Checkmarx 官方 Jenkins 插件包遭入侵，内含信息窃取程序

Checkmarx 周末发出警告，其 Jenkins 应用安全测试（AST）插件的恶意版本已在 Jenkins 应用市场发布。

此次入侵由黑客组织 TeamPCP 宣称负责，该组织发起了一系列供应链攻击，包括针对 npm 的 “沙虫”（Shai - Hulud）行动以及对 Trivy 漏洞扫描器的攻击，导致窃取凭证的恶意软件被传播。

Jenkins 是应用最为广泛的持续集成 / 持续部署（CI/CD）自动化解决方案之一，用于软件构建、测试、代码扫描、应用程序打包以及向服务器部署更新。

Jenkins 应用市场上的 Checkmarx AST 插件可将安全扫描集成到自动化流程中。

Checkmarx 在更新中提醒道：“我们注意到 Jenkins 应用市场发布了 Checkmarx Jenkins AST 插件的修改版本。我们正在发布该插件的新版本。”

这是自 3 月下旬以来，这家应用安全测试公司遭遇的系列供应链攻击中的第三起事件。

据进攻性安全工程师阿德南德・汗（Adnand Khan）称，TeamPCP 获取了 Checkmarx 的 GitHub 代码库访问权限，并在 Jenkins AST 插件中植入后门，以传播窃取凭证的恶意软件。

该公司发言人向 BleepingComputer 证实，威胁行为者从 3 月份 Trivy 供应链攻击中获取了代码库的凭证。

黑客在 “关于” 部分留下的消息称：“Checkmarx 又没能及时更换密钥。爱你的 - TeamPCP。”

该公司发言人表示：“由于获取了访问权限，攻击者得以与 Checkmarx 的 GitHub 环境进行交互，并随后将恶意代码发布到某些构件中。”

利用在 Trivy 攻击中窃取的凭证，黑客在 GitHub、Docker 和 VSCode 上发布了多个开发者工具的修改版本，其中包含信息窃取代码。

该威胁行为者保持访问权限至少一个月，随后在 Docker、Open VSX 和 VSCode 上发布了该公司 KICS 分析工具的恶意版本，用于从开发者环境中收集数据。

4 月下旬，该公司证实 LAPSUS$ 威胁组织泄露了从其私人 GitHub 代码库窃取的数据。

5 月 9 日周六，Checkmarx Jenkins AST 插件的恶意版本（2026.5.09）被上传至 repo.jenkins - ci.org。此次更新不在插件的发布流程内，且包含恶意代码。

除了未遵循官方日期格式外，该恶意插件缺少 git 标签和 GitHub 版本发布记录。

Checkmarx 建议用户确保使用 2025 年 12 月 17 日发布的 2.0.13 - 829.vc72453fa_1c16 版本插件，或更旧版本。

尽管 Checkmarx 尚未透露该恶意 Jenkins 插件在系统上的具体行为，但下载了恶意版本的用户应假定其凭证已遭泄露，更换所有密钥，并排查横向移动或持久化攻击的迹象。

Checkmarx 表示其 GitHub 代码库与客户生产环境隔离，GitHub 代码库中不存储客户数据。

这家网络安全公司称：“在此过程中，我们一直与客户保持沟通，并将在获取更多信息后继续提供相关更新。” 该公司还补充说，客户可在支持门户或安全更新部分找到相关建议。

Checkmarx 已发布一组恶意构件，防御者可将其作为自身环境中入侵指标（IoC）使用。