Malware de Código Aberto Aumenta em 156%

A Sonatype anunciou na quinta-feira o seu 10º Relatório Anual do Estado da Cadeia de Suprimentos de Software, revelando um impressionante aumento de 156% em malware de código aberto no último ano, juntamente com um recorde de 6.6 trilhões de downloads de software de código aberto.

Os resultados destacam os crescentes riscos associados às cadeias de suprimentos de software, que estão se tornando cada vez mais vulneráveis à medida que o consumo de código aberto acelera.

O relatório, fundamentado em dados de mais de 7 milhões de projetos de código aberto, destaca um notável aumento de 80% nas solicitações de pacotes Python e um aumento de 70% nos downloads de JavaScript, indicando um aumento significativo no consumo de software.

No entanto, esse aumento é acompanhado por uma preocupante proliferação de pacotes maliciosos, com 704.102 identificados desde 2019. Notavelmente, várias vulnerabilidades críticas levaram mais de 500 dias para serem corrigidas em 2024, revelando o atraso enfrentado pelos mantenedores.

A complacência do consumidor agrava este problema; apesar de 99% dos pacotes terem versões atualizadas disponíveis, 80% das dependências de aplicativos permanecem sem atualização por mais de um ano. Alarmantemente, quando componentes vulneráveis são identificados, 95% das vezes, já existe uma versão corrigida.

Para combater essas ameaças crescentes, a Sonatype defende um aumento no investimento em projetos de código aberto.

O relatório revela que projetos de código aberto com suporte pago têm quase três vezes mais probabilidade de ter políticas de segurança abrangentes implementadas. Além disso, componentes com suporte pago resolvem vulnerabilidades pendentes até 45% mais rápido e, geralmente, têm metade das vulnerabilidades no total.

O relatório também aponta para regulamentações emergentes, como a Diretiva de Redes e Sistemas de Informação (NIS2) na UE, que estão promovendo a adoção do Software Bill of Materials (SBOM).

“Na última década, vimos os ataques à cadeia de fornecimento de software aumentarem em sofisticação e frequência, particularmente com o surgimento de malware de código aberto”, disse Brian Fox, CTO e co-fundador da Sonatype.

“Para garantir um ecossistema de código aberto vibrante e seguro para a próxima década, devemos construir uma base de segurança proativa com vigilância contra malware de código aberto, diminuição da complacência do consumidor e gerenciamento abrangente de dependências”, acrescentou ele.

Esses desafios na cadeia de fornecimento de software refletem uma tendência mais ampla no cenário de cibersegurança. Um novo relatório destaca que 66% dos profissionais de cibersegurança consideram suas funções mais estressantes do que cinco anos atrás, principalmente devido a um cenário de ameaças cada vez mais complexo, orçamentos baixos e equipe insuficientemente treinada.