Falha de configuração no AWS CodeBuild poderia expor repositórios do GitHub a ataques de supply chain

Uma configuração incorreta no AWS CodeBuild, serviço de integração contínua da Amazon Web Services, poderia ter permitido que hackers assumissem o controle total de repositórios oficiais da própria AWS no GitHub, incluindo o AWS JavaScript SDK. O cenário representava um risco significativo de ataques à cadeia de suprimentos, com potencial impacto em praticamente todos os ambientes que utilizam serviços da nuvem da Amazon.

A vulnerabilidade, batizada de CodeBreach, foi identificada pela Wiz e corrigida pela AWS em setembro de 2025, após notificação responsável feita em agosto do mesmo ano. De acordo com a análise, invasores poderiam explorar falhas nos pipelines de CI/CD para injetar código malicioso diretamente em repositórios amplamente utilizados, afetando aplicações, serviços e até o próprio console da AWS.

O problema estava relacionado a filtros inadequados em webhooks do CodeBuild, que deveriam restringir quais eventos e usuários poderiam disparar processos de build. Esses filtros utilizavam expressões regulares (regex) para validar o actor ID do GitHub identificador numérico de contas autorizadas. No entanto, os padrões não continham os caracteres de início (^) e fim ($), o que permitia que IDs maiores, contendo o número autorizado como parte da sequência, burlassem a verificação.

Como os IDs do GitHub são atribuídos de forma sequencial, os pesquisadores demonstraram que era possível prever e gerar IDs válidos por meio da criação automatizada de contas bot. Com isso, um hacker poderia disparar um build legítimo, obter tokens administrativos do GitHub, enviar código diretamente para o branch principal, aprovar pull requests maliciosos e até exfiltrar segredos armazenados no repositório.

A falha afetou pelo menos quatro projetos open source mantidos pela AWS, incluindo aws-sdk-js-v3 e aws-lc, todos configurados para executar builds a partir de pull requests. A AWS confirmou que se tratava de uma configuração específica desses projetos, e não de um problema estrutural do serviço CodeBuild, além de afirmar que não há evidências de exploração ativa antes da correção.

Como resposta, a empresa realizou rotações de credenciais, reforçou proteções nos pipelines e implementou medidas adicionais para evitar que contribuições não confiáveis tenham acesso a ambientes privilegiados. O caso reforça o crescente interesse de hackers por ambientes de CI/CD, considerados hoje um dos pontos mais críticos da superfície de ataque em cadeias de software modernas.