TeamPCP Hacks Checkmarx GitHub Actions Using Stolen CI Credentials
Dois fluxos de trabalho do GitHub Actions tornaram-se os mais recentes a serem comprometidos por malware de roubo de credenciais de um ator de ameaças conhecido como TeamPCP, a operação cibercriminal nativa da nuvem também por trás do ataque à cadeia de suprimentos Trivy.
Os fluxos de trabalho comprometidos
Os fluxos de trabalho, ambos mantidos pela empresa de segurança de cadeia de suprimentos Checkmarx, são listados abaixo:
- checkmarx/ast-github-action
- checkmarx/kics-github-action
Este ataque representa uma continuação da campanha do TeamPCP contra a cadeia de suprimentos de desenvolvimento de software. A operação já havia sido associada a ataques contra o Trivy e outros componentes de CI/CD.
Implicações para a cadeia de suprimentos
O comprometimento de ações do GitHub é particularmente preocupante porque esses fluxos de trabalho são frequentemente usados em pipelines de integração e entrega contínua (CI/CD) de milhares de organizações. Se um atacante compromete um fluxo de trabalho, ele pode injetar código malicioso em todos os builds subsequentes que utilizam essa ação.
Isso amplia o alcance do ataque muito além da Checkmarx, afetando indiretamente todos os clientes que dependem dessas ações para suas verificações de segurança e análise de código.
Modus Operandi do TeamPCP
O TeamPCP utiliza credenciais de CI roubadas para acessar e modificar repositórios e fluxos de trabalho. A operação é conhecida por ser persistente e focada em alvos de alta visibilidade na segurança de software.
A conexão com o ataque Trivy sugere que o grupo está expandindo sua campanha para cobrir mais ferramentas de segurança de código aberto, potencialmente visando comprometer a confiança em ferramentas amplamente utilizadas.
O que os CISOs devem fazer agora
As organizações devem auditar imediatamente seus fluxos de trabalho do GitHub Actions para garantir que não estão utilizando ações comprometidas. É crucial revisar os logs de acesso e garantir que as credenciais de CI/CD sejam rotacionadas e protegidas com autenticação multifator.
Além disso, a implementação de verificações de integridade de código e a monitoração de atividades anômalas nos pipelines de CI/CD são medidas essenciais para mitigar riscos semelhantes no futuro.