Créditos: Divulgação
16-03-2026 às 17h20
Liliane Scaratti*
A arquitetura dos grandes ataques cibernéticos está passando por uma transformação. Ao invés de partir de uma invasão frontal a bancos, indústrias ou varejistas, os criminosos têm direcionado seus esforços para camadas anteriores da cadeia digital — o fornecimento de software, plataformas terceirizadas de atendimento, bibliotecas de código integradas por desenvolvedores ou qualquer elo aparentemente periférico do ecossistema tecnológico.
É nesse ambiente interconectado, onde múltiplos fornecedores e integrações coexistem, que vulnerabilidades discretas podem se transformar em portas de entrada para ataques de grande escala.
“No mundo corporativo hiperconectado, nenhuma companhia opera sozinha. A fabricante depende do desenvolvedor, o desenvolvedor depende de bibliotecas abertas. O sistema de gestão depende da nuvem, a logística depende de integrações digitais. É essa teia, chamada cadeia de suprimentos, que sustenta a economia moderna. E é justamente nela que os criminosos encontraram uma avenida de acesso”, explica Marco Romer, coordenador na Apura Cyber Intelligence, empresa de inteligência cibernética que antecipa ameaças, protegendo organizações no Brasil e no mundo.
“Ao invés de tentar invadir diretamente uma grande corporação protegida por camadas robustas de segurança, os atacantes comprometem um fornecedor estratégico. Um único ponto vulnerável pode abrir caminho para centenas de organizações ao mesmo tempo: é o efeito dominó em escala global”, reforça.
O relatório anual da Apura Cyber Intelligence aponta que os ataques à cadeia de suprimentos se consolidaram como uma das principais estratégias do crime digital no último ano. O dado mais expressivo mostra que o envolvimento de terceiros em violações de dados saltou de 15% para 30% em apenas doze meses.
“O cenário mostra uma mudança estratégica profunda”, afirma Romer. “Os ataques à cadeia de suprimentos sempre existiram, mas agora se tornaram prioridade para grupos organizados, justamente pelo efeito multiplicador”.
O ambiente de desenvolvimento de software foi um dos principais alvos em 2025. A campanha conhecida como PhantomRaven, por exemplo, comprometeu mais de 120 pacotes no repositório npm, amplamente utilizado por desenvolvedores que trabalham com Node.js. Descoberta no final de outubro de 2025, os códigos maliciosos foram distribuídos por meio de dependências dinâmicas que redirecionavam downloads para domínios controlados pelos atacantes, permitindo o roubo de credenciais e tokens de autenticação.
Além disso, técnicas de typosquatting, baseadas em pequenos erros de digitação, também foram exploradas. Um pacote identificado como “@acitons/artifact” imitava o legítimo “@actions/artifact”, enganando desenvolvedores e inserindo código malicioso nos projetos.
Extensões fraudulentas no marketplace do Visual Studio Code, como “susvsex” e o malware GlassWorm, também foram detectadas. Segundo o relatório da Apura, essas ferramentas eram capazes de criptografar arquivos e ocultar comandos maliciosos com caracteres invisíveis, transformando estações de trabalho em pontos de coleta de dados corporativos.
O relatório também registra ataques direcionados a sistemas críticos de gestão e atendimento. O grupo Cl0p explorou falhas de dia zero no Oracle E-Business Suite, afetando mais de 100 organizações globais em 2025, especialmente nos setores financeiro e industrial.
“Esse tipo de invasão é particularmente grave porque permite acesso a grandes volumes de dados sensíveis antes que uma correção esteja disponível”, explica.
Em outra frente, o grupo cibercriminoso Scattered LAPSUS$ Hunters concentrou esforços em plataformas de CRM e suporte ao cliente. Por meio de engenharia social e da criação de domínios que imitavam páginas de login do Zendesk, os criminosos obtiveram acesso a dados de centenas de empresas, incluindo marcas globais.
“O padrão, então, se repete, pois não é preciso derrubar o castelo quando se pode envenenar o poço”, compara o especialista da Apura Cyber Intelligence.
E quanto maior a interdependência digital entre empresas, maior também a superfície de exposição. “O desafio, agora, é deixar de agir apenas depois que o ataque acontece. Em um ambiente corporativo hiperconectado, o próximo grande incidente pode não ter origem nos sistemas internos da empresa, mas sim em um fornecedor, parceiro ou software terceirizado que, à primeira vista, parece distante da operação principal, mas que está plenamente integrado a ela”. “Frente a esse cenário atual, a empresa tem que se preocupar com os padrões de segurança e a exposição de seus fornecedores críticos”, conclui.
Sobre a Apura Cyber Intelligence, acesse: https://apura.io/pt
