Die Untersuchung von Socket offenbarte das Ausmaß der Kompromittierung: Neben manipulierten Docker-Images wurden auch VS-Code- und Open-VSX-Extensions infiziert. Diese waren so präpariert, dass sie automatisch ein verstecktes ‘MCP-Addon’ herunterladeten – ein Modul, das speziell für den Diebstahl von Anmeldedaten entwickelt wurde.
Die Malware, benannt als mcpAddon.js, wurde von einer gehärteten GitHub-URL heruntergeladen. Sie zielt präzise auf die Daten ab, die KICS verarbeitet: GitHub-Tokens, Cloud-Zugangsdaten (AWS, Azure, Google Cloud), npm-Tokens, SSH-Schlüssel, Claude-Konfigurationen und Umgebungsvariablen. Die gestohlenen Daten wurden verschlüsselt und an die Domain audit.checkmarx[.]cx weitergeleitet – eine Fake-Domain, die legitime Checkmarx-Infrastruktur imitiert. Zusätzlich wurden öffentliche GitHub-Repositories für die Datenexfiltration angelegt.
Der zeitliche Rahmen der Kompromittierung war relativ kurz: Die DockerHub-KICS-Images waren vom 22. April 2026, 14:17:59 UTC bis 22. April 2026, 15:41:31 UTC infiziert. Dennoch ist unklar, wie viele Entwickler in diesem Zeitfenster die manipulierten Versionen heruntergeladen haben. Die betroffenen Tags wurden inzwischen auf ihre legitimen Image-Digests zurückgesetzt, und das gefälschte Tag v2.1.21 wurde komplett gelöscht.
Checkmarx empfiehlt betroffenen Benutzern, ihre Geheimnisse sofort zu rotieren und ihre Umgebungen von einem bekannten sicheren Punkt aus neu aufzubauen. Besonders kritisch ist es, alle Cloud-Credentials, API-Keys und SSH-Schlüssel zu erneuern. Die Firma hat auch eine Sicherheitsmitteilung veröffentlicht und erklärt, dass alle bösartigen Artefakte entfernt wurden und exponierte Anmeldedaten bereits revoziert und rotiert sind.
Netzwerk-Administratoren sollten Zugriff auf die IP-Adressen 91[.]195[.]240[.]123 (checkmarx.cx) und 94[.]154[.]172[.]43 (audit.checkmarx.cx) blockieren. Die sichersten verfügbaren Versionen sind: DockerHub KICS v2.1.20, Checkmarx ast-github-action v2.3.36, Checkmarx VS-Code-Extension v2.64.0 und Checkmarx Developer Assist Extension v1.18.0.
Obwohl die Hackergruppe TeamPCP öffentlich Verantwortung für den Angriff beanspruchte – und bereits für massive Supply-Chain-Angriffe auf Trivy und LiteLLM bekannt ist – konnten Sicherheitsforscher diese Attribution bislang nicht vollständig validieren. Der Vorfall unterstreicht die wachsende Gefahr von Supply-Chain-Attacken und die Notwendigkeit verstärkter Sicherheitsmaßnahmen in der Softwareentwicklung.