Identidade virou o alvo preferido do ataque moderno — e o CI/CD está no meio disso

Os ataques mais barulhentos ainda rendem manchete quando derrubam serviço, criptografam servidor ou vazam base. Mas o estrago real, cada vez mais, começa antes: na identidade. Credenciais roubadas, tokens de sessão, chaves de CI/CD, permissões excessivas e planos de controle expostos viraram atalhos mais baratos e mais escaláveis do que invadir máquina por máquina. O recado para 2026 é direto: quem ainda trata identidade como tema de IAM e não como frente central de defesa está jogando o jogo de ontem.

Por que identidade virou o novo ponto de pressão

Há uma mudança operacional importante em curso. Em vez de insistir apenas em exploração clássica de endpoint, muitos grupos passaram a perseguir o que dá escala: acesso reaproveitável. Quando o atacante obtém uma credencial de pipeline, um token de nuvem, uma sessão autenticada ou acesso a um plano de controle, ele pula etapas. Ganha mobilidade, persistência e, em muitos casos, legitimidade aparente dentro do ambiente.

Não é coincidência que a própria Microsoft tenha destacado, no seu blog de segurança, que a identidade se tornou o principal ponto de pressão dos ataques modernos. A formulação importa porque resume bem o problema: a defesa tradicional ainda olha muito para malware e vulnerabilidade isolada, enquanto o invasor combina engenharia social, roubo de segredo e abuso de confiança.

O caso Trivy mostrou como a cadeia de confiança ficou curta demais

O episódio mais didático das últimas semanas foi o comprometimento ligado ao ecossistema do Trivy em fluxos de GitHub Actions. A leitura técnica publicada pela Microsoft destaca que atores maliciosos abusaram de canais confiáveis de distribuição para injetar malware voltado ao roubo de credenciais em pipelines de CI/CD. Não foi um ataque “exótico”. Foi pior: foi plausível.

Segundo os resumos públicos divulgados por KrebsOnSecurity e pela própria Microsoft, as versões maliciosas buscaram material de alto valor operacional: chaves SSH, credenciais de nuvem, tokens de Kubernetes e carteiras. Isso é revelador. O alvo não era apenas “infectar”; era abrir portas que permitem movimento lateral, sabotagem de build, acesso a repositórios e reutilização de identidade em outros ambientes.

Esse tipo de incidente expõe uma fragilidade que muita equipe ainda subestima: a dependência de confiança implícita em ações, artefatos, runners e segredos do pipeline. Se a organização protege produção, mas trata CI/CD como backstage pouco governado, ela deixa um cofre aberto nos bastidores.

O ataque moderno prefere o plano de controle ao laptop do usuário

Outro sinal forte veio da cobertura recente do Krebs sobre o grupo TeamPCP. A descrição não é de uma quadrilha obcecada por zero-day; é a de um operador eficiente em automatizar o abuso de superfícies expostas, como APIs Docker, clusters Kubernetes, servidores Redis e outras peças de infraestrutura mal governadas. O ponto central é este: o atacante descobriu que controlar a camada de orquestração rende mais do que perseguir cada estação individual.

Quando um grupo compromete o plano de controle, o impacto sobe de nível. Ele pode distribuir cargas maliciosas, capturar segredos, derrubar workloads e se espalhar com velocidade incompatível com os processos tradicionais de resposta. Em cloud, “admin silencioso” costuma ser mais perigoso do que malware barulhento.

MFA ajuda, mas não resolve a economia do roubo de sessão

Vale fazer uma correção de rumo importante. MFA continua indispensável. O problema é tratá-lo como ponto final da conversa. O que o mercado aprendeu nos últimos meses é que muita operação maliciosa já não tenta apenas descobrir senha; tenta roubar sessão válida, token reaproveitável, cookie autenticado ou segredo de automação. Nesse cenário, o MFA não falha exatamente — ele é contornado.

Por isso a conversa madura deixou de ser “tem MFA?” e passou a ser “qual identidade pode ser reutilizada, de onde, por quanto tempo e com que privilégio?”. É uma pergunta menos confortável, mas bem mais útil.

O erro clássico: separar segurança de identidade, cloud e DevOps

Muitas empresas ainda distribuem o problema em caixinhas administrativas. IAM cuida de usuário. Cloud cuida de workload. DevOps cuida de pipeline. SOC cuida de alerta. O atacante agradece essa fragmentação porque o caminho real do ataque atravessa todas essas camadas sem pedir licença.

No incidente de cadeia de suprimentos, a credencial roubada não respeita organograma. Ela pode sair do pipeline, tocar repositório, alcançar segredo, assumir papel em nuvem e virar incidente de produção. Da mesma forma, uma API de Docker exposta não é “só tema de infraestrutura”: ela é uma porta de identidade operacional. O que falta em muita defesa não é ferramenta, e sim modelo mental integrado.

O que priorizar nas próximas duas semanas

Se a sua equipe precisa transformar esse diagnóstico em ação, comece por tarefas que reduzem risco rápido sem depender de um programa de 12 meses.

• Inventarie segredos e identidades de máquina: tokens de CI/CD, deploy keys, service accounts, chaves SSH de automação, roles de nuvem e credenciais embutidas em runners.
• Revise confiança em pipelines: congele versões de actions, valide proveniência de artefatos e elimine dependência de “latest” em componentes críticos.
• Encorte a vida útil de credenciais: prefira tokens efêmeros e federação com OIDC a segredos estáticos persistentes.
• Feche planos de controle expostos: APIs Docker, dashboards, consoles de cluster, Redis aberto e qualquer painel administrativo acessível fora do perímetro esperado.
• Reveja privilégios excessivos: service accounts com permissão ampla demais viram multiplicadores de impacto.
• Monitore uso anômalo de identidade: acesso fora de horário, origem inédita, runner diferente do padrão, papel de nuvem assumido por fluxo raro, explosão de criação de tokens.

Checklist prático para endurecer identidade sem paralisar a operação

• Mapear quais pipelines têm acesso a produção, repositórios sensíveis e segredos de nuvem.
• Substituir segredos estáticos por credenciais temporárias sempre que a plataforma permitir.
• Fixar versões de GitHub Actions e dependências críticas por hash ou tag confiável.
• Habilitar revisão obrigatória para mudanças em workflows e arquivos de automação.
• Separar service accounts por função, ambiente e nível de privilégio.
• Remover acesso administrativo persistente de contas usadas por integrações.
• Rotacionar imediatamente chaves e tokens quando houver sinal de comprometimento em supply chain.
• Restringir consoles, APIs e painéis administrativos por rede, identidade e contexto.
• Registrar e alertar sobre criação, exportação e uso incomum de tokens e chaves.
• Testar, em tabletop exercise, o cenário específico de roubo de credencial de pipeline.

Como medir se a defesa melhorou de verdade

Medir maturidade em identidade não é contar quantos usuários têm MFA e encerrar a planilha. Métricas melhores seriam: quantos segredos estáticos ainda existem no pipeline; quantas contas de serviço têm privilégio administrativo; quanto tempo leva para revogar um token suspeito; quantos painéis de controle ainda estão expostos; e quantas ações críticas dependem de identidade humana compartilhada.

Se você quiser um teste honesto, faça dois exercícios simples. Primeiro: simule o comprometimento de uma action ou integração de CI/CD e acompanhe o que o invasor conseguiria alcançar em 30 minutos. Segundo: assuma que um token válido foi roubado e meça o tempo até a detecção, o bloqueio e a rotação completa dos segredos relacionados. Esse tipo de simulação costuma revelar mais do que auditoria bonita em slide.

O trade-off que precisa ser dito em voz alta

Endurecer identidade gera atrito. Rotação de segredo quebra script antigo. Privilégio mínimo atrapalha atalho operacional. Revisão de workflow desacelera merge. Tudo isso é verdade. O problema é que o custo do conforto ficou alto demais. Em 2026, a pergunta madura não é se haverá fricção, mas onde ela dói menos: no processo agora ou no incidente depois.

Minha leitura editorial é simples: organizações ainda gastam energia demais perseguindo o artefato malicioso e energia de menos governando as relações de confiança que permitem ao ataque escalar. É aí que a balança precisa virar.

FAQ

Identidade aqui significa só login de usuário?
Não. Inclui contas humanas, contas de serviço, tokens, chaves, sessões, credenciais de pipeline e permissões assumidas em cloud.

MFA ainda vale a pena?
Vale muito. Só não deve ser tratado como defesa suficiente contra roubo de sessão, abuso de token e credenciais de automação.

Qual área deveria liderar esse tema?
Nenhuma isoladamente. Segurança, IAM, plataforma/cloud, DevOps e resposta a incidentes precisam operar com um modelo comum de risco.

O que revisar primeiro em uma empresa média?
Pipelines com acesso a produção, service accounts com privilégio amplo, segredos estáticos e painéis administrativos expostos.

Esse problema é só para empresas cloud-native?
Não. Ambientes híbridos também sofrem, porque a lógica do ataque é a mesma: capturar identidade reutilizável para ganhar escala.

Referências

• Microsoft Security Blog — Identity security is the new pressure point for modern cyberattacks
• Microsoft Security Blog — Guidance for detecting, investigating, and defending against the Trivy supply chain compromise
• KrebsOnSecurity — Cobertura recente sobre TeamPCP, Trivy e wiper voltado ao ecossistema de cloud
• CISA — Cybersecurity Alerts & Advisories
• Sophos News — Análises recentes sobre técnicas de acesso inicial e cenário de ameaças

Conclusão: se identidade ainda aparece na sua operação como tema lateral de compliance ou administração de acesso, há um desalinhamento perigoso entre a defesa e o ataque real. O invasor já entendeu que roubar confiança é mais eficiente do que quebrar porta. A defesa precisa responder no mesmo nível.