Um desenvolvedor recebe uma mensagem do LinkedIn de um recrutador. O papel parece legítimo. A avaliação de codificação requer a instalação de um pacote. Esse pacote exfiltra todas as credenciais de nuvem da máquina do desenvolvedor – tokens de acesso pessoal do GitHub, chaves de API da AWS, entidades de serviço do Azure e muito mais – são exfiltradas e o adversário está dentro do ambiente de nuvem em poucos minutos.
A segurança do seu e-mail nunca viu isso. Seu scanner de dependência pode ter sinalizado o pacote. Ninguém estava observando o que aconteceu a seguir.
A cadeia de ataques está rapidamente se tornando conhecida como pivô do gerenciamento de identidade e acesso (IAM) e representa uma lacuna fundamental na forma como as empresas monitoram ataques baseados em identidade. Pesquisa CrowdStrike Intelligence publicado em 29 de janeiro documenta como grupos adversários operacionalizaram essa cadeia de ataque em escala industrial. Os agentes de ameaças estão ocultando a entrega de pacotes Python e NPM trojanizados por meio de fraude de recrutamento e, em seguida, migrando de credenciais de desenvolvedor roubadas para comprometimento total do IAM na nuvem.
Num caso do final de 2024, os atacantes entregaram pacotes Python maliciosos a uma empresa europeia de FinTech através de iscas com temas de recrutamento, direcionaram-nos para configurações IAM na nuvem e desviaram criptomoedas para carteiras controladas por adversários.
Da entrada à saída nunca tocou o gateway de e-mail corporativo e não há nenhuma evidência digital para continuar.
Em um episódio recente de CrowdStrike’s Podcast do Universo AdversárioAdam Meyers, vice-presidente sênior de inteligência da empresa e chefe de operações contra adversários, descreveu a escala: Mais de US$ 2 bilhões associados a operações de criptomoeda executadas por uma unidade adversária. A moeda descentralizada, explicou Meyers, é ideal porque permite que os invasores evitem sanções e detecção simultaneamente. O CTO de campo das Américas da CrowdStrike, Cristian Rodriguez, explicou que o sucesso da receita impulsionou a especialização organizacional. O que antes era um único grupo de ameaças se dividiu em três unidades distintas visando objetivos de criptomoeda, fintech e espionagem.
Esse caso não foi isolado. A Agência de Segurança Cibernética e de Infraestrutura (CISA) e empresa de segurança JFrog rastrearam campanhas sobrepostas em todo o ecossistema npm, com JFrog identificando 796 pacotes comprometidos em um worm auto-replicante que se espalha através de dependências infectadas. A pesquisa documenta ainda as mensagens do WhatsApp como o principal vetor de comprometimento inicial, com adversários entregando arquivos ZIP maliciosos contendo aplicativos trojanizados por meio da plataforma. A segurança de e-mail corporativo nunca intercepta esse canal.
A maioria das pilhas de segurança é otimizada para um ponto de entrada que esses invasores abandonaram totalmente.
Quando a verificação de dependências não é suficiente
Os adversários estão mudando os vetores de entrada em tempo real. Os pacotes trojanizados não chegam por meio de typosquatting como no passado — eles são entregues manualmente por meio de canais de mensagens pessoais e plataformas sociais que os gateways de e-mail corporativos não acessam. CrowdStrike documentou adversários adaptando iscas com temas de emprego para setores e funções específicas, e observou implantações de malware especializado em empresas FinTech recentemente, em junho de 2025.
A CISA documentou isso em grande escala em setembro, emitindo um comunicado sobre um comprometimento generalizado da cadeia de suprimentos do NPM visando tokens de acesso pessoal do GitHub e chaves de API AWS, GCP e Azure. O código malicioso foi verificado em busca de credenciais durante a instalação do pacote e exfiltrado para domínios externos.
A verificação de dependência captura o pacote. Esse é o primeiro controle e a maioria das organizações o possui. Quase nenhum tem o segundo, que é o monitoramento comportamental em tempo de execução que detecta a exfiltração de credenciais durante o próprio processo de instalação.
“Quando você reduz esse ataque ao essencial, o que se destaca não é uma técnica inovadora”, disse Shane Barney, CISO da Keeper Security, em um comunicado. análise de uma cadeia recente de ataques na nuvem. “É a pouca resistência que o ambiente ofereceu depois que o invasor obteve acesso legítimo.”
Os adversários estão cada vez melhores na criação de pivôs letais e não monitorados
do Google Cloud Relatório de horizontes de ameaças descobriram que credenciais fracas ou ausentes foram responsáveis por 47,1% dos incidentes na nuvem no primeiro semestre de 2025, com configurações incorretas acrescentando outros 29,4%. Esses números permaneceram estáveis em períodos consecutivos de relatório. Esta é uma condição crônica, não uma ameaça emergente. Os invasores com credenciais válidas não precisam explorar nada. Eles fazem login.
Pesquisa publicada no início deste mês demonstrou exatamente o quão rápido esse pivô é executado. Sedativo documentou uma cadeia de ataque em que credenciais comprometidas alcançaram privilégios de administrador de nuvem em oito minutos, percorrendo 19 funções do IAM antes de enumerar modelos de IA do Amazon Bedrock e desabilitar o registro de invocação de modelo.
Oito minutos. Nenhum malware. Nenhuma exploração. Apenas uma credencial válida e a ausência de linhas de base comportamentais do IAM.
Ram Varadarajan, CEO da Acalvio, ser franco: a velocidade da violação passou de dias para minutos, e a defesa contra essa classe de ataque exige tecnologia que possa raciocinar e responder na mesma velocidade que os invasores automatizados.
A detecção e resposta a ameaças de identidade (ITDR) aborda essa lacuna monitorando como as identidades se comportam dentro de ambientes de nuvem, e não apenas se elas são autenticadas com sucesso. Bússola de Liderança 2025 da KuppingerCole no ITDR descobriu que a maioria das violações de identidade agora se origina de identidades não humanas comprometidas, mas a adoção do ITDR empresarial permanece desigual.
Morgan Adamski, vice-líder de risco cibernético, de dados e tecnológico da PwC, colocar o que está em jogo em termos operacionais. Acertar a identidade, incluindo agentes de IA, significa controlar quem pode fazer o quê na velocidade da máquina. Alertas de combate a incêndios de todos os lugares não acompanharão a expansão multicloud e os ataques centrados na identidade.
Por que os gateways de IA não impedem isso
Os gateways de IA são excelentes na validação da autenticação. Eles verificam se a identidade que solicita acesso a um endpoint de modelo ou pipeline de treinamento contém o token correto e tem privilégios para o período definido pelos administradores e políticas de governança. Eles não verificam se essa identidade está se comportando de forma consistente com seu padrão histórico ou se está investigando aleatoriamente a infraestrutura.
Considere um desenvolvedor que normalmente consulta um modelo de conclusão de código duas vezes por dia, enumerando repentinamente cada modelo Bedrock na conta, desativando o registro primeiro. Um gateway de IA vê um token válido. ITDR vê uma anomalia.
UM postagem no blog da CrowdStrike ressalta por que isso é importante agora. Os grupos adversários que ele rastreia evoluíram de roubo de credenciais oportunistas para operadores de intrusão conscientes da nuvem. Eles estão migrando de estações de trabalho de desenvolvedores comprometidas diretamente para configurações IAM em nuvem, as mesmas configurações que governam o acesso à infraestrutura de IA. As ferramentas compartilhadas entre unidades distintas e o malware especializado para ambientes em nuvem indicam que isso não é experimental. É industrializado.
O escritório do CISO do Google Cloud abordou isso diretamente em seu Previsão de segurança cibernética de dezembro de 2025observando que os conselhos agora perguntam sobre a resiliência dos negócios contra ataques à velocidade das máquinas. A gestão de identidades humanas e não humanas é essencial para mitigar os riscos de sistemas não determinísticos.
Nenhuma lacuna separa o IAM computacional da infraestrutura de IA. Quando a identidade da nuvem de um desenvolvedor é sequestrada, o invasor pode alcançar pesos de modelo, dados de treinamento, endpoints de inferência e quaisquer ferramentas às quais esses modelos se conectam por meio de protocolos como o protocolo de contexto de modelo (MCP).
Essa conexão MCP não é mais teórica. OpenClaw, um agente autônomo de IA de código aberto que ultrapassou 180.000 estrelas do GitHub em uma única semana, conecta-se a e-mail, plataformas de mensagens, calendários e ambientes de execução de código por meio de MCP e integrações diretas. Os desenvolvedores estão instalando-o em máquinas corporativas sem uma análise de segurança.
A equipe de pesquisa de segurança de IA da Cisco chamou a ferramenta de “inovadora” do ponto de vista da capacidade e “um pesadelo absoluto” do ponto de vista da segurança, refletindo exatamente o tipo de infraestrutura de agente que uma identidade de nuvem sequestrada poderia alcançar.
As implicações do IAM são diretas. Em uma análise publicada em 4 de fevereiroElia Zaitsev, CTO da CrowdStrike, alertou que "uma injeção imediata bem-sucedida contra um agente de IA não é apenas um vetor de vazamento de dados. É um ponto de apoio potencial para movimentos laterais automatizados, onde o agente comprometido continua executando os objetivos do invasor em toda a infraestrutura."
O acesso legítimo do agente às APIs, bancos de dados e sistemas de negócios torna-se o acesso do adversário. Esta cadeia de ataque não termina no ponto final do modelo. Se uma ferramenta agente estiver atrás dele, o raio de explosão se estende a tudo que o agente pode alcançar.
Onde estão as lacunas de controle
Esta cadeia de ataque é mapeada em três estágios, cada um com uma lacuna de controle distinta e uma ação específica.
Entrada: Pacotes trojanizados entregues através do WhatsApp, LinkedIn e outros canais que não sejam de e-mail contornam totalmente a segurança do e-mail. A CrowdStrike documentou iscas com tema de emprego adaptadas a setores específicos, com o WhatsApp como principal mecanismo de entrega. A lacuna: a verificação de dependência captura o pacote, mas não a exfiltração de credenciais de tempo de execução. Ação sugerida: implanta monitoramento comportamental de tempo de execução em estações de trabalho de desenvolvedores que sinaliza padrões de acesso a credenciais durante a instalação de pacotes.
Pivô: Credenciais roubadas permitem a suposição de função do IAM invisível para a segurança baseada em perímetro. No caso documentado da FinTech Europeia pela CrowdStrike, os invasores migraram de um ambiente de desenvolvedor comprometido diretamente para configurações de IAM na nuvem e recursos associados. A lacuna: não existem linhas de base comportamentais para o uso da identidade na nuvem. Ação sugerida: Implante o ITDR que monitora o comportamento da identidade em ambientes de nuvem, sinalizando padrões de movimento lateral, como a travessia de 19 funções documentada na pesquisa da Sysdig.
Objetivo: A infraestrutura de IA confia na identidade autenticada sem avaliar a consistência comportamental. A lacuna: os gateways de IA validam tokens, mas não padrões de uso. Ação sugerida: implemente controles de acesso específicos de IA que correlacionem solicitações de acesso de modelo com perfis comportamentais de identidade e imponham o registro em log que a identidade de acesso não pode desabilitar.
Jason Soroko, pesquisador sênior da Sectigo, identificou a causa raiz: Olhe além da novidade da assistência de IA, e o erro mundano é o que a permitiu. As credenciais válidas são expostas em buckets públicos do S3. Uma recusa obstinada em dominar os fundamentos da segurança.
O que validar nos próximos 30 dias
Audite sua pilha de monitoramento IAM em relação a esta cadeia de três estágios. Se você tiver verificação de dependência, mas não tiver monitoramento comportamental em tempo de execução, poderá capturar o pacote malicioso, mas perder o roubo de credenciais. Se você autenticar identidades na nuvem, mas não definir o comportamento delas, não verá o movimento lateral. Se o seu gateway de IA verificar tokens, mas não padrões de uso, uma credencial sequestrada irá direto para seus modelos.
O perímetro não é mais onde essa luta acontece. Identidade é.
