Checkmarx Sofre Ataque à Cadeia de Suprimentos: Dados de Repositórios Privados no GitHub Roubados
A empresa de segurança Checkmarx foi vítima de um sofisticado ataque à cadeia de suprimentos, resultando no roubo de segredos e na exfiltração de dados de seus repositórios privados no GitHub. Pesquisadores de segurança acreditam que múltiplas facções de hackers estiveram envolvidas.
MundiX News·02 de maio de 2026·6 min de leitura·👁 5 views
Um ataque à cadeia de suprimentos atingiu as ferramentas da empresa Checkmarx, levando ao roubo de segredos e à fuga de dados de repositórios privados no GitHub. Pesquisadores de segurança cibernética acreditam que várias facções de hackers estiveram envolvidas neste incidente.
A primeira fase deste ataque veio à tona na semana passada, em 22 de abril de 2026, quando pesquisadores da empresa Socket descobriram imagens maliciosas no repositório oficial do Docker para KICS (Keeping Infrastructure as Code Secure) – um scanner de código aberto para encontrar vulnerabilidades em código e configurações. Logo ficou claro que os invasores não apenas substituíram as imagens do Docker, mas também as extensões para VS Code e Open VSX. Nelas, esconderam um componente adicional – o add-on MCP, que baixava um infostealer do GitHub, roubando segredos de desenvolvedores.
O malware visava os dados com os quais o KICS trabalha: tokens do GitHub, credenciais da AWS, Azure e Google Cloud, tokens npm, chaves SSH, variáveis de ambiente e até configurações do Claude. As informações coletadas eram criptografadas e transmitidas para o domínio audit.checkmarx[.]cx, disfarçado como infraestrutura da própria Checkmarx. Além disso, em casos isolados, repositórios públicos do GitHub eram criados automaticamente para a exfiltração de dados. A janela de ataque foi bastante curta – as tags maliciosas do Docker estiveram ativas por aproximadamente uma hora e meia (das 14:17 às 15:41 UTC de 22 de abril). Todos que conseguiram baixar as imagens maliciosas foram aconselhados a considerar todas as credenciais comprometidas e alterá-las urgentemente.
Posteriormente, representantes da Checkmarx confirmaram que a raiz deste incidente foi um ataque à cadeia de suprimentos ocorrido em março, relacionado à compromissão do scanner Trivy (atribuído ao grupo TeamPCP). Dessa forma, os atacantes obtiveram acesso às credenciais de usuários downstream e invadiram a infraestrutura do GitHub da empresa. Foi relatado que os hackers obtiveram acesso pela primeira vez em 23 de março de 2026 e já estavam injetando código malicioso nos repositórios da Checkmarx. No entanto, como a investigação posterior mostrou, em 30 de março, os atacantes roubaram dados da empresa do GitHub. O fato é que, apesar de todas as tentativas dos especialistas de bloquear o acesso dos hackers, eles conseguiram mantê-lo ou restaurá-lo posteriormente. Como resultado, um mês depois, em 22 de abril, ocorreu a segunda fase do ataque, descrita acima, que levou à compromissão das imagens do Docker, GitHub Actions e extensões.
Vale notar que esta semana a história ganhou uma continuação: representantes do grupo LAPSUS$ publicaram em seu site na darknet um arquivo de cerca de 96 GB com dados roubados da Checkmarx. A empresa confirmou que se tratam de dados autênticos, roubados por hackers em março deste ano. De acordo com representantes da Checkmarx, o dump vazado contém código-fonte, bancos de dados internos e chaves de acesso (incluindo MongoDB e MySQL). Ao mesmo tempo, os dados dos clientes, segundo uma avaliação preliminar, não foram afetados, pois não são armazenados em repositórios do GitHub.
A Checkmarx afirma que já revogou e substituiu todas as credenciais, bloqueou o acesso dos hackers ao GitHub e também envolveu especialistas externos (incluindo da empresa Mandiant) na investigação do incidente. Atualmente, a investigação dos ataques está quase concluída, e a empresa garante que o acesso não autorizado dos invasores foi completamente bloqueado. Todos os usuários do KICS e ferramentas relacionadas são aconselhados a: reverter para versões seguras; usar SHA-hashes fixos em vez de tags; bloquear domínios suspeitos; recriar completamente o ambiente.
Ao mesmo tempo, a atribuição desses ataques ainda permanece nebulosa. Se o ataque inicial ao Trivy está associado ao TeamPCP, o roubo de dados já está ligado ao grupo LAPSUS$. Anteriormente, especialistas já haviam detectado sinais de que esses grupos poderiam estar colaborando, por exemplo, compartilhando acesso e monetização de ataques. Vale ressaltar que um efeito colateral desses hacks já foi a compromissão de projetos de terceiros, incluindo o gerenciador de senhas npm Bitwarden.
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
Um ataque à cadeia de suprimentos atingiu as ferramentas da empresa Checkmarx, levando ao roubo de segredos e à fuga de dados de repositórios privados no GitHub. Pesquisadores de segurança cibernética acreditam que várias facções de hackers estiveram envolvidas neste incidente.
A primeira fase deste ataque veio à tona na semana passada, em 22 de abril de 2026, quando pesquisadores da empresa Socket descobriram imagens maliciosas no repositório oficial do Docker para KICS (Keeping Infrastructure as Code Secure) – um scanner de código aberto para encontrar vulnerabilidades em código e configurações. Logo ficou claro que os invasores não apenas substituíram as imagens do Docker, mas também as extensões para VS Code e Open VSX. Nelas, esconderam um componente adicional – o add-on MCP, que baixava um infostealer do GitHub, roubando segredos de desenvolvedores.
O malware visava os dados com os quais o KICS trabalha: tokens do GitHub, credenciais da AWS, Azure e Google Cloud, tokens npm, chaves SSH, variáveis de ambiente e até configurações do Claude. As informações coletadas eram criptografadas e transmitidas para o domínio audit.checkmarx[.]cx, disfarçado como infraestrutura da própria Checkmarx. Além disso, em casos isolados, repositórios públicos do GitHub eram criados automaticamente para a exfiltração de dados. A janela de ataque foi bastante curta – as tags maliciosas do Docker estiveram ativas por aproximadamente uma hora e meia (das 14:17 às 15:41 UTC de 22 de abril). Todos que conseguiram baixar as imagens maliciosas foram aconselhados a considerar todas as credenciais comprometidas e alterá-las urgentemente.
Posteriormente, representantes da Checkmarx confirmaram que a raiz deste incidente foi um ataque à cadeia de suprimentos ocorrido em março, relacionado à compromissão do scanner Trivy (atribuído ao grupo TeamPCP). Dessa forma, os atacantes obtiveram acesso às credenciais de usuários downstream e invadiram a infraestrutura do GitHub da empresa. Foi relatado que os hackers obtiveram acesso pela primeira vez em 23 de março de 2026 e já estavam injetando código malicioso nos repositórios da Checkmarx. No entanto, como a investigação posterior mostrou, em 30 de março, os atacantes roubaram dados da empresa do GitHub. O fato é que, apesar de todas as tentativas dos especialistas de bloquear o acesso dos hackers, eles conseguiram mantê-lo ou restaurá-lo posteriormente. Como resultado, um mês depois, em 22 de abril, ocorreu a segunda fase do ataque, descrita acima, que levou à compromissão das imagens do Docker, GitHub Actions e extensões.
Vale notar que esta semana a história ganhou uma continuação: representantes do grupo LAPSUS$ publicaram em seu site na darknet um arquivo de cerca de 96 GB com dados roubados da Checkmarx. A empresa confirmou que se tratam de dados autênticos, roubados por hackers em março deste ano. De acordo com representantes da Checkmarx, o dump vazado contém código-fonte, bancos de dados internos e chaves de acesso (incluindo MongoDB e MySQL). Ao mesmo tempo, os dados dos clientes, segundo uma avaliação preliminar, não foram afetados, pois não são armazenados em repositórios do GitHub.
A Checkmarx afirma que já revogou e substituiu todas as credenciais, bloqueou o acesso dos hackers ao GitHub e também envolveu especialistas externos (incluindo da empresa Mandiant) na investigação do incidente. Atualmente, a investigação dos ataques está quase concluída, e a empresa garante que o acesso não autorizado dos invasores foi completamente bloqueado. Todos os usuários do KICS e ferramentas relacionadas são aconselhados a: reverter para versões seguras; usar SHA-hashes fixos em vez de tags; bloquear domínios suspeitos; recriar completamente o ambiente.
Ao mesmo tempo, a atribuição desses ataques ainda permanece nebulosa. Se o ataque inicial ao Trivy está associado ao TeamPCP, o roubo de dados já está ligado ao grupo LAPSUS$. Anteriormente, especialistas já haviam detectado sinais de que esses grupos poderiam estar colaborando, por exemplo, compartilhando acesso e monetização de ataques. Vale ressaltar que um efeito colateral desses hacks já foi a compromissão de projetos de terceiros, incluindo o gerenciador de senhas npm Bitwarden.
📤 Compartilhar & Baixar
🧰 Ferramentas recomendadas
Divulgação: alguns links são patrocinados. Podemos receber comissão se você comprar — sem custo extra para você. Só indicamos o que faz sentido para a comunidade.
