
A próxima grande atualização do gestor de pacotes mais usado na programação web, o npm v12, vai introduzir mudanças radicais de segurança no próximo mês para bloquear ameaças na cadeia de fornecimento, exigindo a aprovação manual de comandos que até agora eram executados de forma invisível.
Conforme detalhado no comunicado oficial do GitHub, a alteração tem como objetivo central impedir que instalações de rotina se tornem numa via aberta para a entrada de malware nos sistemas dos programadores e empresas.
Fim da confiança cega nas dependências
O comando de instalação tradicional é utilizado de forma contínua para transferir e configurar as dependências de um projeto. Normalmente, as equipas de desenvolvimento utilizam esta instrução após clonar repositórios ou em processos de integração contínua. Os criminosos informáticos aproveitam esta confiança cega devido ao potencial de execução automática de código malicioso nos computadores das vítimas durante o processo.
A partir da versão 12, as instruções de pré e pós-instalação não vão atuar sem uma autorização explícita do utilizador. Esta nova abordagem aplica-se igualmente a construções nativas desencadeadas internamente e a preparações provenientes de plataformas externas ou de ficheiros locais.
Prevenção contra fontes externas perigosas
Além do bloqueio de comandos paralelos, o gestor de pacotes vai deixar de recolher elementos diretamente de repositórios descentralizados ou através de ligações remotas sem consentimento prévio. Esta alteração elimina por completo a hipótese de um simples ficheiro de configuração alterar os parâmetros de instalação sem que o programador perceba a ameaça.
As novas definições padrão vão quebrar diversas campanhas recentes de roubo de dados que abusavam destas lacunas silenciosas nos pacotes. Para que a transição ocorra sem problemas de compatibilidade nos projetos legítimos, é recomendado atualizar agora para a versão 11.16.0 ou superior. Esta variante atual já apresenta avisos sobre as funções que vão deixar de atuar de forma invisível, permitindo identificar os fluxos de trabalho que vão precisar de aprovação manual antes da transição definitiva.












Nenhum comentário
Seja o primeiro!