O que é o ataque

O repositório oficial do Checkmarx KICS no Docker Hub foi alvo de um ataque de cadeia de suprimentos de software. Imagens Docker e extensões VS Code foram alteradas para capturar e exfiltrar credenciais de desenvolvedores e segredos de infraestrutura em nuvem.

Como funciona o ataque

Os atacantes infiltraram-se no repositório do Checkmarx KICS, substituindo imagens confiáveis por versões trojanizadas. Essas imagens continham um binário Golang modificado para gerar relatórios de análise de infraestrutura como código (IaC) e enviá-los para um endpoint controlado pelos atacantes. Extensões VS Code também foram comprometidas para executar cargas maliciosas.

Sinais de alerta

Para identificar se você foi afetado, fique atento a:

• Imagens Docker com tags não reconhecidas, como v2.1.21
• Extensões VS Code com comportamento anômalo
• Repositórios GitHub desconhecidos criados em sua conta

Como se proteger

Para se proteger, siga estas recomendações:

• Verifique a origem das imagens Docker antes de usá-las
• Atualize regularmente suas ferramentas de desenvolvimento
• Monitore suas credenciais e tokens de autenticação

Checklist prático

1. Revise suas imagens Docker e remova versões não confiáveis
2. Atualize suas extensões VS Code para as versões mais recentes
3. Implemente autenticação multifator em suas contas de desenvolvimento

Perguntas frequentes

O que é o Checkmarx KICS?

O Checkmarx KICS é uma ferramenta de segurança que verifica a infraestrutura como código para identificar vulnerabilidades.

Como os atacantes comprometeram o repositório?

Os atacantes substituíram imagens Docker confiáveis por versões maliciosas e comprometeram extensões VS Code.

Quais são os riscos desse ataque?

O ataque pode expor credenciais sensíveis e segredos de infraestrutura, facilitando invasões futuras.

Conheca: Cofre Corporativo de MFA, Gestao de Acesso, Autenticacao Forte. mfa2go.com

Fontes:
https://gbhackers.com/checkmarx-kics-docker-repo-hijacked/