CEVIU Logo
Voltar

Segurança em CI/CD: modelagem de ameaças com matriz no estilo MITRE

Aprofundamento CEVIU

Aprofundamento

A matriz MITRE para CI/CD não é uma nova lista de ameaças genéricas, é um mapa operacional que traduz ataques reais em táticas observáveis. Ela mapeia técnicas como T1677 (Execução de Pipeline Envenenado) e T1195 (Comprometimento da Cadeia de Suprimentos) diretamente em estágios do pipeline: desde o checkout no SCM, passando pela execução de scripts postinstall em npm/PyPI, até a injeção de mcpAddon.js em extensões VS Code ou a substituição de tags Docker legítimas por binários infectados. O que diferencia essa abordagem é que ela parte de incidentes concretos, como a campanha Megalodon, que em 6 horas injetou workflows maliciosos em mais de 5.500 repositórios públicos do GitHub, ou o comprometimento dos pacotes @redhat-cloud-services em 1º de junho de 2026, onde o worm 'Miasma' roubou credenciais porque o pipeline foi invadido, não apenas um token.

Isso muda o foco: em vez de só escanear código ou imagens, equipes agora validam se cada etapa do pipeline tem proteções alinhadas à técnica adversária correspondente. Por exemplo, se T1677 exige acesso não autorizado ao runner, então o uso de OIDC com escopo restrito, runners auto-hospedados isolados e fixação de actions em hashes SHA deixam de ser boas práticas isoladas e viram controles obrigatórios para mitigar aquela técnica específica. A modelagem vira um laço fechado entre detecção, resposta e correção, não um documento estático.

O que mudou

A cobertura anterior do CEVIU tratava de ameaças pontuais, GitHub, containers, pacotes maliciosos, mas como fenômenos separados. Agora, a matriz MITRE integra todos eles sob um mesmo modelo de ataque: o pipeline é o alvo central. Em 27 de maio, falamos de riscos em GitHub; em 2 de junho, de fugas em containers; em 3 de junho, de artefatos comprometidos do Checkmarx KICS. Hoje, 1º de junho, a notícia mostra que esses eventos não são acidentes isolados, são manifestações diferentes da mesma tática T1195. O que mudou é a estrutura de análise: antes, respondíamos ao sintoma; agora, mapeamos o patógeno.

Por que isso importa

Porque a superfície de ataque em CI/CD cresceu 742% em 2025, e os ataques deixaram de ser raros para se tornarem sistemáticos. Um único pipeline mal configurado pode entregar credenciais de nuvem, chaves SSH e tokens OIDC para qualquer repositório público, como fez Megalodon. Sem a matriz MITRE, equipes gastam tempo corrigindo alertas de SCA ou varreduras de Trivy sem entender como esses achados se conectam à exploração real. Com ela, priorizam o que impede o atacante de chegar ao segredo, não só de detectá-lo depois. Isso reduz o tempo médio de correção de vulnerabilidades críticas em pipelines de dias para horas, e evita que um 'npm install' vire o vetor de entrada para uma fuga de dados em produção.

Linha do tempo

  1. Ataque TrapDoor compromete 34 pacotes em npm, PyPI e Crates.io, explorando scripts postinstall

  2. Análise de riscos em ambientes GitHub revela execução de código CI malicioso e exfiltração de dados

  3. Lançamento da abordagem com matriz MITRE para modelagem de ameaças em CI/CD

Perguntas frequentes

A matriz MITRE para CI/CD é diferente da versão clássica?

Sim. A versão clássica do MITRE ATT&CK cobre táticas gerais de ciberataque. A adaptação para CI/CD é específica: ela inclui técnicas como T1677 (Pipeline Envenenado) e T1195 (Cadeia de Suprimentos), com exemplos práticos de como elas se manifestam em GitHub Actions, Jenkins, Dockerfiles ou scripts postinstall. Não é uma cópia, é uma extensão operacional.

Como aplicar isso em um pipeline já em produção?

Comece mapeando seu fluxo atual contra as técnicas da matriz: onde há acesso irrestrito ao SCM? Quais runners têm permissão para acessar segredos? Qual imagem base usa? Depois, priorize controles que bloqueiam técnicas específicas, como OIDC com escopo mínimo para T1677, ou fixação em hash SHA para T1072 (Abuso de Ferramentas Legítimas). Não é preciso reescrever tudo de uma vez.

Essa modelagem substitui ferramentas como Trivy ou TruffleHog?

Não. Ela orienta *onde* e *quando* usar essas ferramentas. Por exemplo, se a matriz aponta que T1566 (Entrega de Código Malicioso via SCM) é crítica para seu caso, então você configura o TruffleHog para rodar em pull requests, não só em branches protegidos. A matriz dá contexto; as ferramentas executam a ação.

Quais incidentes recentes foram explicados por essa matriz?

A campanha Megalodon (junho/2026), o comprometimento dos pacotes Red Hat (@redhat-cloud-services), o ataque ao Checkmarx KICS e a campanha TrapDoor, todos se encaixam nas técnicas T1195 e T1677. Até o incidente do Codecov em 2021 segue o mesmo padrão, mas hoje sabemos nomear exatamente o que aconteceu: manipulação de fluxo de dados em build, não apenas uma 'falha de segurança'.

Fontes

Avalie este artigo:
Compartilhar:
Categoria
CEVIU DevOps
Publicado
01 de junho de 2026
Editoria
CEVIU DevOps

Quer receber mais sobre CEVIU DevOps?

Conteúdo curado diariamente, direto no seu e-mail.

Conteúdo curado diariamenteDiversas categoriasCancele quando quiser
Segurança em CI/CD: modelagem de ameaças com matriz