Um desenvolvedor recebe uma mensagem do LinkedIn de um recrutador. O papel parece legítimo. A avaliação de codificação requer a instalação de um pacote. Esse pacote exfiltra todas as credenciais de nuvem da máquina do desenvolvedor – tokens de acesso pessoal do GitHub, chaves de API da AWS, entidades de serviço do Azure e muito mais – são exfiltradas e o adversário está dentro do ambiente de nuvem em poucos minutos. A segurança do seu e-mail nunca viu isso. Seu scanner de dependência pode ter sinalizado o pacote. Ninguém estava observando o que aconteceu a seguir. A cadeia de ataques está rapidamente se tornando conhecida como pivô do gerenciamento de identidade e acesso (IAM) e representa uma lacuna fundamental na forma como as empresas monitoram ataques baseados em identidade. A pesquisa da CrowdStrike Intelligence publicada em 29 de janeiro documenta como grupos adversários operacionalizaram essa cadeia de ataque em escala industrial. Os agentes de ameaças estão ocultando a entrega de pacotes Python e NPM trojanizados por meio de fraude de recrutamento e, em seguida, migrando de credenciais de desenvolvedor roubadas para comprometimento total do IAM na nuvem. Num caso do final de 2024, os atacantes entregaram pacotes Python maliciosos a uma empresa europeia de FinTech através de iscas com temas de recrutamento, direcionaram-nos para configurações IAM na nuvem e desviaram criptomoedas para carteiras controladas por adversários. Da entrada à saída nunca tocou o gateway de e-mail corporativo e não há nenhuma evidência digital para continuar. Em um episódio recente do podcast Adversary Universe da CrowdStrike, Adam Meyers, vice-presidente sênior de inteligência da empresa e chefe de operações contra adversários, descreveu a escala: Mais de US$ 2 bilhões associados a operações de criptomoeda executadas por uma unidade adversária. A moeda descentralizada, explicou Meyers, é ideal porque permite que os invasores evitem sanções e detecção simultaneamente. O CTO de campo das Américas da CrowdStrike, Cristian Rodriguez, explicou que o sucesso da receita impulsionou a especialização organizacional. O que antes era um único grupo de ameaças se dividiu em três unidades distintas visando objetivos de criptomoeda, fintech e espionagem. Esse caso não foi isolado. A Agência de Segurança Cibernética e de Infraestrutura (CISA) e a empresa de segurança JFrog rastrearam campanhas sobrepostas em todo o ecossistema npm, com a JFrog identificando 796 pacotes comprometidos em um worm auto-replicante que se espalha através de dependências infectadas. A pesquisa documenta ainda as mensagens do WhatsApp como o principal vetor de comprometimento inicial, com adversários entregando arquivos ZIP maliciosos contendo aplicativos trojanizados por meio da plataforma. A segurança de e-mail corporativo nunca intercepta esse canal. A maioria das pilhas de segurança é otimizada para um ponto de entrada que esses invasores abandonaram totalmente. Quando a verificação de dependências não é suficiente Os adversários estão mudando os vetores de entrada em tempo real. Os pacotes trojanizados não chegam por meio de typosquatting como no passado — eles são entregues manualmente por meio de canais de mensagens pessoais e plataformas sociais que os gateways de e-mail corporativos não acessam. CrowdStrike documentou adversários adaptando iscas com temas de emprego para setores e funções específicas, e observou implantações de malware especializado em empresas FinTech recentemente, em junho de 2025. A CISA documentou isso em grande escala em setembro, emitindo um comunicado sobre um comprometimento generalizado da cadeia de suprimentos npm visando tokens de acesso pessoal do GitHub e chaves de API AWS, GCP e Azure. O código malicioso foi verificado em busca de credenciais durante a instalação do pacote e exfiltrado para domínios externos. A verificação de dependência captura o pacote. Esse é o primeiro controle e a maioria das organizações o possui. Quase nenhum tem o segundo, que é o monitoramento comportamental em tempo de execução que detecta a exfiltração de credenciais durante o próprio processo de instalação. “Quando você reduz esse ataque ao essencial, o que se destaca não é uma técnica inovadora”, disse Shane Barney, CISO da Keeper Security, em uma análise de uma recente cadeia de ataque à nuvem. “É a pouca resistência que o ambiente ofereceu depois que o invasor obteve acesso legítimo.” Os adversários estão cada vez melhores na criação de pivôs letais e não monitorados O relatório Threat Horizons do Google Cloud descobriu que credenciais fracas ou ausentes foram responsáveis ​​por 47,1% dos incidentes na nuvem no primeiro semestre de 2025, com configurações incorretas acrescentando outros 29,4%. Esses números permaneceram estáveis ​​em períodos consecutivos de relatório. Esta é uma condição crônica, não uma ameaça emergente. Os invasores com credenciais válidas não precisam explorar nada. Eles fazem login. Uma pesquisa publicada no início deste mês demonstrou exatamente a rapidez com que esse pivô é executado. A Sysdig documentou uma cadeia de ataque em que credenciais comprometidas alcançaram privilégios de administrador de nuvem em oito minutos, percorrendo 19 funções do IAM antes de enumerar os modelos do Amazon Bedrock AI e desabilitar o registro de invocação de modelo. Oito minutos. Nenhum malware. Nenhuma exploração. Apenas uma credencial válida e a ausência de linhas de base comportamentais do IAM. Ram Varadarajan, CEO da Acalvio, disse sem rodeios: a velocidade da violação passou de dias para minutos, e a defesa contra esta classe de ataque exige tecnologia que possa raciocinar e responder à mesma velocidade que os atacantes automatizados. A detecção e resposta a ameaças de identidade (ITDR) aborda essa lacuna monitorando como as identidades se comportam dentro de ambientes de nuvem, e não apenas se elas são autenticadas com sucesso. O Bússola de Liderança 2025 da KuppingerCole sobre ITDR descobriu que a maioria das violações de identidade agora se origina de identidades não humanas comprometidas, mas a adoção corporativa de ITDR permanece desigual. Morgan Adamski, vice-líder de risco cibernético, de dados e tecnológico da PwC, colocou o que está em jogo em termos operacionais. Acertar a identidade, incluindo agentes de IA, significa controlar quem pode fazer o quê na velocidade da máquina. Alertas de combate a incêndios de todos os lugares não acompanharão a expansão multicloud e os ataques centrados na identidade. Por que os

Ouça o artigo 4 minutos Este áudio é gerado automaticamente. Por favor, deixe-nos saber se você tiver comentários. A Chipotle lançou um novo

O "Momento OpenClaw" representa a primeira vez que agentes autônomos de IA conseguiram "escapou do laboratório" e passou para as mãos da força

Ouça o artigo 3 minutos Este áudio é gerado automaticamente. Por favor, deixe-nos saber se você tiver comentários. Dollar Shave Club está novamente

Pesquisadores de Stanford, Nvidia e Together AI desenvolveram uma nova técnica que pode descobrir novas soluções para problemas muito complexos. Por exemplo, eles

Ouça o artigo 2 minutos Este áudio é gerado automaticamente. Por favor, deixe-nos saber se você tiver comentários. Resumo de mergulho: A WPP

Os LLMs de hoje são excelentes em raciocínio, mas ainda podem ter dificuldades com o contexto. Isto é particularmente verdadeiro em sistemas de

Ouça o artigo 3 minutos Este áudio é gerado automaticamente. Por favor, deixe-nos saber se você tiver comentários. “Sociável” é o comentário mais

Apple on Tuesday announced a major update to its flagship developer tool that gives artificial intelligence agents unprecedented control over the app-building process,