Na semana passada, foi detectada uma intrusão preocupante em uma peça crítica do ecossistema DevOps: as imagens oficiais do repositório Docker checkmarx/kics Foram manipuladas por atores desconhecidos. Embora a pesquisa ainda esteja em curso, a informação disponível aponta para que etiquetas existentes foram sobrescritas e que se adicionou uma etiqueta que não corresponde a nenhuma versão legítima distribuída pelo projeto. Como resultado, equipes que confiaram nessas imagens para analisar infraestrutura como código poderiam ter exposto segredos e configurações sensíveis.
O problema não foi apenas uma mudança cosmética na imagem: o binário incluído com a ferramenta KICS apareceu alterado para incorporar capacidades de coleta e exfiltração de dados. De acordo com a análise técnica pública, a utilidade comprometida era capaz de criar um relatório de digitalização que incluía dados sem censura, cifrar e enviá-lo para um servidor remoto controlado pelos atacantes. Isso converte em risco real qualquer arquivo de Terraform, CloudFormation ou manifestos de Kubernetes que contivessem credenciais ou variáveis sensíveis e que tenham passado por essa versão manipulada.
Além disso, a investigação identificou indícios de que a afectação poderia ser alargada a outros canais oficiais de distribuição do mesmo fabricante. Foram assinaladas versões concretas de uma extensão do Microsoft Visual Studio Code que incorporavam um comportamento malicioso: downloadam e executavam código remoto através do runtime Bun usando um URL definido no código, sem pedir confirmação ao usuário ou verificar a integridade do conteúdo baixado. Isso reforça a hipótese de que não se trata de uma única imagem comprometida, mas de uma campanha mais ampla contra a cadeia de abastecimento.
O que as organizações em causa devem assumir? Em termos práticos, qualquer segredo que tenha passado por essas digitalizaçãos deve ser considerado possivelmente comprometido. A ex-filtração de relatórios de análise com dados sem filtrar significa que credenciais temporárias, chaves de serviços ou variáveis de ambiente utilizadas em modelos de IaC poderiam estar nas mãos de atacantes. Portanto, a ação imediata e prioritária é assumir a pior possibilidade e agir em conformidade.
As medidas urgentes a tomar incluem parar o uso das imagens suspeitas e rever pipelines e registos em busca de atividade anómala, rotar credenciais e segredos que possam ter sido expostos, e realizar uma avaliação forense dos sistemas que executaram essas imagens ou extensões afetadas. Também é recomendável reinstaurar imagens e binários de fontes verificadas e, sempre que possível, validar assinaturas ou checksums antes de sua implantação.
Se você procura recursos e boas práticas para lidar com este tipo de incidentes e fortalecer a defesa contra manipulações na cadeia de fornecimento, há documentação e guias públicos de referência. Organismos como a Agência de Segurança de Infra-estruturas e Cibersegurança dos EUA. EUA (CISA) recolhem avisos e recomendações sobre compromissos de cadeia de abastecimento ( https://www.cisa.gov), e projetos como SLSA fornecem um marco para fortalecer a integridade de artefatos e processos de construção ( https://slsa.dev). O GitHub também mantém recursos sobre como proteger os fluxos de fornecimento de software ( Guia de segurança da cadeia de fornecimento do GitHub).
No nível prático do dia a dia, convém verificar quais versões exatas foram usadas nos ambientes de CI/CD, verificar logs de network para transferências salientes a partir dos trabalhos de digitalização, e auditar extensões de IDE instaladas em estações de trabalho e agentes de construção. Se se identificam extensões com comportamento suspeito, o prudente é eliminar essas extensões e restaurar ambientes desde estados conhecidos e verificados. Para reduzir o risco para o futuro, a adoção de imagens assinadas, políticas de bloqueio de dependências externas sem verificação e controles de acesso mais restritivos em pipelines ajudam a atenuar a possibilidade de uma única imagem comprometida se tornar uma brecha maior.
O incidente também levanta uma reflexão mais ampla sobre a confiança que depositamos em artefatos de terceiros. Ferramentas executadas com permissões para inspeccionar infra-estruturas e configurações merecem um tratamento especial porque, por sua própria função, podem processar segredos. Implementar práticas como a digitalização local com binários verificados, o uso de ambientes isolados (sandboxing) para análise automatizada e a segmentação de credenciais em ambientes de teste pode reduzir o impacto se uma ferramenta for comprometida.
Finalmente, é importante seguir as comunicações oficiais do fornecedor e dos registradores de imagens. Nesses casos, os mantenedores e repositórios costumam arquivar ou retirar artefatos comprometidos e publicam instruções para a recuperação. Também é conveniente manter-se informado através de meios especializados e avisos de segurança para conhecer as versões afectadas, as correcções publicadas e os indicadores de compromisso (IOCs) que permitam procurar traços nos sistemas. Você pode revisar a página do repositório afetado em Docker Hub para o estado do repositório https://hub.docker.com/r/checkmarx/kics e consultar o site oficial do fornecedor para comunicados ou adesivos https://checkmarx.com.
Este tipo de incidentes lembra que a segurança moderna não depende apenas de uma ferramenta concreta, mas de como é administrada toda a cadeia que leva um artefato do desenvolvedor até a produção. Rodar segredos, verificar a origem de imagens e binários, e manter um plano de resposta a incidentes atualizado Deixam de ser boas práticas para se tornarem obrigações operacionais se quisermos minimizar os danos quando algo falha na cadeia de abastecimento.
Se você quiser, posso ajudá-lo a elaborar uma lista de controles concretos para aplicar na sua pipeline CI/CD ou preparar uma mensagem técnica para a sua equipe explicando os passos imediatos a seguir e como procurar sinais de compromisso em logs e repositórios.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...