A empresa de segurança Checkmarx emitiu um aviso urgente de que uma versão maliciosa do seu plugin de testes de segurança de aplicações (AST) foi publicada sem autorização no Jenkins Marketplace. O incidente, que resultou na distribuição de malware desenhado para o roubo de credenciais, marca mais um episódio numa vaga de ataques à cadeia de suprimentos da empresa.
A autoria da invasão foi reivindicada pelo grupo de hackers TeamPCP. Este mesmo grupo tem estado no centro de várias operações recentes de grande impacto, incluindo as campanhas "Shai-Hulud" na plataforma npm e a violação do scanner de vulnerabilidades Trivy.
O Jenkins é atualmente uma das plataformas de automação de integração e entrega contínua (CI/CD) mais populares do mercado, sendo amplamente adotado por programadores para compilar software, testar código e implementar atualizações diretamente nos servidores. O plugin da Checkmarx tem como objetivo integrar análises de segurança diretamente nestes fluxos de trabalho automatizados.
Segundo a informação oficial partilhada pela empresa no seu site oficial, a equipa já está a trabalhar para disponibilizar uma versão limpa e segura do plugin para todos os utilizadores afetados.
Detalhes da invasão e histórico de falhas
Este é o terceiro ataque à cadeia de suprimentos que a Checkmarx enfrenta desde o final de março. De acordo com o investigador de segurança Adnan Khan, que expôs o caso na rede social X, o grupo TeamPCP conseguiu aceder aos repositórios da Checkmarx no GitHub. A partir daí, inseriram código malicioso no plugin AST do Jenkins com o objetivo de intercetar dados sensíveis dos ambientes de desenvolvimento.
Um porta-voz da empresa confirmou que os atacantes conseguiram as credenciais de acesso aos repositórios através da informação roubada durante o ataque ao Trivy, ocorrido em março. Numa mensagem provocatória deixada na secção de informações do plugin alterado, os hackers escreveram: "A Checkmarx falha na rotação de segredos novamente. Com amor - TeamPCP".
Aproveitando as credenciais antigas, os piratas informáticos conseguiram interagir com o ambiente GitHub da empresa e publicar versões modificadas de várias ferramentas para programadores em plataformas como o Docker e o VSCode, todas contendo código focado no roubo de informação. Os atacantes mantiveram o acesso durante pelo menos um mês, chegando a lançar uma versão comprometida da ferramenta de análise KICS.
A agravar a situação, no final de abril, a Checkmarx já tinha confirmado que o conhecido grupo LAPSUS$ partilhou publicamente dados extraídos do seu repositório privado no GitHub.
Impacto e medidas de proteção recomendadas
A versão maliciosa do plugin, identificada como 2026.5.09, foi carregada diretamente para o repositório público do Jenkins contornando os canais oficiais de validação da Checkmarx. Além de apresentar um formato de data invulgar para o esquema habitual da ferramenta, a atualização não possuía a etiqueta oficial no Git nem o registo normal de lançamento no GitHub.
A empresa recomenda que todos os administradores verifiquem imediatamente as suas instalações e garantam o uso da versão 2.0.13-829.vc72453fa_1c16 (disponibilizada em dezembro de 2025) ou anterior.
Embora não tenham sido revelados detalhes técnicos profundos sobre o comportamento exato do código malicioso no sistema, qualquer utilizador que tenha instalado a versão comprometida deve assumir que as suas palavras-passe e chaves de acesso foram expostas. É crucial proceder à rotação imediata de todas as credenciais e analisar os servidores em busca de possíveis movimentos laterais ou mecanismos de persistência dos atacantes.
A Checkmarx assegura que os seus repositórios de código estão completamente isolados dos ambientes de produção dos clientes e que nenhuma informação confidencial de utilizadores estava guardada no GitHub. A empresa partilhou ainda uma lista de indicadores de compromisso (IoCs) para ajudar as equipas de cibersegurança a limparem os seus sistemas.
Nenhum comentário
Seja o primeiro!