A GitHub anunciou em 9 de junho a chegada do npm v12, nova versão do gerenciador de pacotes mais usado no ecossistema JavaScript. A mudança chega em julho de 2026 e tem um objetivo claro. Dificultar ataques à cadeia de suprimentos de software.
Basicamente, a atualização muda o jeito como o npm lida com pacotes de terceiros. Até agora, o sistema confiava automaticamente em quase tudo que era instalado. A partir de agora, várias ações precisam de aprovação explícita do desenvolvedor.
O que muda na prática
A primeira mudança bloqueia a execução automática de scripts durante a instalação. Isso porque comandos como preinstall, install e postinstall rodavam sozinhos assim que o pacote era baixado, o que dava espaço para código malicioso agir imediatamente.
A segunda mudança bloqueia dependências vindas de URLs do Git configuradas pelo usuário. Essa era uma forma de atacantes contornarem o bloqueio dos scripts usando configurações alternativas do Git.
A terceira mudança impede que pacotes sejam baixados diretamente de URLs externas ou arquivos tarball via HTTPS. Com isso, o npm passa a exigir que tudo venha dos repositórios oficiais, a menos que o desenvolvedor libere isso manualmente.
Como os desenvolvedores podem se preparar
Quem já usa a versão 11.16.0 ou mais recente do npm começa a receber avisos sobre esses comportamentos antes mesmo da mudança virar padrão. Também existe o novo comando npm approve-scripts, que permite auditar as dependências do projeto e criar uma lista de permissões direto no arquivo package.json.
Especialistas têm opiniões diferentes sobre o impacto
Isaac Evans, CEO da Semgrep, apoiou a decisão e disse que a economia dos ataques à cadeia de suprimentos mudou. Worms como o Miasma não precisam de uma taxa de sucesso alta. Eles são baratos de modificar e fáceis de repetir, o que torna defesas estruturais mais importantes do que depender de cada desenvolvedor individualmente.
Evans também alertou para um efeito colateral. Se o npm e o PyPI fecharem essas portas, atacantes podem migrar para repositórios corporativos privados, como Artifactory e Nexus, em busca da próxima camada de confiança.
Já o pesquisador Paul McCarty, conhecido como 6mile, fez um alerta mais cauteloso. Em análise publicada em 10 de junho no site Open Source Malware, ele reconheceu que o GitHub está corrigindo falhas antigas, mas questionou se a adoção será rápida o suficiente.
Segundo McCarty, como o objetivo principal de um desenvolvedor é fazer o projeto funcionar, muitos vão simplesmente aprovar os scripts bloqueados sem analisar o motivo do bloqueio. Quando a escolha é entre “isso compila” e “isso é mais seguro”, a primeira opção tende a vencer.
Ele também apontou outro problema. Pacotes legítimos podem passar a usar soluções alternativas parecidas com as usadas por malware, o que dificulta a triagem entre o que é apenas estranho e o que é realmente perigoso.
Acompanhe o TecMundo nas redes sociais. Inscreva-se em nossa newsletter e canal do YouTube.