## Cadeia de Suprimentos Sob Cerco: CISA Responde a Ameaças Emergentes A **CISA** está levantando preocupações sobre múltiplas campanhas emergentes de intrusão na cadeia de suprimentos de software, visando especificamente ecossistemas de desenvolvedores e pipelines de Integração Contínua/Desenvolvimento Contínuo (CI/CD). Esses ataques exploram vulnerabilidades em ferramentas e processos que suportam ambientes corporativos, de nuvem e DevOps. ### GitHub Comprometido via Extensão Maliciosa do VS Code Atores de ameaças alavancaram um comprometimento anterior de sistemas de desenvolvedores **Nx** para comprometer o dispositivo de um funcionário do **GitHub** através de uma extensão maliciosa de terceiros para VS Code. Isso resultou em acesso não autorizado e exfiltração de repositórios internos do **GitHub**. A extensão maliciosa, versão 18.95.0 do **Nx Console**, foi distribuída através do mecanismo de atualização automática do VS Code. Sistemas com **Nx Console** previamente instalado podem ter recebido a build maliciosa sem qualquer ação manual dos desenvolvedores. O **GitHub** emitiu um [aviso de segurança](https://github.com/nrwl/nx-console/security/advisories/GHSA-c9j4-9m59-847w) sobre este incidente, e a **CVE-2026-48027** foi atribuída à versão maliciosa do **Nx Console** e adicionada ao [Catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV) da CISA](https://www.cisa.gov/known-exploited-vulnerabilities-catalog). ### Campanha 'Megalodon': Injetando Fluxos de Trabalho Maliciosos Em uma campanha denominada 'Megalodon', atores de ameaças injetaram fluxos de trabalho maliciosos do **GitHub** Actions para coletar segredos de CI/CD, credenciais de nuvem e tokens. Isso impactou pipelines de desenvolvimento e implantação em repositórios públicos do **GitHub**. ### Recomendações da CISA para Detecção e Remediação A **CISA** exorta as organizações a implementar as seguintes recomendações para detectar e remediar potenciais comprometimentos: * Monitorar e auditar arquivos de fluxo de trabalho e atividade de contribuidores em busca de pull requests e commits diretos suspeitos, especialmente aqueles de contas automatizadas. * Reverter alterações não autorizadas, particularmente aquelas de contas automatizadas (por exemplo, `build-bot`, `auto-ci`, `ci-bot`, `pipeline-bot`), especialmente aquelas feitas após 18 de maio de 2026. ### Passos de Resposta a Incidentes Se sua organização descobrir um comprometimento resultante de software **GitHub** ou **Nx Console** previamente comprometido, a **CISA** recomenda os seguintes passos: * Realizar uma revisão forense de logs de CI/CD, trilhas de auditoria de nuvem e máquinas de desenvolvedores afetadas. * Rotacionar/revogar todos os segredos, incluindo credenciais, tokens e segredos acessíveis a pipelines de CI/CD, como chaves de API, credenciais de provedores de nuvem (**Amazon Web Services**, **Google Cloud Platform**, **Microsoft Azure**), chaves SSH, tokens **Docker**/**npm**/**PyPI**/**Vault**/**Terraform**/**Kubernetes**, tokens **GitHub**/**GitLab**/**Bitbucket**, e segredos de desenvolvedores ou de pipeline. * Notificar as partes interessadas relevantes, conforme necessário. ### Melhores Práticas para Repositórios de Pacotes A **CISA** recomenda as seguintes melhores práticas para o uso de repositórios de pacotes: * Aguardar pelo menos três horas antes de puxar um novo pacote para permitir que a comunidade de software tenha tempo de identificar pacotes suspeitos ou maliciosos. * Fixar o software em versões confiáveis específicas para evitar puxar um pacote malicioso ou não verificado durante o processo de build. * Puxar pacotes apenas de fontes conhecidas e confiáveis para reduzir a probabilidade de baixar um pacote maliciosamente forkado. ### Recursos Consulte estes recursos para mais informações sobre esses comprometimentos: * GitHub: [Investigating unauthorized access to GitHub-owned repositories](https://github.blog/security/investigating-unauthorized-access-to-githubs-internal-repositories/) * Nx: [Postmortem: Nx Console v18.95.0 supply-chain compromise](https://nx.dev/blog/nx-console-v18-95-0-postmortem) * Ox Security: [Megalodon: CI/CD Malware Spreading Across GitHub Repositories](https://www.ox.security/blog/megalodon-cicd-malware-github/) * StepSecurity: [Nx Console VS Code Extension Compromised](https://www.stepsecurity.io/blog/nx-console-vs-code-extension-compromised#indicators-of-compromise) * SafeDep: [Megalodon: Mass GitHub Repo Backdooring via CI Workflows](https://safedep.io/megalodon-mass-github-repo-backdooring-ci-workflows/) ## Aviso Legal As informações neste relatório são fornecidas "no estado em que se encontram" apenas para fins informativos. A **CISA** não endossa nenhuma entidade comercial, produto, empresa ou serviço, incluindo quaisquer entidades, produtos ou serviços vinculados neste documento.