Supply Chain Attack é um tipo de ciberataque que tem como alvo elementos menos seguros da supply chain de uma organização, em vez de atacar a organização diretamente.
Índice
Supply Chain Attack
Nos últimos anos, ataques à supply chain causaram danos em todo o mundo. Um ataque à supply chain é um tipo de ciberataque que tem como alvo as relações de confiança entre organizações, usando um parceiro comprometido como ponto de apoio para infiltrar outra. O objetivo é infiltrar a rede ou os sistemas de uma organização comprometendo um fornecedor, prestador de serviços ou parceiro terceirizado que tenha acesso a seus dados, software ou infraestrutura de rede.
A principal característica de um ataque à supply chain é permitir que atacantes infiltrem sistemas de forma indireta, comprometendo primeiro partes menos seguras da supply chain de uma organização, como fornecedores terceirizados. Como esses terceiros estão incorporados às operações diárias, isso facilita que atacantes passem despercebidos até que danos significativos já tenham ocorrido.
Principais Características dos Supply Chain Attacks
Abordagem Indireta
Em vez de atacar diretamente a organização-alvo, os atacantes comprometem um terceiro confiável, como um fornecedor de software, fornecedor de hardware ou prestador de serviços. Esse terceiro torna-se um canal para entregar a carga maliciosa ao alvo final.
Complexidade e Escala
Ataques à supply chain podem ser complexos, envolvendo múltiplos estágios e afetando um grande número de organizações. Os atacantes podem inserir código malicioso ou hardware em diferentes estágios da supply chain, dificultando a detecção.
Exploração de Confiança
Esses ataques exploram as relações de confiança entre uma organização e seus fornecedores. Como fornecedores terceirizados frequentemente têm acesso privilegiado aos sistemas ou dados sensíveis de uma organização, eles se tornam alvos atraentes para atacantes.
Impacto Generalizado
O impacto de um ataque à supply chain pode ser significativo, afetando não apenas o alvo principal, mas potencialmente milhares de outras organizações que dependem do terceiro comprometido.
Tipos de Supply Chain Attacks
Ataques à supply chain podem ser categorizados em três tipos com base em seu ponto de origem:
Ataques à supply chain de software
Um ataque à supply chain de software envolve comprometer os processos usados para desenvolver ou entregar software a fim de inserir código malicioso no próprio software ou em seus programas de atualização. Isso permite que atacantes infiltrem organizações-alvo por meio de software aparentemente legítimo.
Vetores de ataque comuns incluem código open-source, ferramentas de administração de sistemas e aplicações amplamente utilizadas. Em vez de violar uma empresa diretamente, os atacantes normalmente começam comprometendo os sistemas de uma empresa fornecedora de software terceirizada confiável que desenvolve o software ou hospeda seus downloads. A partir daí, eles exploram servidores de atualização ou canais de distribuição para entregar versões comprometidas a usuários desavisados.
Se o software comprometido for amplamente utilizado, o atacante pode potencialmente desencadear um ataque em larga escala e de alto impacto, afetando inúmeras organizações simultaneamente.
Ataques à supply chain de software
Um ataque à supply chain de serviços tem como alvo prestadores de serviços, como Managed Service Providers (MSPs), e utiliza seu acesso confiável para implantar malware em múltiplos ambientes de clientes.
Um exemplo amplamente conhecido é o ataque de ransomware de 2021 envolvendo o Kaseya VSA, um serviço remoto de gerenciamento de TI. Atacantes comprometeram MSPs usando o Kaseya VSA e, em seguida, espalharam ransomware para muitos de seus clientes downstream. Como MSPs são confiáveis para gerenciar e operar redes de clientes, atacantes podem usá-los como pontos de distribuição de malware como ransomware.
Nesse caso, o ataque explorou a natureza dos serviços de MSP, afetando tanto os MSPs que usavam o Kaseya VSA quanto seus clientes, que dependiam desses MSPs. O impacto em larga escala foi significativo, pois relatórios estimaram que até 1.500 empresas foram afetadas pelo ransomware attack.
Ataques à supply chain de negócios
Ataques à supply chain de negócios têm como alvo o ecossistema mais amplo de parceiros, fornecedores, provedores de logística e suprimentos que viabilizam operações diárias, usando esses relacionamentos para infiltrar a organização-alvo principal.
Esse método tornou-se tão comum que agora pode ser considerado uma tática padrão para obter acesso a organizações.
A Trend Micro observou consistentemente grupos de ciberataques como Earth Hundun (também conhecido como BlackTech) e Earth Tengshe (vinculado ao APT10) comprometendo primeiro filiais no exterior de empresas e, em seguida, usando esse acesso para infiltrar suas operações corporativas principais, que são os alvos reais pretendidos.
Categorias de Supply Chain Attacks
- Atualizações de Software Comprometidas: Atacantes injetam código malicioso em atualizações de software que são distribuídas para um grande número de usuários.
- Bibliotecas de Software de Terceiros Comprometidas: Inserção de código malicioso em bibliotecas ou dependências de terceiros que são integradas a produtos de software legítimos.
- Hardware ou Firmware Comprometidos: Inserção de componentes de hardware ou firmware maliciosos em produtos durante o processo de fabricação ou distribuição.
- Ferramentas de Desenvolvimento Comprometidas: Comprometimento das ferramentas usadas por desenvolvedores, como Integrated Development Environments (IDEs) ou pipelines de Integração Contínua/Implantação Contínua (CI/CD).
- Dependências de Software Comprometidas: Injeção de código malicioso em dependências de software legítimas que são amplamente utilizadas.
- Exfiltração de Dados por Protocolos Explorados: Exploração de vulnerabilidades em protocolos como SMB, TLS, SSH ou direcionamento direto a bancos de dados por meio de métodos como SQL injection para exfiltrar dados.
- Projetos Open Source como Alvo: Ataque a projetos open source amplamente utilizados, inserindo código malicioso que pode afetar muitos projetos dependentes.
Exemplos de Supply Chain Attacks
Node Package Manager (2025)
Em 15 de setembro de 2025, o repositório do Node Package Manager (NPM) sofreu um ataque contínuo à supply chain, no qual os atacantes executaram uma campanha altamente direcionada de phishing para comprometer a conta de um mantenedor de pacotes NPM. Com acesso privilegiado, os atacantes injetaram código malicioso em pacotes JavaScript amplamente utilizados, ameaçando todo o ecossistema de software.
Recurso Ataque à Supply Chain do NPM
RockYou2024 (2024)
O vazamento de senhas RockYou2024, no qual quase 10 bilhões de credenciais previamente comprometidas foram compiladas e publicadas em um fórum hacker, destaca o risco significativo de supply chain representado pela agregação, reutilização e exposição pública de credenciais violadas em múltiplas plataformas e serviços.
Recurso :Quase 10 Bilhões de Senhas Vazadas na Maior Compilação de Todos os Tempos
Modelos de Linguagem de Grande Escala (LLMs) e Chatbots Públicos (2024)
Chatbots públicos alimentados por LLMs podem expor inadvertidamente informações internas sensíveis compartilhadas durante interações, explorando a confiança que empresas depositam nesses serviços de IA, o que ressalta os riscos de depender de plataformas externas de IA que podem expor involuntariamente dados confidenciais por meio de seus processos de aprendizado e interação.
Dados Públicos Nacionais dos EUA (2024)
A violação foi possibilitada por vulnerabilidades em uma propriedade irmã, RecordsCheck, que permitiu aos atacantes explorar relações de confiança entre serviços relacionados para acessar dados sensíveis.
Comprometimento do Servidor Git do PHP (2021)
Atacantes comprometeram o servidor Git do PHP, tentando inserir um backdoor no código-fonte da popular linguagem de scripting para web.
Recurso: Hack do Servidor Git do PHP no ZDNet
Ataque SolarWinds (2020)
Atacantes infiltraram o mecanismo de atualização do software SolarWinds Orion, entregando atualizações maliciosas a mais de 18.000 clientes, incluindo agências governamentais e grandes corporações.
Recurso: Alerta da CISA sobre SolarWinds
Plataforma Trend Vision One™
Parar os adversários mais rapidamente e assumir o controle de seus riscos cibernéticos começa com uma única plataforma. Gerencie a segurança de forma holística com recursos abrangentes de prevenção, detecção e resposta com tecnologia de IA, pesquisa e inteligência de ameaças líderes.
O Trend Vision One suporta diversos ambientes de TI híbridos, automatiza e orquestra fluxos de trabalho e oferece serviços especializados de segurança cibernética, para que você possa simplificar e convergir sua segurança.
Jon Clay trabalhou no espaço de Cibersegurança por mais de 29 anos. Jon usa sua experiência no setor para educar e compartilhar insights sobre todas as pesquisas e inteligências de ameaças publicadas externamente pela Trend Micro.