正体不明の攻撃者がJenkinsのCheckmarxプラグインを悪用し、認証情報を流出させるための有害なコードを埋め込みました。この侵害は、TeamPCPとして知られる集団によって組織された、継続的なソフトウェアサプライチェーン攻撃の一連の最新版です。
Jenkinsは何千もの企業によってソフトウェアのコンパイル、テスト、デプロイメントを自動化するために利用されています。Checkmarx ASTプラグインは、これらの自動化パイプライン内でセキュリティ監査の統合を容易にします。先週末、Checkmarxは修正され侵害されたバージョンのプラグインがJenkinsマーケットプレイス内に浮上したことを示す正式なアラートを発行しました。
同社は現在、修復されたセキュアなバージョンを開発していることを発表しました。バージョン2026.5.09として指定された偽造リリースは、5月9日にrepo.jenkins-ci.orgリポジトリにアップロードされ、公式の公開プロトコルを回避しました。アナリストは、バージョン番号が確立された命名法から逸脱し、対応するGitHubタグやリリースドキュメントがないことを指摘しました。
TeamPCPが侵害の責任を主張しています。このグループは以前、Shai-HuludのNPM攻撃とTrivyの脆弱性スキャナーの侵害に関与していました。オフェンシブセキュリティエンジニアのAdnan Khanによると、攻撃者はCheckmarxのGitHubリポジトリへの不正なアクセスを取得して、認証情報収集ペイロードを注入しました。
Checkmarxの広報担当者は、3月のTrivy初期攻撃後に加害者がリポジトリへのアクセスを確保したことを確認しました。ハッカーはリポジトリの説明内に嘲笑的なメッセージを残しました:「Checkmarxはまたシークレットのローテーションに失敗しました。愛をこめて – TeamPCP。」
盗まれた認証情報を利用して、TeamPCPはGitHub、Docker、VSCode全体で様々な開発者ツールの感染バージョンを配布しました。マルウェアはプログラマーの開発環境から組織的に情報を収集しました。レポートによると、このグループは少なくとも1ヶ月間の永続性を維持し、その間にDockerとOpen VSXおよびVSCode上でKICSツールの汚染されたバージョンを正常にデプロイしました。
以前の4月下旬、Checkmarxは、LAPSUS$集団がその民間GitHubリポジトリから流出させたデータをリークしたと報告していました。
同社はJenkinsの管理者に、2025年12月17日付けのバージョン2.0.13-829.vc72453fa_1c16、またはそれ以前の正規のリリースを使用していることを確認するよう勧告しています。悪質なプラグインの動作に関する正確な技術的詳細は明かされていませんが、Checkmarxはすべてのアクセスシークレットが侵害されたと見なすよう推奨しています。ユーザーは認証情報を直ちにローテーションし、永続性または横展開の兆候について自分たちのインフラストラクチャを詳しく調査すべきです。
Checkmarxは、そのGitHubリポジトリが顧客の本番環境から隔離されたままであり、侵害されたリポジトリ内にユーザーデータが含まれていなかったことを明らかにしました。同社は、管理者が攻撃の痕跡について自分たちのシステムを監査するのを支援するために、侵害の指標(IoCs)を公開しました。
