Esta é a primeira atualização do relatório de inteligência de ameaças da campanha da cadeia de suprimentos do TeamPCP, “Quando o scanner de segurança se tornou a arma” (v3.0, 25 de março de 2026). Esse relatório cobre a campanha completa desde o acesso inicial de 28 de fevereiro até o compromisso LiteLLM PyPI de 24 de março. Esta atualização cobre os desenvolvimentos desde a publicação.
A nova descoberta mais significativa desde a publicação do relatório: o alcance do Checkmarx ast-github-action o compromisso foi substancialmente maior do que o divulgado publicamente.
O comunicado oficial de segurança da Checkmarx afirmou que “todas as versões mais antigas foram excluídas permanentemente”, mas não quantificou quantas tags foram afetadas. Esta ambiguidade permitiu à comunidade de segurança ancorar-se numa única versão confirmada – v2.3.28 – como a extensão do compromisso. A análise da Sysdig caracterizou-o como “Checkmarx/ast-github-action/2.3.28: (possivelmente mais).” Até mesmo Wiz, que avaliou que “é provável que todas as tags tenham sido impactadas”, observou apenas uma única tag diretamente.
Um pesquisador de segurança independente que estava trabalhando neste incidente em primeira mão em um cliente da Checkmarx forneceu agora evidências primárias de que todas as 91 tags publicadas foram substituídos – todas as versões de v0.1-alpha até v2.3.32. A evidência é publicamente visível no Registro de atividades do GitHubque mostra 91 exclusões de tags realizadas durante a correção da Checkmarx entre 19h09 e 19h16 UTC em 23 de março de 2026.
Três dos commits maliciosos ainda estão visíveis no GitHub:
Cada commit malicioso segue um padrão idêntico: o legítimo baseado em Docker action.yml foi substituído por uma ação composta que executa um roubo de credenciais setup.sh antes de delegar para a ação legítima do Checkmarx no SHA fixado 327efb5d. Cada commit foi elaborado individualmente com um carimbo de data e hora retroativo apropriado para a versão e uma mensagem de commit falsa (por exemplo, “2.0.30: PR #”). O invasor não reutilizou um único commit malicioso em várias tags – ele criou commits envenenados individuais para versões individuais.
O impacto desta subnotificação é material. Organizações que pesquisaram seus logs de CI/CD apenas por (email protected) teria perdido execuções comprometidas referenciando qualquer uma das outras 90 tags envenenadas. O ladrão de credenciais foi executado independentemente da versão da tag referenciada.
Ação recomendada: Pesquise nos logs de fluxo de trabalho de CI/CD QUALQUER referência a checkmarx/ast-github-action que foi executado entre 12h58 e 19h16 UTC em 23 de março de 2026. Se encontrado, trate todos os segredos acessíveis a esse fluxo de trabalho como comprometidos e alterne imediatamente. A única versão segura é a v2.3.33, lançada durante a correção.
Para efeito de comparação, o companheiro kics-github-action recebeu relatórios precisos de “todas as 35 tags” desde o início, principalmente porque Edição nº 152 do GitHub foi arquivado publicamente com o título “Malware injetado em todas as tags Git”. Nenhuma emissão pública equivalente foi registrada para ast-github-action.
CISA adiciona CVE-2026-33634 ao catálogo de vulnerabilidades exploradas conhecidas
CISA adicionou CVE-2026-33634 (CVSS 9.4) ao catálogo de Vulnerabilidades Exploradas Conhecidas (KEV), confirmando a exploração ativa. As agências federais são obrigadas a remediar 3 de abril de 2026. Todas as organizações que usam Trivy, trivy-actionou setup-trivy devem verificar se estão executando versões seguras:
- Binário trivial: ≥ v0.69.2
- ação trivial: v0.35.0 (ou fixar em SHA
57a97c7e7821a5776cebc9bb87c984fa69cba8f1) - curiosidades sobre configuração: v0.2.6 (relançado limpo)
Quarentena PyPI suspensa; LiteLLM congela todos os lançamentos
O PyPI suspendeu a quarentena do pacote LiteLLM em 25 de março às 20h15 UTC. As versões maliciosas 1.82.7 e 1.82.8 foram eliminadas. No entanto, BerriAI anunciou que estão pausando todos os novos lançamentos do LiteLLM enquanto se aguarda uma revisão completa da segurança da cadeia de abastecimento. A Mandiant do Google foi contratada para análise forense. A última versão segura conhecida é v1.82.6.rc.2.
Qualquer instalação do LiteLLM v1.82.7 ou v1.82.8 deve ser tratada como comprometida – gire todas as credenciais que estavam presentes como variáveis de ambiente, em arquivos de configuração ou em segredos do Kubernetes no sistema afetado.
Duas ferramentas de detecção desenvolvidas pela comunidade estão agora disponíveis:
- jthack/litellm-vuln-detector — Verifica se há malware
.ptharquivos, backdoors de persistência (~/.config/sysmon/sysmon.pyserviços de usuário do systemd), domínios de exfiltração (models.litellm.cloud) e pods atacantes do Kubernetes (node-setup-*emkube-system). - Essência de detecção de comunidade — Verifica versões comprometidas do LiteLLM e indicadores TeamPCP.
Execute-os em seus executores de CI/CD, estações de trabalho de desenvolvedor e quaisquer sistemas onde o LiteLLM foi instalado durante a janela de exposição de 24 de março.
Inteligência Adicional
Declaração do Telegram TeamPCP: O ator da ameaça postou em seu canal Telegram: “Essas empresas foram construídas para proteger suas cadeias de suprimentos, mas não conseguem nem proteger as suas próprias… estaremos por aí por muito tempo roubando terabytes (sic) de segredos comerciais com nossos novos parceiros”. Soquete.dev caracteriza isso como uma confirmação de que o TeamPCP está visando deliberada e sistematicamente as ferramentas de segurança como estratégia.
Wiz publica terceira análise: Pesquisa Wiz publicada “Três é uma multidão: TeamPCP Trojaniza LiteLLM”confirmando que o LiteLLM está presente em 36% dos ambientes de nuvem monitorados. Esta é a terceira postagem do blog Wiz cobrindo o arco da campanha (Trivy, KICS, LiteLLM).
Horário da Conferência RSA: Os analistas avaliam que o TeamPCP pode ter programado deliberadamente o ataque LiteLLM para coincidir com a Conferência RSA, quando muitas equipes de segurança reduziram o pessoal. Esta avaliação, relatada por CSO on-linebaseia-se na correlação temporal e não foi confirmado pelo autor da ameaça ou por evidências forenses.
Campanha paralela — ForceMemo: Relatórios da Semana de Segurança uma campanha separada (“ForceMemo”) usando credenciais roubadas por meio de extensões GlassWorm VS Code para forçar o envio de código malicioso em aproximadamente 150 repositórios GitHub Python. Isto NÃO é TeamPCP, mas demonstra a amplitude do cenário atual de ameaças à cadeia de suprimentos.
Assistir itens
- Divulgações de violação de vítimas nomeadas – esperadas em breve devido à extorsão ativa
- Expansão para RubyGems, crates.ioou Maven Central – previsto por Laboratórios Endor mas ainda não confirmado
- Aqua Security prometeu descobertas adicionais até o final do dia 26 de março
- Consultoria autônoma CISA – entrada KEV emitida, mas nenhum documento consultivo dedicado ainda
O relatório completo da campanha está disponível em sans.org/white-papers/when-security-scanner-became-weapon. Um webcast de emergência SANS está agendado para sans.org/webcasts/when-security-scanner-became-weapon.
Deseja saber mais sobre Segurança Clique Aqui!
Perito em Computação Forense e Crimes Cibernéticos
Investigação Digital | Laudos Técnicos | Resposta a Incidentes
Bacharel em Sistemas da Informação, Certificado Microsoft Azure IA e MOS. Trabalho como Administrador de Redes, Firewall e Servidores Windows e Linux!
Minhas atividades favoritas são: Caminhar, Fazer Trilhas, Natureza, Insetos e claro ler sobre Tecnologia.