De acordo com pt.wedoany.com-Um ataque massivo à cadeia de suprimentos de software, em curso há vários meses e orquestrado pelo ator de ameaça TeamPCP, está a soar o alarme para a indústria global de Inteligência Artificial: o middleware de IA tornou-se um novo trampolim estratégico para os atacantes infiltrarem ambientes de desenvolvimento e roubarem segredos essenciais. Com várias startups unicórnio de IA e cadeias de ferramentas de desenvolvimento a serem sucessivamente comprometidas, a exposição ao risco na segurança da cadeia de suprimentos de software estendeu-se das bibliotecas de código aberto de baixo nível para as camadas centrais de gateway e orquestração que suportam as aplicações de grandes modelos.

As táticas de ataque do TeamPCP demonstram uma capacidade de penetração altamente sofisticada e sistematizada na cadeia de suprimentos. Os atacantes exploraram a confiança inerente que os desenvolvedores depositam em ferramentas de segurança, como scanners de código, nos pipelines de CI/CD, transformando-as em vetores de infiltração. Em março deste ano, o grupo explorou uma falha de configuração no fluxo de trabalho do GitHub Actions do scanner de segurança de código aberto Trivy (amplamente implementado em vários pipelines de CI/CD) da empresa Aqua, realizando acessos não autorizados e roubando tokens privilegiados. Este ataque resultou diretamente na vulnerabilidade CVE-2026-33634, com uma classificação de gravidade de 9,4 (CVSS), e foi incluído no catálogo de vulnerabilidades conhecidas e exploradas pela Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA).

Após obter a "chave mestra" para o ecossistema de desenvolvedores, o TeamPCP lançou um envenenamento em larga escala e altamente direcionado entre ecossistemas. Em 24 de março de 2026, os atacantes usaram as credenciais roubadas para publicar no Python Package Index versões do middleware central de IA LiteLLM (1.82.7 e 1.82.8) com código malicioso de roubo de dados. O LiteLLM, um gateway central que unifica chamadas de API para mais de 100 grandes modelos de linguagem, tem uma média de downloads mensais de aproximadamente 97 milhões. O código malicioso utilizou o mecanismo de arquivos .pth do Python para alcançar persistência furtiva, executando-se automaticamente a cada inicialização do interpretador Python, recolhendo silenciosa e sistematicamente chaves SSH, credenciais de vários provedores de nuvem, tokens de cluster Kubernetes e credenciais Git dos ambientes de desenvolvimento. Em seguida, os atacantes expandiram o envenenamento para frameworks de inferência de IA e bibliotecas de desenvolvimento cruciais como Xinference, Telnyx SDK e o ecossistema TanStack (42 pacotes npm centrais).

As linhas de defesa internas de vários gigantes de IA e tecnologia foram sucessivamente violadas neste incidente. Conforme divulgado pela OpenAI, o envenenamento da cadeia de suprimentos do TanStack pelo TeamPCP afetou a empresa, com dispositivos corporativos de dois funcionários a serem infetados, levando à fuga de credenciais de acesso a alguns repositórios internos de código-fonte; felizmente, não foram detetados roubos de dados de clientes. A empresa francesa de inteligência artificial Mistral AI confirmou que o seu ambiente de gestão de código e processamento de pacotes foi invadido por terceiros, e alguns pacotes de ferramentas de desenvolvimento de software foram temporariamente contaminados.

O ataque bem-sucedido a estes nós de alto valor desencadeou rapidamente múltiplas ameaças secundárias. Os atacantes alegaram ter obtido quase 450 repositórios de código quase completos da Mistral AI e exigiram publicamente um resgate de 25.000 dólares, ameaçando divulgar os dados. A monitorização subsequente da IBM X-Force e da SentinelOne descobriu que as chaves de API de IA roubadas em massa já tinham estabelecido um caminho de monetização maduro e direto nos mercados da dark web. Além disso, a SentinelOne descobriu uma nova estrutura de worm, de codinome PCPJack, nos ambientes comprometidos pelo TeamPCP; este worm remove a carga maliciosa original do TeamPCP enquanto implanta as suas próprias ferramentas de roubo, resultando numa luta caótica pela tomada e pilhagem da infraestrutura de ataque.

Esta série de eventos indica fortemente que o foco tático dos atacantes sofreu uma mudança fundamental, passando de uma varredura indiscriminada para ataques cirúrgicos de precisão contra nós centrais "de alto valor, altos privilégios e alta dependência" na pilha de tecnologia de IA. O middleware de IA, representado pelo LiteLLM, constitui um ponto de concentração de credenciais extremamente valioso devido à sua necessidade operacional de agregar um grande número de chaves de API de grandes modelos e serviços de nuvem a jusante. Uma vez comprometida esta camada intermédia, os atacantes podem mover-se lateralmente para os clusters Kubernetes, transformando a invasão de um componente local numa catástrofe ao nível da plataforma que afeta o ambiente de produção e os ativos de dados centrais.

A Cloud Security Alliance (CSA), numa análise aprofundada do incidente, alerta que o middleware de IA se situa na interseção crítica do fluxo de dados e da gestão de chaves. Estes componentes de camada intermédia, negligenciados do ponto de vista da segurança tradicional, devem agora ser tratados como infraestrutura de informação crítica, implementando monitorização contínua rigorosa, isolamento de chaves e controlo de privilégios mínimos, para evitar que ataques à cadeia de suprimentos de software provoquem um colapso em cadeia através das relações de confiança.

Este texto foi elaborado por Wedoany. Qualquer citação por IA deve indicar a fonte “Wedoany”. Em caso de infração ou outros problemas, informe-nos prontamente, por favor. O conteúdo será corrigido ou removido. E-mail: news@wedoany.com