Uma onda de ataques sofisticados de cadeia de suprimentos colocou milhões de desenvolvedores de software em alerta, com atores de ameaças transformando ferramentas de desenvolvimento cotidianas em armas para roubar credenciais, tokens de nuvem e código-fonte. O que torna essas campanhas especialmente alarmantes é como exploram os próprios sistemas que os desenvolvedores mais confiam: seus editores, pipelines automatizados e fluxos de trabalho de controle de versão.
Campaña Nx Console e CVE-2026-48027
A primeira campanha envolveu uma versão envenenada da extensão amplamente utilizada Nx Console para VS Code, versão 18.95.0, enviada ao Visual Studio Code Marketplace em 18 de maio de 2026. A extensão tinha mais de 2,2 milhões de instalações, significando que o raio de explosão foi imediatamente enorme. Um dispositivo de um funcionário do GitHub estava entre os comprometidos, o que levou ao acesso não autorizado e exfiltração de cerca de 3.800 repositórios de código-fonte internos do GitHub.
A CISA identificou o escopo completo da ameaça e publicou um alerta urgente em 28 de maio de 2026, atribuindo o CVE-2026-48027 à extensão maliciosa e adicionando-o ao catálogo de Vulnerabilidades Exploradas Conhecidas da CISA. A agência recomenda que as organizações tratem qualquer máquina que executou a extensão comprometida como totalmente comprometida.
Campaña Megalodon e workflows maliciosos
A segunda campanha, conhecida como Megalodon, correu em paralelo. Em 18 de maio, um atacante automatizado enviou 5.718 commits maliciosos para 5.561 repositórios públicos do GitHub em uma janela de seis horas. Os workflows injetados do GitHub Actions colhiam segredos de CI/CD, credenciais em nuvem, chaves SSH e tokens OIDC, enviando tudo para um servidor de comando e controle.
O ataque utilizou contas descartáveis do GitHub com identidades de autor forjadas como build-bot e auto-ci. Os nomes dos workflows SysDiag e Optimize-Build foram projetados para parecer tarefas de manutenção padrão, enganando desenvolvedores que revisavam casualmente o histórico do repositório.
Impacto e implicações para governança de segurança
Esses ataques demonstram como os pipelines de entrega de software modernos se tornaram alvos de alto valor para atores de ameaças sedentos por credenciais. A exfiltração de tokens de GitHub e credenciais de nuvem (AWS, GCP, Azure) permite que os atacantes movam-se lateralmente e acessem ambientes de produção. A CISA exorta todas as organizações afetadas a auditar arquivos de workflow em busca de commits suspeitos feitos após 18 de maio de 2026.
Indicadores de comprometimento (IoCs)
- CVE: CVE-2026-48027 (Nx Console v18.95.0)
- Hash SHA-256 (VSIX): 1a4afce34918bdc74ae3f31edaffffaa0ee074d83618f53edfd88137927340b8
- Workflow Malicioso: SysDiag, Optimize-Build
- IP C2: 216[.]126[.]225[.]129:8443
- Pacote NPM Comprometido: @tiledesk/tiledesk-server v2.18.6 a v2.18.12
Medidas de mitigação e resposta a incidentes
Qualquer organização que executou a extensão Nx Console comprometida ou encontrou alterações não autorizadas em workflows deve conduzir uma revisão forense completa dos logs de CI/CD e trilhas de auditoria em nuvem. Todas as credenciais acessíveis aos pipelines devem ser rotacionadas, incluindo chaves de API, tokens de provedores de nuvem, chaves SSH e segredos de desenvolvedor. Recomenda-se aguardar pelo menos três horas antes de puxar novos pacotes e fixar dependências em versões confiáveis.