サイバー犯罪者が土曜日の攻撃でエンジニアの週末を台無しにする
Checkmarxのソフトウェアエンジニアは、週末に不正なアップロードを検出した後、同社のコードセキュリティプラグインのJenkinsプラグインの悪意のあるバージョンを削除するために作業を続けています。
5月9日土曜日、Jenkinsの継続的インテグレーション(CI)パイプラインでセキュリティスキャンに使用されるAST Scannerのバージョンが、Jenkinsマーケットプレイスを通じて利用可能になったことを発見した後、顧客に通知しました。
「Checkmarx Jenkins ASTプラグインの改ざんされたバージョンがJenkinsマーケットプレイスに公開されたことを認識しています」と声明で述べています。「このプラグインの新しいバージョン公開を進めています。」
2026年5月9日以降に公開されたバージョンは信頼されるべきではないとし、すべてのユーザーに2025年12月17日に公開された正しいリリース(2.0.13-829.vc72453fa_1c16)を実行していることを確認するよう促しています。
数百のコントローラーにインストールされているプラグインは、執筆時点で利用可能なままで、最新の利用可能なバージョンとして表示されていますが、月曜日の朝に実行されたプルリクエストは、これが間もなく削除されることを示唆しています。
「これがJenkinsユーザーにとって特に危険である理由は、動作している信頼モデルです」とSOCRadarはその報道で述べています。「Checkmarx Jenkinsプラグインは、人々がパイプラインのセキュリティを改善するために特別にインストールするツールです。
「バックドア化されたバージョンは、1つのプロジェクトを侵害するだけでなく、それが触れるあらゆるビルドパイプラインに信頼できるインフラストラクチャを侵入させ、ソースコード、環境変数、トークン、およびランナーが見ることができるあらゆるシークレットにアクセスします。」
Shai-Hulud?
自己増殖型ワーム的な性質にちなんで名付けられたDuneをテーマにしたマルウェアは、最初に数百のnpmパッケージが侵害された昨年9月に話題になりました。
Shai-Hulud 2.0はその翌月に最初に確認され、25,000を超えるGitHubリポジトリに影響を与えました。その後、Checkmarxのjenkinsプラグインに注入されたのと同じMini Shai-Huludパッケージが、最近のTeamPCP供給チェーン攻撃の初期段階でSAP npmパッケージに搭載されました。
セキュリティエンジニアのAdnan Khanは週末に迅速に侵害を発見しました。4月にCheckmarxに影響を与えた初期供給チェーン攻撃の背後にあるTeamPCPクルーは、会社のGitHubを改ざんし、6つのパッケージを公開しました。それぞれにShai-Huludワーム型マルウェアをほのめかす説明が含まれていました。
これらのパッケージはもうCheckmarxのGitHubには表示されませんが、TeamPCPはASTプラグインページに複数の変更を加え、「Checkmarx-Fully-Hacked-by-TeamPCP-and-Their-Customers-Should-Cancel-Now」に名前を変更し、説明を変更してCheckmarxがシークレットをローテーションできなかったと主張しました。
Checkmarxの内部への最新の浸透は、TeamPCPが同期間に会社のパッケージを侵害した3回目を示しています。
The Registerで以前見られたように、詐欺師は3月にCheckmarxのGitHub Actions用のASTプラグインとKICS静的分析ツールを首尾よく標的にし、認証情報盗難マルウェアを展開しました。
SOCRadarは、Jenkinsプラグインの最新のTeamPCP侵害は、TeamPCPがCheckmarxのシークレットローテーションについて真実を述べていたか、またはそのメンバーが3月の侵入への対応中にセキュリティベンダーが気付かなかった追加の永続化メカニズムを利用したことを示唆していると述べました。®
