A empresa de segurança Checkmarx confirmou um incidente relevante após a divulgação de cerca de 96 GB de dados vazados por agentes associados ao grupo LAPSUS$. O caso gerou preocupação na comunidade de tecnologia por envolver um ataque à cadeia de suprimentos, um dos vetores mais críticos e difíceis de detectar atualmente.
Apesar da gravidade do vazamento, a companhia afirmou que não há evidências de comprometimento de dados pessoais de clientes, o que ajuda a reduzir o impacto direto para usuários e empresas que utilizam suas soluções.
O ataque à cadeia de suprimentos envolvendo Checkmarx e LAPSUS$
O incidente ocorreu por meio de um ataque indireto, explorando fragilidades na cadeia de suprimentos. Os invasores utilizaram a ferramenta Trivy, bastante conhecida no ecossistema de segurança, como ponto de entrada inicial.
Relatórios indicam que o acesso foi facilitado por atividades ligadas ao grupo TeamPCP, que teria comprometido componentes utilizados no fluxo de análise de vulnerabilidades. Esse tipo de ataque é especialmente perigoso porque explora relações de confiança entre ferramentas e serviços amplamente adotados.
A associação com o grupo LAPSUS$ reforça o nível de sofisticação da operação, já que o grupo é conhecido por ataques direcionados a grandes empresas por meio de engenharia social e exploração de acessos privilegiados.
Artefatos comprometidos e riscos para desenvolvedores
Após obter acesso, os atacantes passaram a inserir código malicioso em artefatos amplamente utilizados por desenvolvedores. Entre os principais alvos estão imagens Docker, extensões do VSCode e componentes relacionados ao scanner KICS.
Esses artefatos comprometidos foram usados para coletar tokens de autenticação, credenciais e chaves de acesso armazenadas em ambientes de desenvolvimento. O risco aumenta porque ferramentas como Docker e VSCode fazem parte do fluxo padrão de milhares de projetos.
Além disso, a possível distribuição desses artefatos por plataformas como o GitHub amplia o alcance do ataque, permitindo que códigos maliciosos se espalhem rapidamente em pipelines de CI/CD.
Esse cenário evidencia um problema crítico: mesmo ferramentas confiáveis podem se tornar vetores de ataque quando sua integridade não é constantemente verificada.
Resposta da Checkmarx e impacto para clientes
Em resposta ao incidente, a Checkmarx afirmou que seus sistemas centrais permanecem seguros e que o problema foi isolado em um ambiente específico relacionado ao ecossistema de desenvolvimento.
A empresa reforçou que não houve exposição de dados sensíveis de clientes, incluindo informações pessoais ou corporativas críticas. Além disso, medidas de contenção foram rapidamente implementadas, como auditorias internas, revisão de acessos e fortalecimento dos controles de segurança.
Ainda assim, especialistas recomendam que empresas que utilizam ferramentas potencialmente afetadas realizem verificações adicionais, incluindo rotação de credenciais e análise de logs recentes.
Conclusão e lições sobre segurança na cadeia de suprimentos
O ataque que envolveu Checkmarx e o grupo LAPSUS$ reforça a crescente ameaça representada por falhas na cadeia de suprimentos. Esse tipo de ataque permite atingir múltiplos alvos de forma indireta, explorando a confiança entre ferramentas e serviços.
Para profissionais de desenvolvimento, DevOps e segurança, a principal lição é a necessidade de adotar práticas mais rigorosas, como validação contínua de dependências, uso de assinaturas digitais e monitoramento constante de ambientes.
A sofisticação de grupos como o LAPSUS$ mostra que nenhuma organização está completamente imune. Por isso, revisar processos e fortalecer a segurança não é mais opcional, é essencial.
