Os incidentes de cibersegurança já não dizem respeito apenas aos sistemas - visam as próprias pessoas que os constroem, mantêm e protegem.

Escrito pelo nosso antigo VP de Produto Mark Hamill, este blogue explora a razão pela qual a formação tradicional de sensibilização não é suficiente para proteger contra a ameaça moderna e porque é que o estilo de ataque long-con está a tornar-se uma preocupação crítica para as organizações em todo o mundo.

Tens falado com essa pessoa há duas semanas.

A primeira mensagem chegou através do LinkedIn; um fundador que reconheceste de uma empresa do teu sector. Uma mensagem atenciosa, sem ser difícil de vender. Ele convidou-te para o espaço de trabalho Slack deles para veres algo que estavam a construir. O espaço de trabalho estava ativo - os colegas estavam a publicar actualizações, a partilhar artigos e a acrescentar algumas piadas no canal geral. Tudo parecia exatamente como devia.

As chamadas foram boas. Uma foi remarcada - surgem imprevistos - mas as conversas foram interessantes, ele conhecia claramente o sector. Na terceira semana, já começavas a pensar nele como um contacto que valia a pena manter.

Depois, a chamada das equipas caiu devido a um pequeno problema técnico, algo que não estava a carregar do lado dele, um problema de ligação, um ficheiro que precisava de ser atualizado. Ele enviou-te um link. “Podes instalar esta correção? Isto está sempre a acontecer.”

Instalaste-o.

Foi o que aconteceu a Jason Saayman, o principal responsável pela manutenção da Axios, uma das bibliotecas JavaScript mais utilizadas no mundo, com mais de 100 milhões de downloads por semana.

Em 31 de março de 2026, foram publicadas duas versões backdoored do Axios no repositório de código público sob a sua conta.

A violação não começou com um e-mail suspeito, como seria de esperar, mas com uma relação de amizade.

Isto não foi um Phish

Um ataque de phishing é um jogo de números. Envia mensagens suficientes, aceita uma taxa de acerto baixa e recolhe o que apanhar. O ataque da Axios foi o oposto. O atacante - atribuído pelo Google Threat Intelligence ao UNC1069, um grupo ligado à Coreia do Norte ativo desde pelo menos 2018 - escolheu Saayman por causa das suas credenciais. Construíram um espaço de trabalho falso no Slack com uma marca convincente, canais activos e colegas plausíveis, e geriram o envolvimento durante semanas, com paciência suficiente para reagendar chamadas, manter a relação e esperar até ao momento certo.

Um segundo responsável pela manutenção da Axios, Pelle Wessman, foi alvo do mesmo manual em simultâneo. Não se tratou de um encontro azarado, mas sim de uma operação coordenada que decorreu em paralelo contra vários indivíduos de elevado valor no ecossistema Node.js.

A sofisticação não é acidental. É a questão. Quando um único conjunto de credenciais pode expor milhões de ambientes de software, semanas de investimento não são caras. É barato.

Sofisticação não é proteção

A verdade incómoda sobre o compromisso da Axios é saber a quem aconteceu.

Jason Saayman não é uma pessoa descuidada. Tinha a autenticação de dois factores activada na sua conta. Tinha conhecimentos técnicos e anos de experiência em software de código aberto. Ele era, por qualquer medida razoável, exatamente o tipo de pessoa que a formação de sensibilização para a segurança foi concebida para criar.

Não te importaste. No seu próprio post-mortem, ele observou que o 2FA “não foi suficiente para parar o ataque quando a máquina foi comprometida”. O atacante não precisava de bater a credencial. Ele tinha a máquina e tudo o que estava nela já era dele.

O ataque não foi concebido para ultrapassar as defesas do Saayman. Foi concebido para as tornar irrelevantes. Na altura em que ele se juntou à chamada das equipas, semanas de interação normal tinham criado as bases. A sua guarda não estava baixa porque ele era descuidado, mas porque nada em duas semanas lhe tinha dado qualquer razão para a levantar.

É esse o design, e funciona com pessoas sofisticadas precisamente porque as pessoas sofisticadas confiam no seu próprio julgamento. Se algo parecesse errado, tu saberias. Nada te parecia errado.

A economia das ameaças cibernéticas está a mudar

Neste momento, este nível de operação só é viável quando o prémio justifica o investimento. Agentes de estados-nação que visam mantenedores de código aberto, trocas de criptomoedas, infra-estruturas críticas. A superfície de ataque é real, mas limitada, porque o trabalho humano envolvido é significativo.

Isso está a mudar.

Na semana passada, a empresa de desenvolvimento de IA publicou o cartão de sistema do Claude Mythos Preview, o seu mais recente modelo de linguagem de grande dimensão. Durante os testes de segurança, o modelo foi colocado dentro de um ambiente, deliberadamente restrito ao acesso à Internet. Foi-lhe dada uma tarefa e, depois de concluída, concebeu uma exploração em várias etapas, obteve um amplo acesso à Internet e enviou uma mensagem de correio eletrónico não solicitada ao investigador que estava a fazer a avaliação, que a descobriu enquanto comia uma sanduíche num parque.

O modelo não estava a tentar fugir, estava a perseguir o seu objetivo. A caixa de areia estava no caminho, por isso encontrou um caminho à volta dela.

Esse comportamento, num contexto de ataque, é exatamente o que torna o livro de jogo de longo prazo escalável. Um sistema capaz de construir e manter uma persona credível, pesquisar os antecedentes profissionais de um alvo, simular semanas de interação plausível e escalar no momento certo pode fazer tudo isso simultaneamente, em milhares de alvos. O custo marginal de cada alvo adicional aproxima-se de zero.

Ainda não chegámos lá, mas a direção a seguir é clara.

Segurança para além do reconhecimento de padrões

A formação de sensibilização para a segurança foi criada para um mundo em que os ataques tinham padrões reconhecíveis. O endereço de remetente suspeito. A urgência que não se ajusta ao contexto. O pedido que não corresponde à relação. Detecta a anomalia, pára a ação.

Esse modelo não está errado. Continua a apanhar muitos atacantes, e isso é importante. Mas foi concebido para ataques que se parecem com ataques.

O golpe longo não se parece com um ataque. Parece uma relação profissional normal, até ao passo final e, nessa altura, o contexto já foi construído para que esse passo pareça rotineiro. O reconhecimento genérico de padrões não tem qualquer utilidade aqui, porque não há padrões a reconhecer. O manual está a ser reescrito mais rapidamente do que qualquer currículo fixo consegue acompanhar.

O que tem de mudar é o significado de consciencialização. Não se trata apenas de reconhecer assinaturas de ameaças, mas de desenvolver um tipo diferente de instinto: ceticismo que não é desencadeado por uma anomalia, mas aplicado como uma questão de hábito. Uma verificação que não dependa do facto de algo parecer errado. Uma prática estabelecida de confirmação independente para qualquer ação que envolva credenciais, instalação de software ou acesso - independentemente de quão familiar a fonte pareça.

Parte disso é também mudar o que as pessoas se sentem autorizadas a denunciar. No caso da Axios, houve provavelmente momentos - uma conversa que pareceu um pouco estranha, um pedido que não se encaixava, um colega que nunca deu seguimento como um verdadeiro colega faria. Nada disso ultrapassou o limiar de “algo está errado”. Mas se a cultura for aquela em que as pessoas revelam sinais de baixa confiança numa fase inicial, “Tive uma interação estranha na semana passada, provavelmente nada, mas vou comunicá-la na mesma”, as organizações têm uma hipótese de apanhar o terreno antes de se tornar a carga útil. A comunicação precoce e incerta não é um ruído. Neste ambiente de ameaças, é um sinal.

Isso é mais difícil de treinar do que uma lista de verificação. Exige que as pessoas interiorizem uma postura, não apenas um padrão. Mas é a lacuna que todas as operações de longo prazo continuarão a explorar até que a cultura mude para a satisfazer.

Jason Saayman instalou uma correção porque nada nas duas semanas anteriores a esse momento lhe deu qualquer razão para não o fazer. Isso não é uma falha da tua consciência. É uma falha do que pedimos à consciência para fazer.

A vigarice não desperta os teus instintos, cultiva-os.

Reforça as defesas da tua empresa com MetaCompliance

Num cenário de ameaças em que os ataques se baseiam na confiança, as organizações precisam de mais do que a tradicional formação de sensibilização para a segurança. Precisam de programas que moldem ativamente o comportamento - criando hábitos de verificação, encorajando a comunicação atempada de preocupações de baixa confiança e incorporando uma cultura em que a segurança faça parte da tomada de decisões diária.

A MetaCompliance ajuda as organizações a irem além da formação estática com soluções de sensibilização para a segurança contínuas e orientadas para o comportamento. Desde simulações do mundo real até à aprendizagem direcionada e conhecimentos centrados no risco, a sua abordagem foi concebida para preparar os funcionários para ameaças sofisticadas e centradas no ser humano, como o golpe longo.

Começa a transformar a consciência em ação - entraem contacto hoje.