🔥 Fique por dentro das novidades mais quentes do momento! 🔥
Sua opinião é importante: leia e participe!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Os hackers comprometeram imagens Docker, extensões VSCode e Open VSX para a ferramenta de análise Checkmarx KICS para coletar dados confidenciais de ambientes de desenvolvedores.
KICS, abreviação de Keeping Infrastructure as Code Secure, é um scanner gratuito e de código aberto que ajuda os desenvolvedores a identificar vulnerabilidades de segurança em código-fonte, dependências e arquivos de configuração.
A ferramenta normalmente é executada localmente via CLI ou Docker e processa configurações de infraestrutura confidenciais que geralmente contêm credenciais, tokens e detalhes de arquitetura interna.
A empresa de segurança de dependências Socket investigou o incidente depois de receber um alerta do Docker sobre imagens maliciosas enviadas para o repositório oficial checkmarx/kics Docker Hub.
A investigação revelou que o comprometimento se estendeu além da imagem trojanizada do KICS Docker para as extensões VS Code e Open VSX que baixaram um recurso oculto de ‘complemento MCP’ projetado para buscar o malware de roubo de segredos.
Socket descobriu que o recurso 'complemento MCP' foi baixado de um URL codificado do GitHub "um componente de roubo e propagação de credenciais em vários estágios" como mcpAddon.js.
Segundo os pesquisadores, o malware tem como alvo precisamente os dados processados pelo KICS, incluindo tokens GitHub, credenciais de nuvem (AWS, Azure, Google Cloud), tokens npm, chaves SSH, configurações de Claude e variáveis de ambiente.
Em seguida, ele o criptografa e exfiltra para audit.checkmarx[.]cx, um domínio projetado para representar a infraestrutura legítima da Checkmarx. Além disso, os repositórios públicos do GitHub são criados automaticamente para exfiltração de dados.
Repositórios GitHub criados automaticamenteFonte: Socket
É importante esclarecer que as tags Docker foram temporariamente redirecionadas para um resumo malicioso, portanto o impacto depende de quando foram extraídas. O período perigoso para a imagem DockerHub KICS foi de 22/04/2026 14:17:59 UTC a 22/04/2026 15:41:31 UTC.
As tags afetadas agora foram restauradas para seus resumos de imagens legítimos, e a tag v2.1.21 falsa foi totalmente excluída.
Os desenvolvedores que baixaram os itens acima devem considerar seus segredos comprometidos, alterná-los o mais rápido possível e reconstruir seus ambientes a partir de um ponto seguro conhecido.
Embora os hackers do TeamPCP, responsáveis pelo enorme comprometimento da cadeia de suprimentos de Trivy e LiteLLM, tenham reivindicado o ataque publicamente, os pesquisadores não conseguiram encontrar evidências suficientes além de correlações baseadas em padrões para atribuí-lo com segurança.
BleepingComputer entrou em contato com a Checkmarx, uma empresa de testes de segurança de aplicativos, para obter uma declaração, mas um comentário não estava disponível imediatamente.
Enquanto isso, a empresa publicou um boletim de segurança sobre o incidente, garantindo aos usuários que todos os artefatos maliciosos foram removidos e que suas credenciais expostas foram revogadas e alternadas.
A empresa está atualmente investigando com a ajuda de especialistas externos e prometeu fornecer mais informações assim que estiverem disponíveis.
Recomenda-se que os usuários da ferramenta comprometida bloqueiem o acesso a 'checkmarx.cx => 91[.]195[.]240[.]123' e 'audit.checkmarx.cx => 94[.]154[.]172[.]43,' use SHAs fixados, reverta para versões seguras conhecidas e alterne segredos e credenciais se houver suspeita ou confirmação de comprometimento.
As versões seguras mais recentes dos projetos comprometidos são: DockerHub KICS v2.1.20, Checkmarx ast-github-action v2.3.36, extensões Checkmarx VS Code v2.64.0 e extensão Checkmarx Developer Assist v1.18.0.
99% do que o Mythos encontrou ainda não foi corrigido.
A IA encadeou quatro dias zero em uma exploração que contornou os sandboxes do renderizador e do sistema operacional. Uma onda de novas explorações está chegando.No Autonomous Validation Summit (12 e 14 de maio), veja como a validação autônoma e rica em contexto encontra o que é explorável, prova que os controles são válidos e fecha o ciclo de remediação.
Reivindique seu lugar
KICS, abreviação de Keeping Infrastructure as Code Secure, é um scanner gratuito e de código aberto que ajuda os desenvolvedores a identificar vulnerabilidades de segurança em código-fonte, dependências e arquivos de configuração.
A ferramenta normalmente é executada localmente via CLI ou Docker e processa configurações de infraestrutura confidenciais que geralmente contêm credenciais, tokens e detalhes de arquitetura interna.
A empresa de segurança de dependências Socket investigou o incidente depois de receber um alerta do Docker sobre imagens maliciosas enviadas para o repositório oficial checkmarx/kics Docker Hub.
A investigação revelou que o comprometimento se estendeu além da imagem trojanizada do KICS Docker para as extensões VS Code e Open VSX que baixaram um recurso oculto de ‘complemento MCP’ projetado para buscar o malware de roubo de segredos.
Socket descobriu que o recurso 'complemento MCP' foi baixado de um URL codificado do GitHub "um componente de roubo e propagação de credenciais em vários estágios" como mcpAddon.js.
Segundo os pesquisadores, o malware tem como alvo precisamente os dados processados pelo KICS, incluindo tokens GitHub, credenciais de nuvem (AWS, Azure, Google Cloud), tokens npm, chaves SSH, configurações de Claude e variáveis de ambiente.
Em seguida, ele o criptografa e exfiltra para audit.checkmarx[.]cx, um domínio projetado para representar a infraestrutura legítima da Checkmarx. Além disso, os repositórios públicos do GitHub são criados automaticamente para exfiltração de dados.
Repositórios GitHub criados automaticamenteFonte: Socket
É importante esclarecer que as tags Docker foram temporariamente redirecionadas para um resumo malicioso, portanto o impacto depende de quando foram extraídas. O período perigoso para a imagem DockerHub KICS foi de 22/04/2026 14:17:59 UTC a 22/04/2026 15:41:31 UTC.
As tags afetadas agora foram restauradas para seus resumos de imagens legítimos, e a tag v2.1.21 falsa foi totalmente excluída.
Os desenvolvedores que baixaram os itens acima devem considerar seus segredos comprometidos, alterná-los o mais rápido possível e reconstruir seus ambientes a partir de um ponto seguro conhecido.
Embora os hackers do TeamPCP, responsáveis pelo enorme comprometimento da cadeia de suprimentos de Trivy e LiteLLM, tenham reivindicado o ataque publicamente, os pesquisadores não conseguiram encontrar evidências suficientes além de correlações baseadas em padrões para atribuí-lo com segurança.
BleepingComputer entrou em contato com a Checkmarx, uma empresa de testes de segurança de aplicativos, para obter uma declaração, mas um comentário não estava disponível imediatamente.
Enquanto isso, a empresa publicou um boletim de segurança sobre o incidente, garantindo aos usuários que todos os artefatos maliciosos foram removidos e que suas credenciais expostas foram revogadas e alternadas.
A empresa está atualmente investigando com a ajuda de especialistas externos e prometeu fornecer mais informações assim que estiverem disponíveis.
Recomenda-se que os usuários da ferramenta comprometida bloqueiem o acesso a 'checkmarx.cx => 91[.]195[.]240[.]123' e 'audit.checkmarx.cx => 94[.]154[.]172[.]43,' use SHAs fixados, reverta para versões seguras conhecidas e alterne segredos e credenciais se houver suspeita ou confirmação de comprometimento.
As versões seguras mais recentes dos projetos comprometidos são: DockerHub KICS v2.1.20, Checkmarx ast-github-action v2.3.36, extensões Checkmarx VS Code v2.64.0 e extensão Checkmarx Developer Assist v1.18.0.
99% do que o Mythos encontrou ainda não foi corrigido.
A IA encadeou quatro dias zero em uma exploração que contornou os sandboxes do renderizador e do sistema operacional. Uma onda de novas explorações está chegando.No Autonomous Validation Summit (12 e 14 de maio), veja como a validação autônoma e rica em contexto encontra o que é explorável, prova que os controles são válidos e fecha o ciclo de remediação.
Reivindique seu lugar
#samirnews #samir #news #boletimtec #nova #violação #da #cadeia #de #suprimentos #da #checkmarx #afeta #ferramenta #de #análise #kics
🎉 Obrigado por acompanhar, até a próxima notícia!
Postar um comentário