Um comandante militar sênior dos EUA emitiu um aviso gritante sobre os esforços coordenados de adversários estrangeiros para comprometer a infraestrutura digital da América por meio de vulnerabilidades de software de código aberto. O general Paul M. Nakasone, comandante do Comando Cibernético dos EUA, testemunhou perante o Comitê de Serviços Armados do Senado que a China e a Rússia estão inserindo ativamente o código malicioso em software publicamente disponível utilizado em setores críticos dos EUA.
O software de código aberto direcionado forma a espinha dorsal de operações dentro de vários setores vitais da infraestrutura americana. O general Nakasone enfatizou que esses programas comprometidos são “amplamente utilizados pelo setor militar, governamental e privado dos EUA”, criando vulnerabilidades sistêmicas. A transparência inerente do software de código aberto-sendo acessível ao público e modificável por qualquer pessoa-o torna particularmente suscetível a essa infiltração do estado-nação, apesar de sua adoção generalizada em sistemas essenciais, incluindo redes de energia e redes de telecomunicações.
“Estamos vendo isso de várias maneiras diferentes”, afirmou Nakasone durante a audiência. “Estamos vendo nossos adversários, em particular a China e a Rússia, [engaging] Na inserção de código malicioso em software de código aberto. ” O general enfatizou a natureza sofisticada dessas operações secretas, que visam estabelecer pontos de acesso persistentes nos ecossistemas digitais americanos.
Essa revelação se baseia em preocupações aumentadas sobre a segurança da cadeia de suprimentos de software após o devastador ataque de cyberattack 2020 Solarwinds. Esse incidente, atribuído a hackers russos patrocinados pelo Estado, comprometeu redes em várias agências governamentais e corporações privadas dos EUA, explorando mecanismos de atualização de software confiáveis. A violação expôs as fraquezas fundamentais na maneira como as organizações verificam os componentes de software de terceiros.
O governo dos EUA intensificou seu foco em garantir a cadeia de suprimentos de software nos últimos anos. Essas preocupações culminaram nas pedidos executivos do Presidente Biden em maio de 2025 que determinam melhorias abrangentes de segurança cibernética, com disposições específicas que abordam as vulnerabilidades da cadeia de suprimentos. A ordem estabeleceu padrões aprimorados de segurança para software vendidos ao governo federal e criou requisitos mais rigorosos de relatórios para incidentes cibernéticos.
Nakasone descreveu a ameaça atual como sendo levada “extraordinariamente a sério” nos níveis mais altos do governo. O comando cibernético está colaborando extensivamente com parceiros do setor privado para identificar e neutralizar o código malicioso implantado. “Estamos trabalhando em estreita colaboração com nossos parceiros do setor privado para poder identificar isso”, confirmou ele, destacando o papel essencial da colaboração do setor na defesa cibernética nacional.
O general pediu especificamente medidas de proteção reforçada em torno da cadeia de suprimentos de software da América, rotulando as salvaguardas atuais insuficientes contra atores sofisticados do Estado-nação. Ele observou que os adversários exploram a natureza interconectada do desenvolvimento moderno de software, onde os componentes de código aberto são rotineiramente integrados a produtos comerciais e sistemas governamentais, sem verificação de segurança completa.
Nakasone enquadrou o desafio como global em escala, enfatizando que a ação unilateral seria insuficiente. “Este é um desafio global, e precisamos trabalhar juntos para resolvê -lo”, afirmou, defendendo alianças fortalecidas para combater coletivamente ameaças digitais. O envolvimento da China e da Rússia indica uma convergência estratégica entre adversários cibernéticos que exigem políticas internacionais de segurança cibernética coordenadas e compartilhamento de inteligência.
Os analistas de segurança observam que os compromissos de código aberto representam um multipliente de força para países hostis, permitindo que eles visam simultaneamente milhares de organizações por meio de vulnerabilidades de ponto único. Ao contrário dos ataques cibernéticos tradicionais que exigem penetração individual de rede, os componentes de software envenenados podem distribuir automaticamente malware a todos os usuários durante atualizações de rotina.
O aviso ressalta a natureza em evolução da guerra cibernética, onde os ataques ocorrem cada vez mais muito antes da detecção por meio de ferramentas de desenvolvimento comprometidas e dependências de software. Os especialistas em segurança cibernética observam que essas táticas refletem uma mudança estratégica em direção ao “pré-posicionamento” nos ecossistemas de software para permitir futuras operações disruptivas.
As agências federais estão desenvolvendo novas estruturas para validar a integridade do software, incluindo os requisitos aprimorados de assinatura de código e a implementação da Lei de Materiais (SBOM). A administração também está considerando incentivos para que os mantenedores de código aberto adotem práticas de segurança aprimoradas, reconhecendo que muitos projetos críticos operam com recursos limitados, apesar de sua implantação generalizada em infraestrutura crítica.
À medida que as ameaças para as fundações digitais da América continuam evoluindo, o testemunho destaca a necessidade urgente de estratégias abrangentes que preenchem o setor governamental, privado e os esforços internacionais para garantir o cenário da cadeia de suprimentos de software cada vez mais complexo contra ameaças sofisticadas do estado-nação.
Source: Pentágono: software de código aberto sob ataque por adversários estrangeiros
