O grupo hacker TeamPCP invadiu ferramentas da empresa de segurança Checkmarx no GitHub Actions. A invasão atingiu os fluxos de trabalho checkmarx/ast-github-action e checkmarx/kics-github-action, que servem para analisar falhas em códigos.
A ação criminosa aproveitou senhas roubadas de um ataque anterior contra a ferramenta Trivy. O objetivo é roubar acessos de desenvolvedores e criar um efeito dominó que afeta vários sistemas de empresas.
O vírus chamado TeamPCP Cloud Stealer foca em capturar informações importantes nos servidores. Ele consegue extrair diversos dados sensíveis das vítimas.
- Chaves de acesso e tokens do GitHub
- Senhas de serviços de nuvem como AWS, Azure e Google Cloud
- Informações bancárias e carteiras de criptomoedas
- Endereços de integração do Slack e Discord
Os criminosos aplicam uma tática que substitui versões seguras por arquivos infectados sem mudar a aparência do projeto. Isso engana os sistemas automáticos, que continuam rodando o código perigoso sem perceber a fraude.
A ameaça também atinge os computadores locais dos desenvolvedores por meio de extensões falsas na plataforma Open VSX. Esses complementos procuram senhas salvas na máquina da vítima e baixam mais arquivos para manter o vírus ativo.
As equipes de segurança orientam a troca imediata de todas as senhas e a revisão dos registros de acesso. Os desenvolvedores também precisam adotar códigos fixos de verificação em vez de confiar apenas nas etiquetas de versão.
