Das Sicherheitsunternehmen Socket hat in einer aktuellen Warnung enthüllt, dass Angreifer es geschafft haben, die offizielle KICS-Docker-Repository auf Docker Hub zu kompromittieren. Die Angreifer überschrieben bestehende Tags wie v2.1.20 und alpine und führten eine neue Version v2.1.21 ein, die keinem offiziellen Release entspricht. Die Repository wurde mittlerweile archiviert.
Besonders besorgniserregend ist die Manipulation der KICS-Binärdatei selbst. Wie Socket berichtet, wurde die legale Software um Funktionen zur Datenerfassung und zum Exfiltration ergänzt. Die Malware kann demnach unzensierte Scan-Reports erstellen, diese verschlüsseln und an externe Endpunkte übertragen – ein erhebliches Sicherheitsrisiko für alle Teams, die KICS zur Überprüfung von Infrastructure-as-Code-Dateien nutzen, welche häufig Anmeldeinformationen und sensible Konfigurationsdaten enthalten.
Das Problem beschränkt sich jedoch nicht nur auf die Docker-Images. Weitere Analysen zeigen, dass auch Microsoft Visual Studio Code-Erweiterungen von Checkmarx betroffen sind. In den Versionen 1.17.0 und 1.19.0 wurden bösartige Code-Schnipsel eingebettet, die dazu dienen, ein Remote-Addon über die Bun-Runtime herunterzuladen und auszuführen. Besonders kritisch: Dies geschieht ohne Benutzerbestätigung oder Integritätsprüfung und basiert auf einer hardcodierten GitHub-URL. In der zwischenzeitlich veröffentlichten Version 1.18.0 wurde dieses Verhalten wieder entfernt.
Experten sehen darin ein Muster: Der Vorfall beschränkt sich nicht auf eine isolierte Docker-Hub-Manipulation, sondern deutet auf eine umfassendere Kompromittierung der Checkmarx-Lieferkette hin. Organisationen, die die betroffenen KICS-Images genutzt haben, um Terraform-, CloudFormation- oder Kubernetes-Konfigurationen zu scannen, sollten alle Secrets und Anmeldeinformationen, die diesen Scans ausgesetzt waren, als potenziell kompromittiert behandeln und sofort ihre Zugangsschutzmaßnahmen überprüfen. Checkmarx wurde für weitere Stellungnahmen kontaktiert.