Ataque à Cadeia de Suprimentos na Checkmarx

Checkmarx, conhecida por suas soluções AppSec, lançou uma atualização sobre um incidente recente que ocorreu em 23 de março de 2026. Atacantes comprometeram GitHub Actions (checkmarx/ast-github-action e checkmarx/kics-github-action), bem como plugins distribuídos via OpenVSX.

O ataque envolveu forçar o push de tags, fazendo com que versões oficiais do Action apontassem para commits maliciosos. A maioria das equipes confia em tags e puxa automaticamente atualizações para seus pipelines sem verificar hashes de commit. Como resultado, código malicioso poderia executar diretamente dentro de ambientes CI/CD, ganhando acesso a dados sensíveis como chaves de API, tokens e credenciais de nuvem.

Checkmarx lançou versões seguras dos GitHub Actions afetados (ast-github-action v2.3.33 e kics-github-action v2.1.20) e removeu as versões comprometidas. De acordo com a investigação, os atacantes ganharam acesso a um conjunto limitado de sistemas internos, enquanto sistemas críticos não foram afetados.

Os usuários são aconselhados a atualizar os Actions afetados o mais rápido possível, revisar o histórico de execução do pipeline em busca de atividade suspeita e rotacionar quaisquer segredos que possam ter sido expostos. Como uma medida de segurança de longo prazo, recomenda-se evitar depender de tags e, em vez disso, fixar dependências em hashes de commit específicos.

💬 Discutir