O elo mais fraco não é onde você imagina
Imagine que as ferramentas que você utiliza para validar a segurança do seu código são, na verdade, a porta de entrada para um exfiltração massiva de dados. Em março de 2026, a Checkmarx enfrentou exatamente esse cenário. O ataque não começou com um phishing tradicional ou uma falha de software direta, mas sim através de uma infiltração sofisticada na cadeia de suprimentos que comprometeu o Trivy e, consequentemente, as GitHub Actions da própria empresa.
O Contexto: A Confiança Implícita no Pipeline
A relevância desse incidente reside na quebra de confiança em artefatos de terceiros. Muitas organizações tratam imagens Docker e ações de CI/CD como entidades seguras por natureza. No entanto, o grupo TeamPCP demonstrou que, ao comprometer a origem, o efeito cascata é inevitável. O ataque à cadeia de suprimentos não é mais uma ameaça teórica, é um vetor de exploração ativo que contorna perímetros defensivos convencionais.
Como o Ataque Acontece na Prática
A execução técnica seguiu um fluxo lógico de escalonamento de privilégios e movimentação lateral. Em 19 de março, o grupo injetou malware em artefatos oficiais do Trivy. Este malware operava como um credential stealer altamente específico, projetado para extrair tokens e segredos diretamente da memória dos runners de CI/CD. Diferente de ataques que buscam arquivos de configuração estáticos, a raspagem de memória permite capturar segredos temporários e tokens de acesso que muitas vezes possuem permissões amplas.
Com os tokens em mãos, os atacantes comprometeram os workflows checkmarx/ast-github-action e checkmarx/kics-github-action. Isso permitiu que o código malicioso fosse executado dentro do ambiente de desenvolvimento da Checkmarx, garantindo permissões de escrita (push/commit) em repositórios privados. O resultado foi a exfiltração de 96 GB de dados, incluindo código-fonte interno e credenciais de bancos de dados como MongoDB e MySQL.
Impacto para as Organizações
As consequências vão além da perda imediata de propriedade intelectual. A exposição de chaves de API e scripts de automação interna compromete a integridade de futuros builds e pode levar a uma queda drástica na confiança de clientes e parceiros. Embora a Checkmarx afirme que o ambiente de produção não foi afetado, o custo operacional de remediação, auditoria forense e rotação global de segredos é imenso.
Como Defender seu Ambiente
Para mitigar riscos semelhantes, medidas reativas não são suficientes. É necessário adotar uma postura de segurança ofensiva.
- Implemente a fixação de versões de GitHub Actions através de hashes SHA em vez de tags mutáveis.
- Utilize Runners efêmeros e isolados que limpam a memória após cada execução.
- Adote o princípio de privilégio mínimo para tokens de CI/CD, limitando o escopo estritamente ao necessário para o job.
- Monitore comportamentos anômalos em workflows, como acessos a repositórios não relacionados ou tráfego de saída incomum.
Visão Antisec: A Experiência em Red Team
Em nossas operações de Red Team e simulações de adversários, frequentemente exploramos o excesso de confiança em ferramentas de automação. Já simulamos cenários onde o sequestro de um único token de automação permitiu o acesso total ao código-fonte de uma corporação. A falha da Checkmarx reforça o que defendemos na prática: a segurança deve ser validada continuamente através de testes de intrusão que olham para o pipeline como um todo, e não apenas para o código final.
Conclusão
O ataque à Checkmarx é um lembrete severo de que sua infraestrutura de build é um alvo tão valioso quanto seu produto final. A urgência em auditar e endurecer seus pipelines de CI/CD nunca foi tão crítica. Se você não está testando a resiliência da sua cadeia de suprimentos, alguém está fazendo isso por você agora mesmo.
Proteja sua infraestrutura com quem entende de ataque
Sua empresa está preparada para um comprometimento via supply chain? A Antisec oferece avaliações de segurança ofensiva especializadas em AppSec e infraestrutura de desenvolvimento. Entre em contato conosco para uma avaliação técnica e garanta que suas ferramentas de segurança não sejam o seu maior risco.
