Ataque atinge pipelines CI/CD
A CISA publicou alerta na última quinta-feira (28) detalhando duas campanhas de ataque à cadeia de suprimentos de software que comprometeram extensões do Visual Studio Code e mais de 5.500 repositórios no GitHub. Ameaças usaram o mecanismo de atualização automática do VS Code e workflows do GitHub Actions para roubar credenciais de nuvem, tokens e segredos de CI/CD, atingindo diretamente pipelines de integração e entrega contínua de empresas ao redor do mundo.
Extensão maliciosa do Nx Console
Na primeira campanha, invasores comprometeram sistemas de desenvolvedores do Nx e usaram esse acesso para infectar a máquina de um funcionário do GitHub por meio de uma versão envenenada da extensão Nx Console para VS Code. A versão maliciosa 18.95.0 foi distribuída pelo mecanismo de atualização automática — desenvolvedores que já tinham a extensão instalada receberam a build comprometida sem qualquer ação manual. A falha recebeu o identificador CVE-2026-48027 e foi adicionada ao catálogo KEV da CISA.
O ataque permitiu acesso não autorizado e exfiltração de repositórios internos do GitHub. Segundo a CISA, atores de ameaça abusaram de ferramentas e processos que suportam ambientes corporativos, de nuvem e DevOps — especificamente pipelines de CI/CD, extensões de código e workflows automatizados.
Campanha Megalodon no GitHub
Na segunda campanha, batizada de “Megalodon”, um ator de ameaça injetou workflows maliciosos do GitHub Actions em mais de 5.561 repositórios públicos. Os workflows modificados coletavam segredos de CI/CD, credenciais de provedores de nuvem como AWS, GCP e Azure, além de tokens SSH, Docker, npm, PyPI, Kubernetes e Terraform.
A operação explorou pull requests automatizados e commits de bots como build-bot, auto-ci e pipeline-bot, dificultando a detecção por equipes de segurança. A CISA recomenda reverter quaisquer mudanças não autorizadas dessas contas, especialmente as realizadas após 18 de maio de 2026.
Como verificar se foi afetado
A CISA emitiu recomendações específicas para organizações que podem ter sido comprometidas:
- Auditar workflows e contribuidores: monitorar arquivos de workflow e atividade de contribuidores em busca de pull requests e commits suspeitos
- Revisão forense: analisar logs de CI/CD, trilhas de auditoria de nuvem e máquinas de desenvolvedores afetadas
- Rotacionar todos os segredos: revogar credenciais, tokens e chaves acessíveis aos pipelines, incluindo chaves de API, credenciais de provedores de nuvem, chaves SSH e tokens de registro de containers
- Aguardar antes de atualizar pacotes: a CISA recomenda esperar pelo menos três horas antes de instalar novos pacotes, dando tempo para a comunidade identificar pacotes maliciosos
- Fixar versões confiáveis: pinar dependências a versões conhecidas e verificadas em vez de aceitar a versão mais recente automaticamente
| Campanha | Vetor de ataque | Alvo principal | CVE |
|---|---|---|---|
| Nx Console | Extensão VS Code envenenada (v18.95.0) | Repositórios internos do GitHub | CVE-2026-48027 |
| Megalodon | GitHub Actions maliciosos | Segredos e credenciais CI/CD | N/A |