TokyoBlackHatNews

gbhackers.com 4分で読了

Checkmarx KICSのDockerリポジトリがハイジャック、悪意のあるコード挿入攻撃

大規模なソフトウェアサプライチェーン攻撃が、公式のCheckmarx KICS(Keeping Infrastructure as Code Secure)のDocker Hubリポジトリを標的にしました。

2026年4月22日に発見され、Docker and Socketによって発見されました。この侵害には、トロイの木馬化されたDockerイメージと、開発者の高度に機密な認証情報とクラウドインフラストラクチャのシークレットを収集および流出させるために設計された悪意のあるVS Code拡張機能が含まれています。

脅威アクターは、既存の信頼されたタグを上書きする悪意のあるイメージをプッシュすることによって、Checkmarx/KicsのDocker Hubリポジトリに正常に侵入しました。

影響を受けるタグには、v2.1.20、v2.1.20-debian、alpine、debian、およびlatestが含まれます。攻撃者はまた、公式のCheckmarxアップストリームリリースに対応していない偽のv2.1.21タグを導入しました。

侵害されたKICSイメージには、修正されたGolangバイナリが含まれていました。このバイナリは、検閲されていないInfrastructure as Code(IaC)スキャンレポートを生成し、結果を暗号化し、攻撃者制御のテレメトリエンドポイント(audit.checkmarx[.]cx/v1/telemetry)に静かに送信するように設計されました。

VS Code拡張機能とmcpAddon.jsペイロード

この侵害はDockerを超えて、Checkmarxの開発者ツールに拡張されました。Checkmarx VS Code拡張機能(バージョン1.17.0および1.19.0)は、隠された「MCP addon」を含めるように改ざんされました。

Image

有効化されると、この機能は悪意のあるJavaScriptペイロード(mcpAddon.js)をBunランタイム経由で静かにダウンロードして実行しました。

検出を回避するために、攻撃者はGit履歴操作を利用し、バックデートされた孤立したコミットを公式のCheckmarx/ast-vscode-extensionリポジトリに注入しました。

難読化された10MBペイロードは、強力なトークンスティーラーとして機能し、積極的に以下を標的としていました:

  • GitHub認証トークン
  • AWS、Microsoft Azure、およびGoogle Cloud認証情報
  • NPM設定ファイル(.npmrc)
  • SSHキーと環境変数

マルウェアは、侵害されたローカル開発者環境からより広いCI/CDパイプラインにピボットするための高度な自動化されたテクニックを採用しました。

攻撃者は盗まれたGitHubトークンを悪用して、犠牲者のアカウント下に動的に公開ステージングリポジトリを作成しました。これらのリポジトリは、「Checkmarx Configuration Storage」という誤解を招くラベルが付けられており、暗号化された流出データを一時的に保存するために使用されました。

特に、リポジトリはDuneユニバースからの語彙を利用した独特の命名規則に従い、gesserit-melange-813やprescient-sandworm-556などがありました。

GitHub Actions シークレット盗難

侵害されたトークンを使用して、マルウェアは自動的に書き込み可能なリポジトリを識別し、format-check.ymlという名前の悪意のあるGitHub Actionsワークフローを注入しました。

このワークフローは、リポジトリ全体のシークレットコンテキストをテキストファイルにダンプし、攻撃者がダウンロード可能なアーティファクトとしてアップロードするように設計されました。

横展開を最大化するために、マルウェアは犠牲者の.npmrcファイルを解析して、彼らが保守していたNPMパッケージを特定しました。

その後、盗まれた認証トークンを使用して、悪意のあるペイロードでこれらのパッケージを再発行し、オープンソースNPMエコシステム全体に感染を伝播させました。

Image

TeamPCPとして知られる脅威グループは、ソーシャルメディア上で公然と攻撃の責任を主張しています。このグループは、2026年初期にTrivyとLiteLLMを標的にした同様のサプライチェーン操作で認識されています

Checkmarx KICSを利用している組織は、このインシデントを深刻な認証情報漏洩として扱う必要があります。セキュリティチームは、影響を受けたすべてのDockerイメージとVS Code拡張機能をビルドパイプラインから直ちに削除する必要があります。

さらに、許可されていない公開リポジトリと異常なGitHub Actionsワークフローの環境を監査しながら、すべての公開されたGitHubトークン、クラウドアクセスキー、NPMトークン、およびCI/CDシークレットを積極的にローテーションすることが重要です。

翻訳元: https://gbhackers.com/checkmarx-kics-docker-repo-hijacked/

ソース: gbhackers.com
#Checkmarx #CI/CD攻撃 #Docker #GitHub #npm #クラウドセキュリティ #サプライチェーン攻撃 #トークンスティーラー #マルウェア #認証情報盗難

関連記事

盗まれたGemini APIキーが自動化されたTelegramの影響工作に悪用

KMW CCTVの深刻な脆弱性、監視映像への不正アクセスを許容

ロシア高官のスマートフォンに外国製スパイウェア——大規模サイバー諜報作戦が発覚