News13 MaioAlerta: ataque grande contra programadores agora
Edição #91·13 de maio de 2026·2 min

🚨Alerta: ataque grande contra programadores agora

Se você não programa, pode pular essa. Mas conta pro programador da família. --- O npm é uma espécie de mercado gratuito onde quem programa baixa peças prontas pra montar os próprios programas. Quase toda app que você usa na internet (Instagram, Uber, Netflix) tem peças baixadas dali. Alguém colocou veneno em várias dessas peças hoje. --- Quem baixar nas próximas horas pode pegar um software malicioso que rouba senha, código de empresa ou abre porta no computador. O Ryan Carson, investidor que acompanha segurança, soltou o aviso na manhã de hoje. Se você programa: segura os dedos antes de rodar `npm install`. Se usa Claude Code ou Cursor pra programar com IA, pergunta pro agente se você foi afetado. Ele consegue checar. --- É o terceiro ataque grande desse tipo em seis meses. O alvo é sempre o mesmo: invadir um programador, não a empresa direto. Programador hoje virou a porta mais fácil.

O que aconteceu

Um ataque massivo está em andamento no ecossistema npm nesta terça-feira. Desenvolvedores estão sendo orientados a não instalar nenhum novo pacote até que a situação seja avaliada. A recomendação parte de Ryan Carson, investidor e figura conhecida no ecossistema de segurança de software, que soltou o alerta pela manhã.

O que é o npm e por que isso importa

O npm (Node Package Manager) é o maior registro de pacotes de código aberto do mundo. Praticamente toda aplicação moderna baseada em JavaScript ou TypeScript — incluindo Instagram, Uber e Netflix — depende de bibliotecas baixadas desse repositório. Quando um desenvolvedor roda `npm install`, ele está incorporando centenas de dependências externas ao projeto.

Isso que torna o ataque particularmente perigoso: a cadeia de suprimentos de software (supply chain) foi comprometida. Em vez de atacar uma empresa específica, os invasores inseriram código malicioso em bibliotecas amplamente utilizadas, esperando que desenvolvedores as baixem naturalmente durante o desenvolvimento.

Como o ataque funciona

O malware inserido nos pacotes tem capacidade de roubar credenciais, extrair código proprietario das empresas e estabelecer persistência nos sistemas comprometidos. Para desenvolvedores que utilizam ferramentas de IA para programação — como Claude Code ou Cursor — o risco é ainda mais direto, já que essas ferramentas frequentemente executam código automaticamente durante o fluxo de trabalho.

Este é o terceiro ataque significativo a registros de pacotes em seis meses. A tendência mostra uma mudança de estratégia: invasores miram o desenvolvedor individual como ponto de entrada, não a infraestrutura corporativa direta.

O que devs brasileiros devem fazer

  • Suspender imediatamente qualquer instalação de novos pacotes npm
  • Verificar dependências já instaladas em projetos ativos
  • Usar ferramentas como `npm audit` para identificar vulnerabilidades conhecidas
  • Consultar o agente de IA utilizado (se for o caso) para verificar se há indicadores de comprometimento
  • Monitorar comunicados oficiais do npm e equipes de segurança

O alerta permanece ativo enquanto equipes de segurança investigam a extensão do comprometimento. Para o ecossistema brasileiro de desenvolvimento, onde o uso de Node.js e suas ferramentas é padrão em startups e projetos de tecnologia, a atenção deve ser redobrada nas próximas horas.

npmataquepacotescódigoferramentasecossistemadesenvolvedoressegurançaestánão

Mais da mesma edição

@demishassabis

💊Google joga US$ 2,1 bilhões em remédios feitos com IA

A Isomorphic Labs é a empresa do Google que tenta usar IA pra inventar remédios. É comandada pelo Demis Hassabis, mesmo cara que ganhou o Nobel de Química em 2024 pelo AlphaFold (programa que descobriu o formato de quase toda proteína do corpo humano em pouco tempo). Acabou de receber mais US$ 2,1 bilhões pra continuar. --- Por que importa: hoje, criar um remédio novo custa em média US$ 2,6 bilhões e leva 12 anos. Nove em cada dez tentativas dão errado no caminho. A aposta da Isomorphic é simples. Se a IA conseguir prever com mais força quais moléculas vão funcionar nos humanos, esses números desabam. --- Não é especulação de slide de Vale do Silício. Já tem dois remédios da Isomorphic em teste com pacientes reais. Se um único deles funcionar, paga a rodada inteira com sobra. E muda o ritmo da indústria farmacêutica que mexe com câncer, Alzheimer, autoimunes.

@demishassabis

@emollick

🎓OpenAI tirou o modo de estudo do ChatGPT sem avisar

O Ethan Mollick, professor americano que pesquisa como IA afeta a educação, denunciou que a OpenAI tirou um recurso importante do ChatGPT: o Study Mode. --- O Study Mode era um jeito do ChatGPT virar professor particular. Em vez de cuspir a resposta da prova, ele puxava o aluno pra pensar, fazia pergunta de volta, sugeria caminho. Tipo um tutor que não entrega o trabalho de mão beijada. --- A OpenAI não explicou por que tirou. Mollick chama de erro grande, e tem razão: tem estudo recente mostrando que aluno que usa IA pra "estudar" sem freio aprende menos. O modelo entrega a resposta pronta, o aluno acha que aprendeu, mas só copiou. --- Pra quem tem filho ou irmão usando ChatGPT pro dever de casa: peça pra IA explicar passo a passo, não dar a resposta final. Ou troca pra Claude e Gemini, onde modos parecidos continuam funcionando.

Receba no seu email

Todo dia, grátis pra sempre.

Assinar newsletter