TeamPCP unterwandert Checkmarx erneut: Manipuliertes Jenkins-AST-Plugin im Marketplace

Zusammenfassung

Checkmarx hat bestätigt, dass eine veränderte Version seines Jenkins-AST-Plugins im Jenkins Marketplace veröffentlicht wurde. Das Sicherheitsunternehmen warnt Anwender, ausschließlich die Version 2.0.13-829.vc72453fa_1c16 zu verwenden, die am 17. Dezember 2025 oder davor erschienen ist. Inzwischen hat Checkmarx die Version 2.0.13-848.v76e89de8a_053 sowohl auf GitHub als auch im Jenkins Marketplace bereitgestellt, hält in seinem Vorfallsbericht aber zugleich fest, man befinde sich „im Prozess der Veröffentlichung einer neuen Version dieses Plugins". Wie die schädliche Plugin-Version überhaupt eingestellt werden konnte, legte das Unternehmen nicht offen. Der Vorfall reiht sich in eine Serie von Angriffen ein, die der Cyberkriminellengruppe TeamPCP zugeschrieben werden und gezielt Checkmarx treffen. Er folgt nur wenige Wochen auf die Kompromittierung des KICS-Docker-Images, zweier VS-Code-Erweiterungen und eines GitHub-Actions-Workflows, über die die Gruppe Schadsoftware zum Diebstahl von Zugangsdaten verbreitet hatte. Dieser Einbruch führte wiederum zur kurzzeitigen Kompromittierung des npm-Pakets der Bitwarden CLI, das einen ähnlichen Datendieb auslieferte.

TeamPCP wird seit März 2026 mit einer Reihe von Einbrüchen in Verbindung gebracht. Die Kampagne nutzt nach Darstellung der beteiligten Beobachter das grundlegende Vertrauen in die Software-Lieferkette aus, um Schadsoftware zu verbreiten und die eigene Reichweite auszuweiten.

Die jüngste Episode betrifft das Jenkins-AST-Plugin. Checkmarx erklärte am Wochenende, Anwender müssten sicherstellen, dass sie die Version 2.0.13-829.vc72453fa_1c16 vom 17. Dezember 2025 oder eine frühere Fassung einsetzen. Zum Zeitpunkt der Meldung lag bereits die neue Version 2.0.13-848.v76e89de8a_053 auf GitHub und im Jenkins Marketplace vor, während der Vorfallsbericht parallel noch davon sprach, eine neue Version werde gerade veröffentlicht. Wie die manipulierte Fassung in den Marketplace gelangte, blieb offen.

Nach Angaben des Sicherheitsforschers Adnan Khan und von SOCRadar verschaffte sich TeamPCP unbefugten Zugang zum GitHub-Repository des Plugins und benannte es um in „Checkmarx-Fully-Hacked-by-TeamPCP-and-Their-Customers-Should-Cancel-Now". Die Beschreibung des verunstalteten Repositorys wurde zudem um den Satz ergänzt: „Checkmarx versäumt es erneut, Geheimnisse zu rotieren. Mit Liebe – TeamPCP."

Der vorangegangene KICS-Vorfall hatte sich über die Kompromittierung des Docker-Images, zweier VS-Code-Erweiterungen und eines GitHub-Actions-Workflows erstreckt und mündete in der kurzzeitigen Unterwanderung des npm-Pakets der Bitwarden CLI. Der dort ausgelieferte Datendieb war darauf ausgelegt, ein breites Spektrum an Entwicklergeheimnissen abzugreifen.

SOCRadar wertet die erneute Präsenz der Gruppe in den Systemen von Checkmarx als Hinweis auf eine von zwei Möglichkeiten: Entweder sei die ursprüngliche Behebung unvollständig geblieben und die Zugangsdaten nicht vollständig rotiert worden, oder die Gruppe habe einen Zugang behalten, der bei der Reaktion im März nicht entdeckt worden sei. Dass ein zweiter Checkmarx-Vorfall so kurz darauf eintrete, deute darauf hin, dass die Akteure aktiv nach Wiedereinstiegspunkten suchten, die Tiefe früherer Gegenmaßnahmen testeten und jede Lücke ausnutzten.

TeamPCP unterwandert Checkmarx erneut: Manipuliertes Jenkins-AST-Plugin im Marketplace

Ähnliche Artikel

Neueste Artikel