nulltropic

NULLTROPIC

Reinventando AppSec para a era da IA

A semana de 25 a 31 de março de 2026 marcou um ponto de virada na segurança da cadeia de suprimentos cloud-native. Em nove dias, o grupo de ameaças TeamPCP (também rastreado como PCPcat, ShellForce e CipherForce) transformou quatro ferramentas fundamentais do ecossistema DevSecOps em máquinas de coleta de credenciais, visando chaves IAM da AWS, service accounts do GCP e segredos do Kubernetes de milhares de pipelines corporativos. O ataque começou com a injeção de código malicioso em 76 das 77 tags de versão do scanner de containers Trivy da Aqua Security, explorando um workflow do GitHub Actions não sanitizado para coletar credenciais de pipelines CI/CD.

Ataque em Cascata na Cadeia de Suprimentos

Usando as credenciais roubadas do comprometimento do Trivy, o TeamPCP comprometeu sequencialmente as extensões IDE Checkmarx KICS, o pacote proxy de IA LiteLLM (~480 milhões de downloads no PyPI) e o SDK Python da Telnyx. Um payload de roubo de credenciais rastreado como CVE-2026-33634 (CVSS 9.4) foi desenvolvido especificamente para exfiltrar chaves IAM da AWS, credenciais de service accounts do GCP, variáveis de ambiente do Azure e segredos do Kubernetes. Em 30 de março, o TeamPCP anunciou uma parceria de ransomware com a nova operação Vect RaaS, com pelo menos uma implantação confirmada usando credenciais coletadas pelo grupo.

O comprometimento do LiteLLM representa um vetor de ataque inédito em infraestrutura de IA. Como gateway unificado para mais de 100 APIs de LLMs (OpenAI, Anthropic, AWS Bedrock, Vertex AI), uma única instância comprometida expõe todas as credenciais de provedores de IA que a organização possui.

Comprometimento do Axios: RAT da Coreia do Norte em Pacote com 100M+ Downloads Semanais

Em 31 de março, um atacante desconhecido comprometeu as contas GitHub e npm do desenvolvedor principal do Axios, uma biblioteca cliente HTTP amplamente utilizada, e publicou pacotes npm backdoorados com uma dependência maliciosa que desencadeava a instalação de droppers e trojans de acesso remoto. O Google Threat Intelligence Group atribuiu publicamente o comprometimento ao UNC1069, um ator de ameaças com motivação financeira vinculado à Coreia do Norte, com base em sobreposições de infraestrutura e uso do backdoor WAVESHAPER.V2. As versões maliciosas ([email protected] e [email protected]) ficaram ativas por aproximadamente três horas antes da remoção.

Vulnerabilidade “Double Agent” no Vertex AI da Google

A Palo Alto Networks Unit 42 revelou uma “blind spot” estrutural na plataforma Vertex AI do Google Cloud: o Service Agent por Projeto e Produto (P4SA) associado a agentes de IA implantados via Agent Development Kit (ADK) carrega permissões perigosamente amplas por padrão. Um atacante pode criar um agente de IA malicioso como um arquivo Python pickle serializado, implantá-lo no Reasoning Engine do Vertex AI, consultar o serviço de metadados do Google para extrair credenciais P4SA e, em seguida, escapar do ambiente isolado do agente, operando como uma service account altamente privilegiada com acesso irrestrito a todos os buckets GCS e repositórios restritos do Artifact Registry no projeto.

O Google revisou sua documentação e agora recomenda fortemente uma arquitetura Bring Your Own Service Account (BYOSA) para todas as implantações do Vertex AI. Agentes de IA são identidades de serviço com permissões reais e devem ser governados através da estrutura IAM existente, não tratados como “apenas um aplicativo”.

AppSec na Era da IA: Por Que os Modelos de 2026 Estão Quebrados

Como observado por Scott Gerlach, co-fundador e CSO da StackHawk: “Antes, eu diria que mesmo no final do ano passado, os programas de AppSec ainda eram realmente reativos e apenas tentando acompanhar o melhor que podiam. E então a IA chega e todos ficam tipo, uau, estamos muito atrasados agora.” Joe Sullivan, ex-CSO da Cloudflare, Facebook e Uber, acrescenta: “O volume de código que eles estão enviando para segurança está aumentando 10x. E infelizmente, o volume de vulnerabilidades também está aumentando 10x.”

O modelo centrado em tickets é um sinal revelador de um programa imaturo. Tickets são um canal de comunicação em lote e assíncrono, enquanto ataques à cadeia de suprimentos, zero-days explorados e vulnerabilidades geradas por IA operam em tempo real e de forma contínua.

DAST Legacy vs. Moderno: Arquitetura que Determina o Raio de Impacto

O DAST legacy testa aplicações de produção conhecidas e voltadas para o público a partir de fora do perímetro da rede, através de WAFs e CDNs que geram sinais falsos. O resultado: 90% de taxas de falsos positivos, cobertura esparsa e descobertas que chegam tarde demais. O DAST moderno executa 5-10 vezes por dia, testa cada microserviço e API conforme se move pelo pipeline CI/CD, executa dentro do ambiente de desenvolvimento e entrega descobertas diretamente ao desenvolvedor que introduziu a alteração no momento em que ele pode realmente corrigi-la.

Agentes de IA no Loop de Desenvolvimento: Identidade como Risco Estrutural

Gerlach descreve o estado agêntico ideal: Claude Code ou Cursor, após escrever um novo recurso, aciona automaticamente uma varredura DAST contra a aplicação em execução, consome as descobertas e corrige todas elas dentro do mesmo loop do agente, antes mesmo que um humano revise o PR. No entanto, a vulnerabilidade “Double Agent” do Vertex AI demonstra o risco do modelo de identidade: agentes de IA com permissões excessivas por padrão podem se tornar ameaças internas quando mal configurados.

Ações Imediatas para Líderes de Segurança

  • Gire imediatamente todos os segredos acessíveis a runners de pipeline que executaram Trivy, Checkmarx KICS ou LiteLLM entre 19 e 27 de março
  • Fixar todas as GitHub Actions em commit SHAs completos, não tags flutuantes
  • Faça downgrade para [email protected] (ou @0.30.3 para usuários legados) e gire todas as chaves de cloud, tokens de repositório e credenciais de API expostas em ambientes afetados
  • Audite os escopos de permissão do P4SA e migre para arquiteturas BYOSA para todas as cargas de trabalho agênticas do Vertex AI
  • Trate agentes de IA como identidades de serviço, não como aplicações, aplicando sua estrutura de governança IAM antes da implantação em produção

Os ataques da semana de março de 2026 não exploraram zero-days exóticos. Eles exploraram a lacuna entre a velocidade do desenvolvimento moderno e a lentidão com que a segurança se adaptou a essa velocidade. Em 2026, o CEO está se voltando para o CISO dizendo: “Quero que você lidere a transformação de IA para a empresa.” Segurança que se posiciona como um habilitador de negócios para essa transformação, não apenas como um exercício de gerenciamento de risco, será fundamental para o sucesso organizacional.

Análise baseada no Cloud Security Newsletter (01/04/2026). Pesquisa e adaptação: N00TROP1C — NULLTROPIC, 2026.

N00-AI

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *