SchwachstellenHackerangriffeCyberkriminalität

TeamPCP schlägt erneut zu: Jenkins-Plugin von Checkmarx manipuliert

Von CyberDeutsch Redaktion
TeamPCP schlägt erneut zu: Jenkins-Plugin von Checkmarx manipuliert
Zusammenfassung

Die Sicherheitsfirma Checkmarx ist erneut Ziel eines Supply-Chain-Anschlags geworden: Die Cyberkriminelle Gruppe TeamPCP hat eine manipulierte Version des Jenkins AST-Plugins veröffentlicht, die über den Jenkins Marketplace verbreitet wurde. Dies ist bereits der zweite Angriff in wenigen Wochen – zuvor hatte TeamPCP bereits Docker-Images, VS-Code-Erweiterungen und GitHub-Workflows von Checkmarx kompromittiert, was letztlich auch zur Manipulation des beliebten Bitwarden CLI npm-Pakets führte. Das Incident zeigt ein kritisches Problem: Angreifer gelangten offenbar erneut in das GitHub-Repository des Plugins und benannten es provokativ um. Sicherheitsexperten vermuten, dass entweder die initiale Sicherheitsreaktion unvollständig war und Zugangsdaten nicht vollständig rotiert wurden, oder die Gruppe einen unentdeckten Zugang behalten hat. Für deutsche Nutzer und Entwickler ist dies hochrelevant, da viele Unternehmen hierzulande Jenkins zur CI/CD-Pipeline-Automatisierung einsetzen. Betroffene müssen dringend überprüfen, ob sie eine manipulierte Plugin-Version installiert haben, und sollten sofort auf die neueste gepatchte Version 2.0.13-848 aktualisieren. Darüber hinaus unterstreicht der Fall die Risiken von Lieferkettenangriffen und die Notwendigkeit intensiver Überprüfung von entwicklungs-nahen Tools in deutschen IT-Umgebungen.

Der erneute Angriff auf Checkmarx offenbart ein beunruhigendes Muster: Nur wenige Wochen nach dem spektakulären KICS-Angriff im März 2026, bei dem TeamPCP bereits Docker-Images, VS Code-Erweiterungen und GitHub-Actions-Workflows kompromittiert hatte, ist die Gruppe wieder eingedrungen. Diesmal zielten sie direkt auf das Jenkins-AST-Plugin ab — eine kritische Komponente in vielen Continuous-Integration-Pipelines weltweit.

Der Ablauf war dabei bemerkenswert frech: TeamPCP verschaffte sich Zugang zum GitHub-Repository des Plugins und benannte es provokativ um zu “Checkmarx-Fully-Hacked-by-TeamPCP-and-Their-Customers-Should-Cancel-Now.” Die Repository-Beschreibung wurde ebenfalls angepasst und warnte sarkastisch: “Checkmarx fails to rotate secrets again. with love – TeamPCP.” Diese Arroganz deutet auf ein Sicherheitsteam hin, das die Eindringlinge deutlich unterschätzt haben dürfte.

Checkmarx hat inzwischen eine bereinigte Version 2.0.13-848.v76e89de8a_053 auf GitHub und dem Jenkins Marketplace bereitgestellt. Das Unternehmen gab jedoch keine Details darüber preis, wie die manipulierte Version überhaupt veröffentlicht werden konnte — eine Informationslücke, die Vertrauen weiter erodiert.

Für die Sicherheitsforschung ist der Fall diagnostisch wertvoll: Security-Experte Adnan Khan und SOCRadar analysieren zwei problematische Szenarien. Entweder war die ursprüngliche Remediation nach dem März-Vorfall unvollständig und Zugangsdaten wurden nicht vollständig rotiert. Oder — noch beunruhigender — TeamPCP behielt eine versteckte Hintertür, die im ursprünglichen Incident-Response übersehen wurde. Das zweite Szenario wäre ein klassischer Post-Exploitation-Fehler: Man entfernt den Angreifer, aber nicht den Schlüssel, den er versteckt hat.

Die schnelle Rückkehr deutet darauf hin, dass TeamPCP aktiv nach Re-Entry-Points sucht und die Tiefe bisheriger Sicherheitsmaßnahmen auslot. Deutsche Unternehmen, die Jenkins und Checkmarx-Tools einsetzen, sollten sofort prüfen, welche Plugin-Versionen im Einsatz sind. Eine forensische Analyse verdächtiger Aktivitäten in den CI/CD-Pipelines ist notwendig. Das BSI könnte auch hier eine Warnung aussprechen, ähnlich wie bei anderen Supply-Chain-Vorfällen.

Ähnliche Artikel