precise fazer absolutamente nada além de ter o pacote instalado.
Esses ataques não afetam apenas empresas de tecnologia. Afetam ativistas que usam ferramentas open source, jornalistas que automatizam fluxos de trabalho, desenvolvedores independentes e qualquer organização que depende de software moderno — o que, hoje em dia, é praticamente todo mundo.
Fecharemos a palestra com algumas possíveis mitigações: como verificar a integridade de pacotes, o que é fixar versões ("pinning"), como auditar dependências e onde buscar alertas de segurança confiáveis.
Ninguém precisa ser especialista para entender que a corrente é tão forte quanto seu elo mais fraco. E esse elo pode ser o pacote que você instalou hoje.
Mestrando em computação no ITA