Zapocalypse: a cadeia de ataque que quase sequestrou o Zapier
Aprofundamento CEVIU
Aprofundamento
A cadeia de ataque descoberta no Zapier expõe uma vulnerabilidade crítica no isolamento de sandbox Python: o comando os.system executava sem restrições, permitindo que código não confiável escapasse do ambiente isolado. Os pesquisadores conseguiram extrair tokens STS órfãos do heap Lambda, credenciais com permissões para ECR (Elastic Container Registry) e repositórios privados. A exploração foi além do Python: tokens NPM de alto privilégio foram vazados através de argumentos ARG e variáveis ENV no processo de build, contornando os mecanismos padrão de segurança.
O acesso ao ECR foi particularmente criativo: em vez de usar o Docker normal (que ativaria monitoramento), os atacantes chamaram a API do ECR diretamente via credenciais comprometidas. Isso ressalta um padrão emergente em 2026: falhas de sandbox e isolamento de código em plataformas de automação afetam não apenas o código executado, mas toda a cadeia de suprimentos do desenvolvedor, desde variáveis de build até artefatos finais armazenados em registros de imagem.
O que mudou
Enquanto os ataques anteriores explorados pelo CEVIU (TrapDoor, Claude Code, Checkmarx KICS) focavam em comprometer pacotes publicados ou workflows de CI via GitHub Actions, o Zapier "Zapocalypse" demonstra um novo vetor: falhas de sandbox em plataformas de execução de código não confiável de terceiros. Onde o Claude Code explorou permissões fracas no GitHub Actions e o Checkmarx KICS teve binários substituídos em registros públicos, o Zapier permitiu que o próprio ambiente de execução isolado vazasse credenciais administrativas do Lambda, um nível de criticidade anterior ao ponto de publicação. A mitigação também diverge: não se trata de validar pacotes publicados ou scripts de build, mas de fortalecer o isolamento em tempo de execução com validação de permissões IAM em tempo real.
Por que isso importa
O Zapier é uma plataforma de automação usada por milhões de usuários para conectar aplicativos empresariais. Uma cadeia de ataque bem-sucedida aqui não apenas comprometeria dados dos usuários do Zapier, mas abriria acesso a repositórios privados, ECR, NPM e contas de nuvem de clientes em escala. Tokens extraídos poderiam ser vendidos ou reutilizados para takeover de contas em cadeia, exatamente o cenário que o CEVIU cobriu com o TrapDoor e as campanhas recentes de pacotes maliciosos.
A descoberta também reforça que sandbox Python, isolamento de container e verificação de variáveis de ambiente são camadas que precisam se reforçar simultaneamente. A Token Security identificou um padrão: credenciais não são apenas roubadas durante build (como em npm), mas também podem ser vazadas do heap de processos em execução. Empresas que usam Zapier, especialmente para conectar CI/CD e deploys, precisam revisar permissões IAM, ativar monitoramento de egress e rotacionar tokens imediatamente.
Linha do tempo
Campanha TrapDoor descobre 34 pacotes maliciosos em npm, PyPI e Crates.io, abrangendo 384 versões
Análise aprofundada da TrapDoor revela exploração de pontos de execução nativa em cada ecossistema
Descoberta de falha no GitHub Actions do Claude Code permitindo bypass de permissões e acesso a variáveis de ambiente
Pacote npm codexui-android exfiltra tokens da OpenAI durante 384 versões sem detecção
Imagens Docker e extensões VS Code do Checkmarx KICS comprometidas com injeção de malware
Falha no VSCode webview permite roubo de tokens GitHub via link malicioso
Pesquisadores Token Security descobrem cadeia de ataque crítica no sandbox Python do Zapier (Zapocalypse), permitindo vazamento de tokens STS, ECR e NPM
Perguntas frequentes
Como exatamente tokens STS foram extraídos do heap do Lambda?
Quando os.system foi executado dentro do sandbox Python do Zapier, conseguiu acessar a memória (heap) do processo Lambda que o hospedava. Tokens STS órfãos, geralmente deixados em memória por processos anteriores ou não limpados corretamente, estavam acessíveis. Isso mostra que isolamento de sandbox em Python não é suficiente se o próprio sistema operacional permitir acesso à memória compartilhada.
Por que chamar a API do ECR diretamente era mais perigoso que usar Docker?
Docker CLI em ambientes monitorados geralmente ativa logs e webhooks de acesso. A API do ECR chamada diretamente, porém, pode ser silenciosa se não houver alertas configurados. Com credenciais roubadas, o atacante baixava imagens privadas sem deixar rastro no histórico de pull do Docker, contornando defesas baseadas em eventos de container.
Como tokens NPM foram vazados via ARG/ENV em build?
Durante o processo de build, argumentos ARG e variáveis de ambiente ENV são frequentemente incorporados em camadas de imagem Docker ou armazenados em logs de build. Se o atacante tinha acesso ao ambiente de build do Zapier, conseguia ler essas variáveis antes de serem limpas. Tokens NPM de CI ali armazenados permitiam takeover de contas npm que publicam pacotes ou atualizam dependências.
Que empresas são mais afetadas por essa falha?
Qualquer organização que usa Zapier para automatizar workflows críticos (deploy, alertas, sincronização de credenciais) com acesso a repositórios privados, ECR ou npm está exposta. Agências digitais, startups de SaaS e equipes DevOps que conectam Zapier a AWS ou GitHub são particularmente vulneráveis.
Links relacionados
- 🔓Como um issue no GitHub pode comprometer a supply chain do Claude Code
- 🚨Campanha de malware TrapDoor coloca estações de trabalho de desenvolvedores em foco dos CISOs
- 🚨Pacotes Maliciosos em npm, PyPI e Crates.io Roubam Carteiras de Criptomoedas, Chaves SSH e Credenciais de Nuvem
- ☠️Ferramenta para Codex com 27 mil downloads rouba secretamente tokens de atualização da OpenAI
- 🔑Roubo de token GitHub com 1 clique via bug no VSCode
- 🔓Artefatos maliciosos encontrados em repositórios oficiais e extensões do Checkmarx KICS
- Categoria
- CEVIU Segurança da Informação
- Publicado
- 05 de junho de 2026
- Fonte
- CEVIU Segurança da Informação