Socket atinge US$ 1 bilhao de avaliacao com rodada de US$ 60 milhoes focada em seguranca de dependencias npm e PyPI
A Socket captou US$ 60 milhoes em Serie C liderada pela Thrive Capital no dia em que a GitHub confirmou invasao via npm adulterado, tornando-se a primeira unicornio especializada em seguranca de dependencias de software.
A Socket, startup americana fundada em 2020 e especializada em segurança de dependências de software, anunciou nesta quinta-feira, 21 de maio, uma rodada Série C de US$ 60 milhões liderada pela Thrive Capital, com participação de Andreessen Horowitz, Abstract Ventures e Capital One Ventures. A rodada eleva o total captado pela empresa a US$ 125 milhões e estabelece avaliação de US$ 1 bilhão, tornando a Socket a primeira empresa a atingir status de unicórnio focada exclusivamente em segurança de dependências de software em registros como npm e PyPI.
O anúncio ocorreu na mesma tarde em que a GitHub confirmou que 3.800 repositórios internos foram comprometidos por meio de uma extensão adulterada do VS Code, cuja cadeia de ataque remonta a pacotes npm do TanStack comprometidos pelo grupo TeamPCP. A coincidência de datas não é fortuita: a demanda por proteção nessa camada específica da cadeia de desenvolvimento de software raramente esteve tão visível para conselhos de administração e CISOs.
O que a plataforma faz
A Socket monitora pacotes npm, PyPI e outros registros de código aberto em busca de comportamento malicioso antes que as dependências sejam incorporadas a projetos. O sistema analisa código novo no momento da publicação, identificando padrões suspeitos como acesso incomum a variáveis de ambiente, comandos de shell não declarados e tentativas de exfiltração de dados. Segundo a empresa, a plataforma bloqueia mais de 1.000 ataques por semana.
A diferença em relação a scanners tradicionais de vulnerabilidade é precisa: ferramentas como Dependabot ou npm audit operam sobre bancos de dados de CVEs conhecidos, respondendo a vulnerabilidades já catalogadas. A Socket analisa o comportamento do código novo antes que qualquer CVE seja atribuído, posicionando-se mais próxima de um sistema de detecção por comportamento do que de um banco de assinaturas. Esse modelo é particularmente relevante para ataques como o Mini Shai-Hulud, que publicou 84 artifacts maliciosos em 42 pacotes @tanstack antes que qualquer scanner baseado em CVE pudesse detectá-los.
Quem investiu e por que
A Thrive Capital, que também figura entre os principais acionistas da OpenAI, liderou a rodada. O envolvimento da Thrive em infraestrutura de modelo de IA e em segurança de supply chain de software reflete a tese de que a expansão acelerada do desenvolvimento baseado em IA aumenta estruturalmente a superfície de ataque na camada de dependências: quanto mais agentes de IA consomem pacotes open source para executar tarefas de codificação, maior o incentivo para que atacantes comprometam esses pacotes.
A participação do Capital One Ventures distingue essa rodada de investimentos anteriores em segurança de software. Bancos e seguradoras que adotaram ciclos ágeis de desenvolvimento e utilizam npm como registro principal enfrentam os mesmos riscos que atingiram GitHub e Grafana: uma única dependência comprometida em uma pipeline de CI/CD pode escalar para acesso a sistemas de produção. O interesse de instituições financeiras em soluções de segurança de código aberto sinaliza que o risco de cadeia de suprimentos de software saiu da esfera técnica e passou a ser tratado como risco operacional de primeiro nível.
O que muda para equipes de desenvolvimento corporativo
Para CISOs de empresas com grandes bases de código que dependem de registros públicos de pacotes, a Socket oferece uma camada de análise pré-integração que complementa, mas não substitui, ferramentas de composição de software já em uso. A rodada de US$ 60 milhões financia expansão de cobertura para novos registros além de npm e PyPI, desenvolvimento de integrações nativas com pipelines de CI/CD e contratação de equipe de pesquisa de ameaças.
Para firmas de consultoria que entregam projetos de desenvolvimento com dependências de código aberto, a questão prática é de responsabilidade: após incidentes como o TanStack, clientes corporativos tendem a incluir cláusulas de auditoria de dependências em contratos de desenvolvimento. A capacidade de demonstrar que o pipeline de CI/CD está protegido por análise comportamental de pacotes, e não apenas por varreduras de CVEs conhecidos, torna-se um diferencial na proposta de valor.
O timing do investimento segue um padrão histórico bem documentado: rodadas significativas em segurança de supply chain de software tendem a concentrar-se após incidentes de grande visibilidade. Após o Log4Shell em dezembro de 2021, o mercado de software bill of materials e de análise de composição de software cresceu 340% em dois anos, segundo dados da Gartner. O ataque ao TanStack e seus efeitos em cascata sobre GitHub e Grafana representam o catalisador mais visível do ciclo atual.