Supply-Chain-AngriffeSchwachstellenCyberkriminalität

Checkmarx Jenkins Plugin kompromittiert: Erneuter Supply-Chain-Angriff auf Entwickler-Tools

Von CyberDeutsch Redaktion
Checkmarx Jenkins Plugin kompromittiert: Erneuter Supply-Chain-Angriff auf Entwickler-Tools
Zusammenfassung

Das Sicherheitsunternehmen Checkmarx warnt vor einer Kompromittierung seines Jenkins AST Plugins, die im Rahmen eines umfassenden Supply-Chain-Angriffs stattgefunden hat. Eine manipulierte Version des Plugins wurde in der Vorwoche im Jenkins Marketplace veröffentlicht, bevor Checkmarx das Sicherheitsleck erkannte und reagierte. Das betroffene Plugin wird von Entwicklern weltweit eingesetzt, um automatisierte Code-Analysen mit der Checkmarx One Plattform direkt in Jenkins-Pipelines zu integrieren. Der Vorfall ist Teil einer Serie von Attacken, die seit März gegen Checkmarx laufen und bei denen Angreifer bereits Zugriff auf Repositorien des Unternehmens erlangten. Für deutsche Unternehmen und Behörden ist dies besonders kritisch, da Jenkins ein weit verbreitetes Automatisierungswerkzeug in der Softwareentwicklung ist. Betroffene Organisationen müssen sofort überprüfen, welche Plugin-Versionen sie einsetzen, und auf die sichere Version 2.0.13-848 aktualisieren. Der Vorfall unterstreicht erneut die Risiken moderner Softwarelieferketten und verdeutlicht, dass auch etablierte Sicherheitsanbieter nicht vor gezielten Angriffen gefeit sind.

Das Checkmarx Jenkins AST Plugin ist ein zentrales Integrationswerkzeug für DevSecOps-Teams, das automatisierte Sicherheitsscans direkt in Build-Pipelines einbettet. Der Angriff zeigt, wie Hacker gezielt die Vertrauenskette von Softwareentwicklung infiltrieren – mit potenziell massiven Konsequenzen für all jene Organisationen, die das manipulierte Plugin installiert haben.

Checkmarx forderte Nutzer dazu auf, sofort auf die sichere Version 2.0.13-829 zu wechseln, die im Dezember 2025 veröffentlicht wurde. Über das Wochenende rollte das Unternehmen zwei neue Versionen aus. Die aktuelle, sichere Version 2.0.13-848.v76e89de8a_053 steht nun auf GitHub und in der Jenkins Marketplace zur Verfügung.

Der aktuelle Vorfall ist Teil einer Serie von Kompromittierungen, die Checkmarx seit März heimsucht. Alles begann mit dem Trivy Supply-Chain-Angriff, bei dem die Hackergruppe TeamPCP Zugriff auf Checkmarx-Repositories erlangten und bösartige Artefakte einschleusten. Im April folgte eine zweite Welle manipulierter Dateien, möglicherweise durch andauernden oder erneuerten Zugriff.

Ein weiterer Schlag folgte, als die berüchtigte Lapsus$-Gruppe öffentlich Daten aus Checkmarx-Repositories veröffentlichte. Das Unternehmen bestätigte später, dass diese Daten bereits im März über die Trivy-Supply-Chain-Kompromittierung gestohlen wurden.

Dieser mehrstufige Angriff illustriert ein zunehmendes Problem in der Softwarebranche: Einmal infiltrierte Entwickler-Infrastrukturen bieten Angreifern langfristigen Zugang und zahlreiche Möglichkeiten, Schaden anzurichten. Für deutsche Unternehmen verschärft sich die Situation durch die DSGVO-Meldepflicht und potenzielle Bußgelder bis zu 4 Prozent des Jahresumsatzes bei Datenschutzverletzungen.

Sicherheitsexperten empfehlen Organisationen, ihre Plugin-Versionen regelmäßig zu überprüfen, Integrationen auf verdächtige Verhaltensweisen zu monitoren und Supply-Chain-Risiken strukturiert zu managen. Das BSI hat solche Vorfälle in seinen Cybersecurity-Warnungen bereits mehrfach thematisiert und Unternehmen zur erhöhten Wachsamkeit aufgefordert.

Ähnliche Artikel