Dois anos após o xz-utils: o que os scanners de CVE ainda não conseguem detectar

03 de junho de 2026

Resumo

A CVE-2024-3094 não foi uma falha de código — foi uma violação de confiança. O atacante Jia Tan levou dois anos conquistando direitos de commit até inserir um backdoor nas macros autotools m4 dos arquivos de release do xz-utils. O repositório git permaneceu íntegro, tornando o ataque invisível para scanners de CVE até que um engenheiro percebesse uma latência de 500ms no SSH. O problema estrutural persiste: análise baseada em CVE apenas confirma se uma versão é conhecida como vulnerável — não se o pacote é seguro, padrão que se repetiu no lottie-player e no Solana web3.js. A defesa recomendada inclui fixar dependências diretas, revisar rigorosamente lockfile-diffs em todo PR, assinar feeds como o OSV e pausar atualizações quando surgirem sinais de mudança de mantenedor — novos e-mails, chaves de assinatura ou lançamentos atípicos.

Avalie este artigo:

Categoria: CEVIU Segurança da Informação
Publicado: 03 de junho de 2026
Fonte: CEVIU Segurança da Informação

Quer receber mais sobre CEVIU Segurança da Informação?