O GitHub anunciou novas medidas de segurança para proteger o npm, seu popular gerenciador de pacotes para Node.js. A decisão veio após o ataque conhecido como Shai-Hulud, que comprometeu centenas de pacotes e levantou preocupações sobre a segurança da cadeia de suprimentos de software.
O que foi o ataque Shai-Hulud?
Na semana passada, o npm sofreu uma invasão em que um worm autorreplicante foi injetado em diversos pacotes. Esse código malicioso conseguia explorar dispositivos infectados, coletar dados sensíveis e transmiti-los para servidores controlados pelos invasores.
O incidente mostrou o quanto ferramentas essenciais do ecossistema de desenvolvimento podem se tornar alvos críticos e acelerou a resposta do GitHub.
Novas regras de segurança
Para aumentar a proteção, o GitHub vai implementar mudanças de forma gradual, entre elas:
- Fim do suporte para tokens legados;
- Substituição da autenticação via códigos de uso único por métodos baseados em FIDO;
- Tokens granulares com permissões de publicação válidas por apenas sete dias;
- Publicação desativada por padrão, exigindo o uso de publicadores confiáveis e 2FA;
- Expansão de provedores autorizados para publicação segura.
Segundo o GitHub, essas alterações podem exigir ajustes no fluxo de trabalho dos desenvolvedores, mas o objetivo é reduzir riscos e reforçar a segurança do npm. A empresa também garantiu que vai oferecer documentação, guias e canais de suporte para facilitar a transição.
O que é o npm?
O npm (Node Package Manager) é o gerenciador de pacotes oficial do Node.js. Ele hospeda bibliotecas e ferramentas que são amplamente utilizadas por desenvolvedores no mundo todo. Além de armazenar pacotes, o npm permite executar comandos e instruções diretamente no ambiente de desenvolvimento, sendo essencial para milhares de projetos de software.
