Um compromisso da cadeia de abastecimento atingiu uma ferramenta concebida para melhorar a segurança: as imagens Docker e as extensões de VS Code/Open VSX do scanner aberto Checkmarx KICS foram cortadas para roubar segredos Desde ambientes de desenvolvimento. O KICS, usado localmente para analisar infra-estruturas como código, processa arquivos e variáveis que frequentemente contêm tokens, chaves e configurações sensíveis; converter esse vetor em objetivo primário deixa equipamentos e organizações expostos a fugas automáticas de credenciais e arquitetura interna.
De acordo com a pesquisa pública do incidente e o aviso da própria Checkmarx, os atacantes introduziram um componente escondido – referido como um “MCP addon” – que se descarregava a partir de um URL codificado e traia um módulo de várias etapas para localizar, cifrar e exfiltrar dados como tokens do GitHub, credenciais da AWS/Azure/GCP, tokens npm, chaves SSH, configurações de assistentes tipo Claude e variáveis de ambiente. Parte da ex-filtração se fazia para um domínio que imitava a infraestrutura legítima de Checkmarx e mediante a criação automática de repositórios públicos no GitHub para armazenar os dados roubados.
O alcance técnico inclui dois vetores: etiquetas de DockerHub que foram reprovisionadas temporariamente para um digest malicioso durante um intervalo preciso e extensões IDE que carregavam o addon malicioso. Isto significa que o impacto depende de quando as imagens ou extensões foram transferidas; Checkmarx restaurou as marcas afetadas e eliminou a etiqueta falsa, mas os usuários que as obtiveram nesse período devem assumir que seus segredos foram comprometidos.
As implicações práticas são graves. A exposição de tokens e chaves de máquinas de desenvolvimento pode dar acesso a repositórios, implantaçãos na nuvem, registros de pacotes e ambientes de integração contínua, permitindo escaladas, vazamento de código sensível e implantação de portas traseiras. Além disso, os atacantes que exploram uma ferramenta de segurança aproveitam a confiança do desenvolvedor nessa ferramenta: o resultado é um ataque com alto impacto e baixa probabilidade de detecção imediata.
Se você acha que você downloadu alguma das versões afetadas, Funciona já. Verifique a nota de segurança oficial do Checkmarx para detalhes e versões seguras e siga as suas indicações: Checkmarx - Security update. Como medidas imediatas, considera revogar e rodar todas as credenciais potencialmente expostas (tokens do GitHub, chaves de nuvem, tokens npm, chaves SSH), reconstruir ambientes de pontos de confiança e bloquear conexões aos domínios e endereços IP associados ao exfiltrador. Para instruções sobre como anular tokens pessoais e proteger contas no GitHub, consulte o guia oficial: GitHub - Revocar tokens de acesso pessoal.
Para além da remediação urgente, este incidente reforça práticas que devem ser integradas em qualquer pipeline: pinning de digests e versões em imagens e extensões, verificação de integridade e assinaturas de artefatos, uso de credenciais efímeras e com menor alcance, e monitoramento de criação de repositórios ou atividade incomum em contas vinculadas. Ferramentas de assinatura de artefatos como a Sigstore ajudam a aumentar a confiança sobre quais binários e contentores são consumidos: Sigstore.
Nem toda atribuição é firme: houve reclamações públicas que tentaram ligar o ataque a grupos responsabilizados em incidentes prévios, mas as pesquisas abertas não confirmaram uma atribuição definitiva. Essa falta de certeza sublinha outra lição: não depender de uma única camada de confiança e assumir que qualquer dependência crítica pode ser atacada. Para os equipamentos de segurança, isto obriga a incorporar controlos compensatórios como detecção de fugas em repositórios, digitalização contínua de segredos e auditoria de acessos à nuvem.
Em suma, assume a ameaça a sério: revoga e rota segredos, revisa e reconstrue ambientes, fixa imagens/extentiões por SHAs e ativa assinaturas ou verificação de integridade. Use esta crise para endurecer as políticas de gestão de segredos e higiene do desenvolvimento: credenciais de curto prazo, privilégios mínimos e telemetria que permitam detectar anomalias precoces são investimentos que reduzem a janela de exposição quando uma ferramenta de confiança é comprometida.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...