A campanha conduzida pelo grupo hacker TeamPCP continua se expandindo e agora atingiu novos alvos no ecossistema de desenvolvimento. Desta vez, workflows do GitHub Actions mantidos pela empresa de segurança Checkmarx foram comprometidos, evidenciando uma escalada significativa no ataque à cadeia de suprimentos iniciado com a ferramenta Trivy.

Os componentes afetados incluem os workflows checkmarx/ast-github-action e checkmarx/kics-github-action, amplamente utilizados em pipelines de CI/CD para análise de segurança de código. A análise técnica indica que o mesmo malware utilizado na campanha anterior — um stealer de credenciais — foi reaproveitado, reforçando que se trata de uma operação coordenada e em evolução.

Reaproveitamento de credenciais roubadas amplia o alcance do ataque

A investigação aponta que credenciais obtidas no ataque anterior ao Trivy foram utilizadas para comprometer novos workflows. Esse movimento evidencia um dos principais riscos de ataques à cadeia de suprimentos: a capacidade de gerar um efeito cascata, onde um único ponto comprometido permite a propagação para diversos outros sistemas confiáveis.

O malware identificado, conhecido como TeamPCP Cloud Stealer, foi projetado para coletar uma ampla gama de informações sensíveis, incluindo:

• Chaves SSH e tokens do GitHub

• Credenciais de provedores cloud como AWS, Azure e Google Cloud

• Configurações de CI/CD

• Dados de bancos, arquivos .env e carteiras de criptomoedas

• URLs de webhooks do Slack e Discord

Uma vez coletados, esses dados são criptografados e enviados para infraestrutura controlada pelos hackers, utilizando domínios cuidadosamente construídos para parecer legítimos — uma técnica que dificulta a detecção manual durante análises de logs.

Técnica sofisticada: manipulação de tags e persistência invisível

Assim como no incidente anterior, os hackers utilizaram uma técnica conhecida como force-push de tags para substituir versões legítimas por versões maliciosas sem alterar a aparência externa do workflow. Isso faz com que pipelines automatizados continuem confiando em versões comprometidas sem perceber a alteração.

Além disso, o malware implementa mecanismos de persistência avançados:

• Criação de repositórios ocultos para armazenar dados roubados como backup

• Instalação de serviços persistentes em sistemas fora de ambientes CI

• Execução de payloads adicionais utilizando múltiplos gerenciadores de pacotes JavaScript

Esse nível de sofisticação demonstra um entendimento profundo de ambientes DevOps modernos e suas integrações.

Supply chain em efeito dominó

Um dos pontos mais críticos do ataque é sua capacidade de propagação. Como o malware extrai tokens e credenciais diretamente da memória de runners de CI/CD, qualquer repositório com permissões associadas pode ser comprometido automaticamente.

Isso cria um cenário onde:

• Um workflow comprometido → rouba credenciais

• Credenciais roubadas → comprometem outros repositórios

• Novos repositórios comprometidos → distribuem mais malware

Esse ciclo transforma o ataque em um verdadeiro efeito dominó dentro da cadeia de suprimentos, ampliando exponencialmente o impacto.

Comprometimento além do CI/CD

A campanha também ultrapassa o ambiente de pipelines. Extensões maliciosas foram identificadas no ecossistema Open VSX, capazes de executar código malicioso em ambientes de desenvolvimento locais.

Ao serem ativadas, essas extensões verificam a presença de credenciais cloud no sistema da vítima e, caso encontrem, baixam cargas adicionais para aprofundar o comprometimento. Além disso, mecanismos de persistência garantem que o malware continue ativo mesmo após reinicializações.

Um ataque que redefine o risco em ambientes DevOps

Esse novo episódio reforça uma tendência clara: os hackers estão cada vez mais focados em infraestruturas de desenvolvimento e pipelines automatizados, explorando a confiança implícita nesses ambientes.

O caso também evidencia falhas estruturais importantes:

• Dependência de tags em vez de commits imutáveis

• Uso excessivo de tokens com privilégios elevados

• Falta de monitoramento aprofundado em runners de CI/CD

• Confiança excessiva em componentes de terceiros

Diante desse cenário, as recomendações incluem a rotação imediata de credenciais, auditoria de logs, revisão de workflows e adoção de práticas mais rigorosas, como o uso de commit SHA fixo em vez de tags.