Cibersegurança

Malware em Trivy e Checkmarx expõe 500 mil contas corporativas

Felipe Amorim

Ataque CVE-2026-33634 revela nova fragilidade em pipelines CI/CD

Trivy – A ferramenta de verificação de vulnerabilidades virou porta de entrada para um dos maiores ataques à cadeia de suprimentos já registrados, desencadeando um roubo massivo de tokens de nuvem, chaves SSH e até 500 mil contas, de acordo com relatórios recentes.

Índice de Conteúdos
  • Em resumo: TeamPCP contaminou Trivy, Checkmarx e LiteLLM, afetando mais de 20 mil repositórios em poucos dias.

Como o TeamPCP infiltrou códigos confiáveis

Em 19 de março, o grupo aproveitou credenciais remanescentes de um incidente anterior para substituir 76 das 77 tags oficiais do trivy-action. A manipulação silenciosa dos metadados fez com que cada build legítimo executasse malware, padrão que se repetiu em 23 de março no Checkmarx KICS e, no dia 24, nas versões 1.82.7 e 1.82.8 do LiteLLM distribuídas pelo PyPI. Segundo o BleepingComputer, os invasores já reivindicam centenas de gigabytes de dados surrupiados.

“Mais de 20 mil repositórios são considerados suscetíveis a ataques.”

Por que a falha muda as regras de segurança corporativa

O CVE-2026-33634 (pontuação CVSS 9,4) mostrou que assinaturas de código e verificações de dependência não bastam quando o invasor compromete a própria ação do GitHub. Analistas da Cloud Security Alliance alertam que pipelines CI/CD tornaram-se o novo perímetro: 78% das empresas já executam workloads sensíveis nessas esteiras, movimentando US$ 1,2 trilhão em ativos digitais. Com backdoors persistentes capazes de destruir clusters Kubernetes fora do fuso de Teerã, o episódio eleva o alerta para riscos geopolíticos e para worms auto-replicantes, como o CanisterWorm que agora circula no ecossistema npm.

Especialistas recomendam pinagem por hash, tokens efêmeros via OIDC e varredura de tráfego para domínios de typosquatting (scan.aquasecurtiy[.]org, checkmarx[.]zone, models.litellm[.]cloud). Ferramentas open-source como Allstar, Zizmor e Gato-X podem reforçar políticas de privilégio mínimo no GitHub Actions.

O que você acha? Sua empresa já trata a pipeline como perímetro? Para mais análises, acesse nossa editoria de Cibersegurança.

Crédito da imagem: Divulgação / Kaspersky

Anatel planeja leilão 6 GHz em 2028 para ampliar inclusão digital
Oracle lidera 78,5 mil demissões e IA acelera cortes globais
Cisco fecha brecha que dava controle total ao IMC
Spotify e gravadoras cobram US$ 322 mi do Anna’s Archive
AI Brasil nomeia Anderson Soares para comandar estratégia de IA
Compartilhe esse Artigo
Feito PorFelipe Amorim
Engenheiro de Sistemas e Especialista em Cloud Computing com ampla experiência na área de TI corporativa.
Artigo anterior Artemis II abre ao Brasil disputa por fatia de US$ 1,8 tri lunar
Próximo Artigo Oracle lidera 78,5 mil demissões e IA acelera cortes globais

Redes Sociais

A Corrida pela Nuvem: A Nova Era da IA Corporativa
Gigantes da tecnologia estão reestruturando suas operações e investindo bilhões em infraestrutura de inteligência artificial. Entenda o real impacto no mercado de TI.

Últimas Notícias

Empresas correm para controlar agentes de IA autônoma
Negócios e Inovação
Timer de 15h e 19 funções: 4 máquinas de pão que valem o investimento
Negócios e Inovação
Redes 6G da Ericsson prometem se autogerenciar sem humanos
Negócios e Inovação
Príncipe surfista lança livro para reviver legado de Dom Pedro II
Negócios e Inovação

Você também pode gostar disso