SmokedMeat: Uma Ferramenta Red Team para Atacar Seus Pipelines Primeiro

SmokedMeat é um framework de red team e pós-exploração de código aberto (AGPLv3) desenvolvido especificamente para pipelines CI/CD. Posicionado como um equivalente ao Metasploit para infraestrutura de build, foi lançado após os comprometimentos de março de 2026 realizados pela TeamPCP contra Trivy, LiteLLM, KICS, Telnyx e dezenas de pacotes npm. Uma TUI cross-platform guia os operadores através do reconhecimento de GitHub Actions workflows para vulnerabilidades de injeção e pwn request, entrega de stager via PR/issue/comment/workflow dispatch, um implante específico de domínio (Brisket) que rastreia a memória do runner em busca de secrets e enumera permissões de token, e pivots que trocam OIDC tokens por acesso AWS/GCP/Azure, mapeando o raio de impacto em um grafo de ataque em tempo real. A ferramenta deve ser executada apenas em infraestrutura própria ou com autorização explícita por escrito para testes, utilizando o whooli incluído, uma org GitHub deliberadamente vulnerável criada como um ambiente seguro para testes antes de ser direcionada a pipelines de produção.