Das betroffene Plugin dient dazu, die Funktionalität der Checkmarx-One-Plattform in Jenkins-Pipelines einzubinden, sodass Entwickler ihren Quellcode über die Checkmarx-AST-Plattform prüfen lassen können. „Uns ist bekannt, dass eine modifizierte Version des Checkmarx Jenkins AST Plugins im Jenkins Marketplace veröffentlicht wurde. Wir arbeiten derzeit an der Bereitstellung einer neuen Version dieses Plugins", erklärte Checkmarx am Freitag.
Als Sofortmaßnahme empfahl das Unternehmen, die im Dezember 2025 veröffentlichte Version 2.0.13-829.vc72453fa_1c16 zu verwenden. Im Verlauf des Wochenendes folgten zwei weitere Versionen. Die jüngste, 2.0.13-848.v76e89de8a_053, steht inzwischen auf GitHub und im Jenkins Marketplace zum Bezug bereit.
Zur Frage, auf welchem Weg die manipulierte Plugin-Version überhaupt veröffentlicht werden konnte, machte Checkmarx keine Angaben. Klar ist jedoch der Zusammenhang: Der Vorfall gehört zu einer Angriffsserie, die das Unternehmen seit März beschäftigt.
Ausgangspunkt war der Supply-Chain-Angriff auf Trivy. In dessen Folge verschaffte sich die Hackergruppe TeamPCP Ende März Zugriff auf die Repositories von Checkmarx und veröffentlichte dort bösartige Artefakte. Einen Monat später kam es – vermutlich aufgrund fortbestehenden oder erneuten Zugriffs der Angreifer – zu einer weiteren Welle schädlicher Artefakte, die im Namen von Checkmarx eingestellt wurden.
Kurz darauf veröffentlichte die für Erpressung bekannte Gruppe Lapsus$ Daten, die angeblich aus den Repositories des Unternehmens stammen. Checkmarx bestätigte seinerzeit, dass die Daten wahrscheinlich Ende März aus seinen GitHub-Repositories entwendet wurden – unter Verwendung von Zugangsdaten, die über den Trivy-Supply-Chain-Angriff kompromittiert worden waren.