Ataque à cadeia de suprimentos dobrou em 2025 — como reduzir

· Equipe CSURFACE · #ASM · #cadeia de suprimentos · #supply chain attack · #risco de terceiros · #CTEM

O ano de 2025 consolidou uma transição que o comitê de riscos de qualquer organização precisa registrar em ata: o ataque à cadeia de suprimentos deixou de ser um evento excepcional e passou a compor a linha de base do risco cibernético corporativo. Os números publicados por fornecedores de inteligência de ameaças e por relatórios setoriais convergem para a mesma leitura. O volume de incidentes originados em terceiros dobrou em relação a 2024, o custo agregado alcançou dezenas de bilhões de dólares por ano, e setores inteiros da economia real passaram a operar sob um perfil de exposição materialmente mais elevado.

Este documento examina o que mudou no vetor de cadeia de suprimentos, apresenta os casos públicos que definiram o período e propõe uma agenda de redução de exposição adequada a conselhos de administração, comitês de auditoria e áreas de segurança da informação.

O que os dados de 2025 estabelecem

O relatório da unidade x63 do Grupo Cipher/Prosegur estima em mais de US$ 53,2 bilhões por ano o custo agregado dos ataques de cadeia de suprimentos de software, com os incidentes globais dobrando em 2025 na comparação anual e um custo médio próximo de 4,33 milhões de euros por evento. O mesmo levantamento aponta que 22,5% de todas as violações registradas em 2025 envolveram terceiros ou fornecedores — o dobro da proporção observada no ano anterior (Prosegur).

A tendência é corroborada por fontes independentes. O Verizon 2025 Data Breach Investigations Report identificou a duplicação da participação de terceiros nas violações, subindo de aproximadamente 15% para 30% em um único ciclo anual, movimento atribuído à exploração em massa de software de transferência de arquivos, à reutilização de credenciais entre ecossistemas de fornecedores e à maturação dos mercados de corretores de acesso (Help Net Security).

O componente financeiro merece atenção particular do comitê de auditoria. Segundo o IBM Cost of a Data Breach Report 2025, um comprometimento originado na cadeia de suprimentos custa, em média, US$ 4,91 milhões e leva 267 dias para ser identificado e contido — o ciclo de vida mais longo entre todos os vetores de violação acompanhados pelo estudo. O tempo prolongado de detecção amplia o impacto operacional, econômico e reputacional, e constitui, por si só, um indicador de que os controles tradicionais de perímetro não alcançam o risco introduzido por fornecedores.

A distribuição setorial reforça a materialidade. O setor de manufatura registrou crescimento de 61% nos ataques ano a ano, figurando entre os mais afetados ao lado de tecnologia e varejo — segmentos caracterizados por alta interconexão e por cadeias de fornecimento extensas e globalizadas (Prosegur). Para organizações industriais, a convergência entre tecnologia da informação e tecnologia operacional torna cada fornecedor de software embarcado, cada componente de código aberto e cada integrador terceirizado um ponto de entrada com potencial de interrupção de produção.

O que mudou: da intrusão pontual à propagação automatizada

A distinção qualitativa de 2025 está no grau de automação e autopropagação dos ataques. O ecossistema de código aberto, sobre o qual repousa a maior parte do software corporativo moderno, tornou-se o principal teatro de operações.

O episódio mais representativo foi o worm identificado como Shai-Hulud. A partir de 15 de setembro de 2025, versões maliciosas de múltiplos pacotes populares foram publicadas no repositório npm com um script de pós-instalação que coletava segredos, variáveis de ambiente e chaves de nuvem, empregando a ferramenta TruffleHog para localizar credenciais e exfiltrando os dados para repositórios públicos criados no GitHub sob o nome Shai-Hulud. O código exibia comportamento de verme: ao encontrar tokens npm adicionais no ambiente comprometido, publicava automaticamente versões maliciosas de todos os pacotes acessíveis, propagando-se pelo ecossistema sem intervenção humana. Trata-se do primeiro ataque autopropagável bem-sucedido documentado no npm e um dos incidentes de cadeia de suprimentos JavaScript mais severos já observados (Unit 42, Palo Alto Networks; Wiz). A gravidade motivou alerta público da CISA sobre o comprometimento generalizado do ecossistema npm (CISA).

Em paralelo, a campanha IndonesianFoods demonstrou uma segunda face do risco: a saturação do repositório. Um payload de spam automatizado publicou mais de 100 mil pacotes no npm, gerando novos artefatos a intervalos de poucos segundos. A campanha teve início dois anos antes, com dezenas de milhares de pacotes adicionados em 2023, monetização implementada em 2024 e o mecanismo de autorreplicação introduzido em 2025 (Sonatype; BleepingComputer). O efeito é a degradação da confiança no próprio repositório e o aumento da superfície sobre a qual equipes de segurança precisam exercer vigilância.

A transição é clara. O adversário deixou de depender de uma intrusão manual em um alvo específico e passou a operar mecanismos que se multiplicam sozinhos através das relações de dependência entre pacotes e fornecedores.

O contexto histórico: a trajetória até 2025

A duplicação de 2025 tem raízes nos incidentes que estruturaram a percepção do risco de terceiros nos anos anteriores.

O caso MOVEit, em 2023, permanece como referência de escala. A exploração de uma vulnerabilidade no software de transferência de arquivos MOVEit Transfer pelo grupo Cl0p atingiu, por estimativas públicas, milhares de organizações e dezenas de milhões de indivíduos, com o dado comprometido em um único fornecedor propagando-se por toda a sua base de clientes. O episódio estabeleceu o padrão de exploração em massa de software compartilhado que o DBIR de 2025 identificaria como um dos motores da duplicação.

O caso Polyfill.io, em 2024, ilustrou a via do fornecedor de infraestrutura confiável. Após a aquisição do domínio, previamente legítimo, por um novo operador, código malicioso passou a ser injetado em mais de 110 mil sites que carregavam scripts a partir do CDN comprometido, com execução condicionada a dispositivos específicos para dificultar a detecção. Mesmo após a remoção do domínio, centenas de milhares de hosts permaneceram referenciando o script malicioso (Sansec; The Hacker News). O caso demonstrou que um ativo de terceiro incorporado ao front-end corporativo — muitas vezes esquecido em rodapés de páginas antigas — constitui exposição direta.

A linha que une MOVEit, Polyfill.io e Shai-Hulud é a dependência: a organização herda o risco de cada fornecedor, biblioteca e serviço que incorpora à sua operação, e esse risco se materializa por caminhos que o perímetro tradicional não observa.

Uma agenda de redução de exposição

A resposta adequada é a incorporação do risco de terceiros à disciplina de gestão de exposição, com controles verificáveis e revisados de forma contínua. As seguintes frentes compõem uma agenda defensável perante o conselho.

A prioridade recai sobre a redução do intervalo entre a introdução de uma exposição na cadeia e a sua identificação. É nesse intervalo — medido em centenas de dias pelos relatórios de 2025 — que o custo de um incidente se acumula.

Conclusão

Os dados de 2025 recomendam que o risco de cadeia de suprimentos seja tratado como categoria própria na governança de riscos corporativos, com métricas, responsáveis e revisão periódica em comitê. A duplicação do volume de incidentes, a participação de terceiros em quase um quarto das violações e o custo agregado na casa das dezenas de bilhões de dólares configuram um risco material, defensável com fontes públicas e independente de qualquer leitura alarmista. O que a organização não observa em sua cadeia digital permanece exposto até que um adversário o observe primeiro.

A CSURFACE endereça esse risco pela gestão contínua da superfície de ataque externa e pelo mapeamento da cadeia digital de terceiros, oferecendo às áreas de segurança e aos comitês uma visão atualizada dos ativos, fornecedores e dependências expostos ao exterior. O resultado é a redução do intervalo entre a introdução de uma exposição e a sua identificação, e a capacidade de sustentar decisões de risco com evidência verificável.

Fontes

Pronto para ver isso aplicado ao seu cenário?

Agendar Demonstração