Blog

O Risco da Cadeia de Suprimentos Não Termina no NPM

Ao verificar apenas o NPM (ou outro registro), você não está protegido contra ataques através de scripts de terceiros.

May 30, 2024 • 3 min read

Ilustracao mostrando que seguranca client-side nao e apenas npm

Ataques à cadeia de suprimentos são um problema prioritário hoje. O número desses ataques nos EUA aumentou 115% entre 2022 e 2023, de acordo com a Statista. Ferramentas como Socket e Coana detectam código malicioso em registros como o NPM. Mas o risco da cadeia de suprimentos não termina aí.

Diagrama dos riscos de segurança no lado do cliente por conteúdo de terceiros injetado dinamicamente

Algumas ferramentas são scripts de terceiros que são buscados pelo navegador do usuário. Ao verificar apenas o NPM (ou outro registro), você não está protegido contra ataques através desses scripts.

Esses scripts, usados para rastreamento de marketing, anúncios, captchas e muito mais, são frequentemente implementados em sites inteiros por conveniência. Esses scripts são poderosos e podem fazer coisas como reescrever código, redirecionar usuários, exfiltrar dados e até minerar criptomoedas no seu navegador.

O método de entrega desses scripts permite comportamento dinâmico. Qualquer usuário pode receber uma entrega diferente a cada vez, especialmente quando um script foi comprometido.

À medida que mais pessoas adotam melhores abordagens de segurança de dependências, scripts dinâmicos que são buscados no lado do navegador são um vetor de ataque cada vez mais interessante e substancial. Isso torna a verificação apenas das fontes um jogo arriscado. A melhor abordagem é verificar o código completo toda vez que ele é entregue, que é o que o cside faz.

Além disso, muitos desses scripts não são mantidos por empresas centradas em tecnologia. As ferramentas podem ser negligenciadas à medida que as empresas se dissolvem ou são adquiridas, deixando-as suscetíveis a sequestros. Mesmo serviços respeitáveis e amplamente utilizados não estão isentos de falhas, como evidenciado pelos problemas do cdnjs em 2021 ou esta pessoa que comprou um domínio expirado de polícia e serviços sociais na Bélgica e obteve acesso a informações privadas dessa forma.

Finalmente, 95% desses scripts carecem de proteções contra sequestros de DNS. Até mesmo a rede em que você está pode impactar o script que você recebe.

O que fazer sobre tudo isso

Aqui está o que recomendamos:

Use uma ferramenta como Socket (ou alternativas) para risco da cadeia de suprimentos no registro e use o cside para monitorar o comportamento de scripts de terceiros no lado do navegador. Verificamos o código completo de fontes de terceiros, 100% das vezes, antes que seja entregue ao navegador do seu usuário. Protegendo completamente este lado da cadeia de suprimentos.

Por último, você deve proteger sua infraestrutura contra ataques de entrada. Para isso, use algo como o Web Application Firewall da Cloudflare.

Coisas mais específicas como uploads de formulários e detecção de bots podem exigir ferramentas especializadas.

Use ferramentas de monitoramento proativo como Hadrian ou Cycognito para monitorar a superfície de ameaças.

Diagrama das camadas de risco de cadeia de suprimentos além dos pacotes npm

Founder & CEO Simon Wijckmans

Founder and CEO of cside. Previously a product manager on Cloudflare Page Shield (now Cloudflare Client-Side Security). Co-chair of the W3C Anti-Fraud Community Group and a Forbes 30 Under 30 honoree. Building accessible security against client-side attacks — web security is not an enterprise-only problem.

Back to top

Don't just take our word for it, ask AI

FAQ

Frequently Asked Questions

Dependências de build são uma fonte de risco, mas scripts de terceiros em tempo de execução, CDNs e conteúdo carregado dinamicamente também rodam no navegador. Um atacante só precisa comprometer uma dessas camadas para alcançar seus usuários.

CDNs, gerenciadores de tags, ferramentas de teste A/B, analytics, SDKs de pagamento e qualquer script que carregue outros scripts. O monitoramento no cliente como o da cside acompanha tudo isso em tempo de execução, não só na instalação.

Monitore e Proteja Seus Scripts de Terceiros

Gain full visibility and control over every script delivered to your users to enhance site security and performance.

Agende uma demonstração

Comece gratuitamente

Comece grátis, ou experimente o Business com um teste de 14 dias.

Interface do painel cside mostrando monitoramento de scripts e análises de segurança

Detecção de partilha de conta: como fechar a lacuna de execução que os limites de sessões simultâneas não cobrem

Os limites de sessões simultâneas sinalizam o caso óbvio.

Como Bloquear o Applebot-Extended no Seu Site

O Applebot-Extended é o crawler de treino de IA da Apple que alimenta o Apple Intelligence. Saiba como difere do Applebot e como recusar via robots.txt.

Capa escura do blog da cside com uma onda de pixels azuis e uma lista sobre monitoramento de scripts de terceiros em domínios de cassino

Como monitorar scripts de terceiros em 100 ou mais domínios de cassino

Guia prático para monitorar scripts de terceiros em 100+ domínios de cassino: expansão de scripts, alertas entre domínios e escalabilidade cside.

Riscos de segurança da IA agêntica para sites: privacidade, conformidade e detecção

Navegadores de IA agêntica ignoram o consentimento de cookies, executam JavaScript real e criam lacunas de conformidade com o RGPD que a detecção de bots em nível CDN não consegue ver.

Ilustração de um sistema neural de detecção de bots em duas etapas que separa sessões de navegador humanas e de bots

Apanhar bots que não querem ser apanhados: por dentro de uma stack de deteção neural de duas fases

Como uma stack neural de duas fases apanha stealth browsers, scrapers com proxy residencial e agentes LLM que passam as verificações de fingerprint.

Como Bloquear o DeepSeekBot no Seu Website

O DeepSeekBot rastreia o seu site para uma empresa chinesa de IA. Saiba como bloqueá-lo com robots.txt, regras de IP e os reais riscos de soberania de dados que ele levanta.

Capa escura do blog da cside com uma onda de pixels azuis e uma lista sobre conformidade de scripts perante a Malta Gaming Authority

Conformidade com a Malta Gaming Authority e Segurança de Scripts Client-Side: O Que os Operadores Licenciados pela MGA Precisam de Cobrir

As regras da MGA exigem uma plataforma segura e auditável. O JavaScript de terceiros é uma lacuna de conformidade que poucos auditaram.

Capa escura do blog da cside com uma onda de pixels azuis e uma lista sobre ataques de scripts de terceiros em plataformas de iGaming

Ataques de script de terceiros em plataformas iGaming em 2026: a nova superfície de ataque que os operadores ignoram

JavaScript de terceiros é a principal superfície de ataque não monitorada no iGaming. Sete classes de ataque e por que as ferramentas as ignoram.

Capa escura do blog da cside com uma onda de pixels azuis e uma lista sobre pixels não autorizados em sites de jogos e responsabilidade pelo GDPR

GDPR e Jogo Online: Por Que Razão os Pixels Não Autorizados Criam um Problema de Responsabilidade Dupla

Pixels não autorizados em sites de jogo criam responsabilidade GDPR e suspensão de contas de anúncios ao mesmo tempo, mesmo sem instalação.

Conformidade HIPAA com tecnologias de rastreamento web: o guia para organizações de saúde

O OCR do HHS determinou que pixels de rastreamento e scripts de terceiros em sites de saúde podem expor PHI. O que as entidades cobertas precisam fazer para estar em conformidade.