GitHub reforça segurança do npm com autenticação de dois fatores e tokens de curta duração

O GitHub anunciou novas medidas de segurança para o ecossistema npm em resposta a recentes ataques à cadeia de suprimentos. As mudanças incluem:

Principais medidas de segurança

• Autenticação de dois fatores obrigatória para publicação local de pacotes
• Tokens granulares com validade máxima de 7 dias
• Publicação confiável via CI/CD usando OpenID Connect (OIDC)
• Migração de TOTP para autenticação FIDO-based 2FA
• Eliminação de tokens clássicos legados

Contexto dos ataques

As medidas respondem a ataques como o "Shai-Hulud", que injetou um worm autorreplicante em centenas de pacotes npm para roubar credenciais de desenvolvedores.

Caso recente: pacote malicioso fezbox

A Socket identificou o pacote fezbox, que utilizava uma técnica esteganográfica com QR codes para:

• Baixar um código QR remoto
• Executar JavaScript contido no código
• Roubar senhas de cookies do navegador
• Transmitir dados para servidores controlados por atacantes

O pacote teve 476 downloads antes de ser removido do npm, demonstrando técnicas de ofuscação cada vez mais sofisticadas por parte de invasores.

Impacto

Essas medidas visam fortalecer a segurança da cadeia de suprimentos de software, aumentando a confiança na origem e no ambiente de construção dos pacotes npm.