A publicação de uma versão manipulada do plugin Jenkins AST associada ao Checkmarx volta a colocar sobre a mesa a ameaça mais perigosa do momento: o abuso da confiança na cadeia de fornecimento de software. De acordo com as informações que a própria empresa emitiu, existiu uma versão maliciosa e Checkmarx indicou que os usuários devem assegurar-se de estar na versão segura 2.0.13-829.vc72453fa_1c16(publicada em 17 de dezembro de 2025) ou na release posterior que a empresa publica oficialmente; na elaboração deste texto, a assinatura já começou a distribuir uma versão rectificada adicional ( 2.0.13-848.v76e89de8a_053) tanto no seu repositório quanto no Marketplace de Jenkins. Para revisar e baixar plugins do canal oficial, convém usar a web do ecossistema Jenkins: https://plugins.jenkins.io/.
O ator atribuído ao ataque, conhecido como TeamPCP, demonstrou um padrão de operações consistente: acesso não autorizado a repositórios, publicações manipuladas e substituição temporária de componentes legítimos por malware desenhado para roubar credenciais e segredos de desenvolvedores. Há semanas, o mesmo grupo foi apontado em incidentes contra imagens Docker, extensões de VS Code e fluxos de trabalho do GitHub Actions, e essas invasões derivaram em compromissos de pacotes consumidores como um pacote npm usado pela CLI de Bitwarden. A repetição da intrusão sugere persistência ou falha de remediação — quer porque não se rotaram credenciais críticas ou porque se manteve acesso encoberto — e obriga organizações e desenvolvedores a assumir que qualquer elemento da cadeia de abastecimento poderia estar afetado.
Se a sua organização usar o plugin afetado, o primeiro passo é Actualizar imediatamente à versão mais recente verificada publicada pela Checkmarx em fontes oficiais e não confiar em atualizações que possam chegar por canais não verificados. Após a atualização, assume que os segredos acessíveis ao plugin podem ter sido comprometidos: procede a rotar Tokens, chaves e credenciais que o plugin pudesse usar (incluindo credenciais CI/CD, tokens de repositório e API keys), revisa logs e traços de implantação em busca de atividade incomum e auditora imagens e artefatos gerados pelos pipelines durante o período de exposição.
Para reduzir o risco no futuro é imprescindível adicionar controles técnicos e de governança: limitação de privilégios de plugins e contas de serviço, uso de tokens efêmeros em pipelines, restrições de egress/networking a destinos não autorizados, revisão e assinatura de artefatos antes de publicá-los e políticas rigorosas de acesso a repositórios com autenticação multifator e rotação de credenciais. As boas práticas de segurança na cadeia de abastecimento e o guia do GitHub sobre a matéria podem ser um bom ponto de partida para projetar controles: https://docs.github.com/en/code-security/supply-chain-security.
Além das medidas técnicas, existem passos operacionais concretos que convém tomar: validar a integridade dos binários ou dos pacotes baixados (checksums/firmas), verificar o histórico e os ramos do repositório do plugin em busca de commits e tags suspeitos, e coordenar com o fornecedor para obter indicadores de compromisso (IOCs) e um relatório detalhado. Se detectar sinais de exfiltração ou de execução de payloads não autorizados, actua como se a infraestrutura tivesse sido comprometida e ativa os processos de resposta a incidentes, incluindo notificação a partes afetadas e serviços de mitigação.
Por último, os mantenedores de projetos e equipamentos de segurança devem rever seus procedimentos internos: restringir quem pode publicar releases, exigir revisões e verificações automatizadas antes de publicar artefatos, habilitar alertas ante mudanças súbitas na metadata de repositórios e educar os desenvolvedores no risco que supõe instalar extensões de terceiros sem validação. A comunidade também pode contribuir para a revisão e monitoração de plugins críticos; a segurança da cadeia de fornecimento é um problema coletivo e a informação compartilhada por especialistas e assinaturas independentes ajuda a detectar e conter campanhas como a atribuída ao TeamPCP. Para ampliar a informação sobre Checkmarx e seguir suas comunicações oficiais visita https://checkmarx.com/ Fique atento aos avisos do provedor e do ecossistema Jenkins.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...