Checkmarx Jenkins Plugin: Angriff von TeamPCP entdeckt!

Checkmarx, bekannt für Application Security Testing, steht vor einem ernsthaften Sicherheitsproblem. Am Wochenende warnte das Unternehmen, dass eine manipulierte Version seines Jenkins Application Security Testing (AST) Plugins auf dem Jenkins Marketplace hochgeladen wurde. Diese Version wurde mit Malware zur Credential-Entwendung infiziert, was die Hackergruppe TeamPCP für sich beansprucht.

Jenkins, ein beliebtes CI/CD-Automatisierungstool, wird in vielen Entwicklungsumgebungen eingesetzt, um Software-Builds und Deployments zu automatisieren. Das Checkmarx AST Plugin ist bekannt dafür, Sicherheits-Scans in diese Workflows zu integrieren.

Die Entdeckung des Kompromisses

TeamPCP drang in die GitHub-Repositories von Checkmarx ein, nachdem sie im März über einen Supply-Chain-Angriff auf Trivy Zugangsdaten erlangt hatten. So konnten sie schädlichen Code in das Jenkins AST Plugin einfügen und Malware verbreiten.

Checkmarx bestätigte, dass das modifizierte Plugin außerhalb der offiziellen Release-Pipeline hochgeladen wurde und die üblichen Git-Tags oder GitHub-Release-Markierungen fehlten. Betroffene Nutzer sollten auf Version 2.0.13-829.vc72453fa_1c16 oder älter zurückkehren.

Auswirkungen und Empfehlungen

Dieser Angriff ist bereits der dritte Supply-Chain-Vorfall, der Checkmarx seit Ende März betrifft. TeamPCP hatte einen Monat lang Zugang und zielte mit ähnlichen Payloads auf Tools wie Docker und VSCode ab. Falls du das kompromittierte Plugin heruntergeladen hast, gehe davon aus, dass deine Zugangsdaten kompromittiert sind. Ändere deine Geheimnisse und überwache unautorisierte Zugriffe.

Checkmarx betont, dass die GitHub-Repositories von Kundenumgebungen isoliert sind, was das Risiko für Kundendaten verringert. Sie haben mit Kunden kommuniziert und Unterstützung über ihr Support-Portal angeboten.

Hintergrund:

Supply-Chain-Angriffe wie der von TeamPCP nehmen zu und zielen auf Schwachstellen in der Softwareverteilung. Durch das Kompromittieren von Updates oder Plugins können Angreifer Entwicklungsumgebungen infiltrieren, was zu Datenlecks und Systemkompromissen führt.

Was noch unklar ist:

• Was genau das manipulierte Jenkins Plugin bei der Installation macht.
• Ob andere Checkmarx-Tools betroffen sind.
• Das gesamte Ausmaß der zugegriffenen oder gestohlenen Daten.

Warum das wichtig ist:

Dieser Vorfall zeigt die anhaltende Bedrohung durch Supply-Chain-Angriffe für die Software-Sicherheit. Da CI/CD-Tools entscheidend für die moderne Entwicklung sind, ist ihre Integrität von großer Bedeutung. Organisationen müssen ihre Software-Lieferketten prüfen und Schwachstellen schnell beheben.