- 26,709
- 46
- 8 Ноя 2022
TeamPCP так освоились в репозиториях Checkmarx, что успели заразить три разных продукта.
Неизвестные злоумышленники подменили плагин Checkmarx для Jenkins и встроили в него вредоносный код для кражи учётных данных. Инцидент продолжил серию атак на цепочку поставок программного обеспечения, за которыми стоит группировка TeamPCP.
Jenkins используют тысячи компаний для автоматизации сборки, тестирования и обновления программ. Плагин Checkmarx AST помогает встроить проверку безопасности в такие процессы. В минувшие выходные Checkmarx предупредила, что в каталоге Jenkins Marketplace появилась модифицированная версия плагина.
В компании сообщили, что уже готовят новую безопасную версию. Поддельный выпуск загрузили 9 мая под номером 2026.5.09. Файл появился в репозитории repo.jenkins-ci.org в обход официального процесса публикации. Специалисты обратили внимание, что версия не соответствовала привычной схеме именования, а также не имела метки в GitHub и страницы релиза.
Ответственность за взлом взяла на себя TeamPCP . Ранее группировка уже была связана с атаками Shai-Hulud на npm и компрометацией сканера уязвимостей Trivy . По данным инженера по наступательной безопасности Аднана Хана, злоумышленники получили доступ к репозиториям Checkmarx на GitHub и встроили в плагин код для похищения учётных данных.
Представитель Checkmarx подтвердил , что доступ к репозиториям злоумышленники получили после атаки на Trivy в марте. Хакеры оставили в описании репозитория сообщение: «Checkmarx fails to rotate secrets again. With love – TeamPCP».
С помощью украденных учётных данных TeamPCP публиковала заражённые версии различных инструментов для разработчиков на GitHub, Docker и VSCode. Вредоносное ПО собирало данные из рабочих сред программистов. По информации компании, злоумышленники сохраняли доступ как минимум месяц. За это время группировка успела разместить заражённую версию инструмента KICS на Docker, Open VSX и VSCode.
В конце апреля Checkmarx также сообщала , что группировка LAPSUS$ опубликовала данные из закрытого репозитория компании на GitHub.
Пользователям Jenkins компания рекомендовала проверить, что используется версия плагина 2.0.13-829.vc72453fa_1c16 от 17 декабря 2025 года либо более ранние выпуски. Подробности о работе вредоносного плагина Checkmarx пока не раскрывает, однако советует считать учётные данные скомпрометированными, сменить все секреты доступа и проверить инфраструктуру на признаки закрепления злоумышленников и дальнейшего распространения атаки.
В Checkmarx заявили, что репозитории GitHub изолированы от производственной среды клиентов, а пользовательские данные в репозиториях не хранились. Компания также опубликовала индикаторы компрометации, которые помогут администраторам проверить свои системы на следы атаки.
Неизвестные злоумышленники подменили плагин Checkmarx для Jenkins и встроили в него вредоносный код для кражи учётных данных. Инцидент продолжил серию атак на цепочку поставок программного обеспечения, за которыми стоит группировка TeamPCP.
Jenkins используют тысячи компаний для автоматизации сборки, тестирования и обновления программ. Плагин Checkmarx AST помогает встроить проверку безопасности в такие процессы. В минувшие выходные Checkmarx предупредила, что в каталоге Jenkins Marketplace появилась модифицированная версия плагина.
В компании сообщили, что уже готовят новую безопасную версию. Поддельный выпуск загрузили 9 мая под номером 2026.5.09. Файл появился в репозитории repo.jenkins-ci.org в обход официального процесса публикации. Специалисты обратили внимание, что версия не соответствовала привычной схеме именования, а также не имела метки в GitHub и страницы релиза.
Ответственность за взлом взяла на себя TeamPCP . Ранее группировка уже была связана с атаками Shai-Hulud на npm и компрометацией сканера уязвимостей Trivy . По данным инженера по наступательной безопасности Аднана Хана, злоумышленники получили доступ к репозиториям Checkmarx на GitHub и встроили в плагин код для похищения учётных данных.
Представитель Checkmarx подтвердил , что доступ к репозиториям злоумышленники получили после атаки на Trivy в марте. Хакеры оставили в описании репозитория сообщение: «Checkmarx fails to rotate secrets again. With love – TeamPCP».
С помощью украденных учётных данных TeamPCP публиковала заражённые версии различных инструментов для разработчиков на GitHub, Docker и VSCode. Вредоносное ПО собирало данные из рабочих сред программистов. По информации компании, злоумышленники сохраняли доступ как минимум месяц. За это время группировка успела разместить заражённую версию инструмента KICS на Docker, Open VSX и VSCode.
В конце апреля Checkmarx также сообщала , что группировка LAPSUS$ опубликовала данные из закрытого репозитория компании на GitHub.
Пользователям Jenkins компания рекомендовала проверить, что используется версия плагина 2.0.13-829.vc72453fa_1c16 от 17 декабря 2025 года либо более ранние выпуски. Подробности о работе вредоносного плагина Checkmarx пока не раскрывает, однако советует считать учётные данные скомпрометированными, сменить все секреты доступа и проверить инфраструктуру на признаки закрепления злоумышленников и дальнейшего распространения атаки.
В Checkmarx заявили, что репозитории GitHub изолированы от производственной среды клиентов, а пользовательские данные в репозиториях не хранились. Компания также опубликовала индикаторы компрометации, которые помогут администраторам проверить свои системы на следы атаки.
- Источник новости
- www.securitylab.ru
