MalwareHackerangriffeSchwachstellen

Checkmarx Jenkins-Plugin gehackt: TeamPCP stiehlt Entwickler-Credentials

Von CyberDeutsch Redaktion
Checkmarx Jenkins-Plugin gehackt: TeamPCP stiehlt Entwickler-Credentials
Zusammenfassung

Die Sicherheitsfirma Checkmarx ist erneut Ziel einer schwerwiegenden Supply-Chain-Attacke geworden: Die Hacker-Gruppe TeamPCP hat eine manipulierte Version des Jenkins AST-Plugins auf dem Jenkins Marketplace veröffentlicht, die Malware zur Diebstahl von Anmeldedaten enthält. Jenkins ist eine der weltweit am meisten genutzten Plattformen für automatisierte Softwareentwicklung und Deployment in CI/CD-Pipelines. Der Angriff ist bereits das dritte Sicherheitsvorfall bei Checkmarx seit März und folgt einem besorgniserregenden Muster: Die Angreifer nutzten Zugangsdaten aus einem früheren Anschlag auf den Vulnerability-Scanner Trivy, um in Checkmarx' GitHub-Repositories einzudringen und von dort aus manipulierte Code-Versionen zu verteilen. Für deutsche Unternehmen und Behörden stellt dies ein erhebliches Risiko dar, besonders für jene, die Jenkins mit Checkmarx-Plugins zur Code-Analyse einsetzen. Entwickler und DevOps-Teams müssen sofort überprüfen, welche Plugin-Versionen installiert sind, und davon ausgehen, dass alle auf Systemen mit der manipulierten Version gespeicherten Zugangsdaten kompromittiert wurden. Die Vorfälle unterstreichen die wachsende Gefahr koordinierter Supply-Chain-Attacken, die Millionen von Entwicklern und Organisationen weltweit gefährden.

Das Jenkins AST-Plugin von Checkmarx ist ein kritisches Sicherheitswerkzeug, das Code-Analysen direkt in automatisierte Build-Pipelines integriert. Die Kompromittierung stellt damit einen direkten Angriff auf die Lieferkette von Software-Entwicklung dar — ein Angriff-Muster, das das BSI und andere Sicherheitsbehörden als zunehmend kritisch einstufen.

TeamPCP nutzte gestohlene GitHub-Credentials aus dem Trivy-Angriff vom März, um Zugriff auf Checkmarx’ GitHub-Repositories zu erlangen. Die Hacker kommentieren ihre Aktion zornig: “Checkmarx fails to rotate secrets again. With love - TeamPCP.” Dies ist bereits die dritte Supply-Chain-Attacke gegen das Unternehmen seit März 2024. Neben dem Jenkins-Plugin wurden auch das KICS-Analyse-Tool und weitere Entwicklungs-Tools manipuliert und mit Info-Stealern versehen.

Die maligne Plugin-Version unterschied sich von legitimen Versionen durch mehrere Auffälligkeiten: Sie folgte nicht dem offiziellen Datums-Format, fehlten Git-Tags und GitHub-Releases, und sie wurde außerhalb des normalen Release-Prozesses hochgeladen. Dies hätte Administratoren warnen können, doch die Malware ist nicht sofort zu erkennen.

Checkmarx empfiehlt Nutzern dringend, nur Version 2.0.13-829.vc72453fa_1c16 oder älter zu verwenden. Alle Nutzer, die die fehlerhafte Version 2026.5.09 heruntergeladen haben, müssen ihre Credentials sofort rotieren und ihre Systeme auf Lateral Movement oder Persistence-Mechanismen untersuchen.

Das Unternehmen versichert, dass GitHub-Repositories isoliert von Produktionsumgebungen sind und keine Kundendaten dort gespeichert seien. Dennoch sollten betroffene Organisationen ihre Build-Pipelines gründlich überprüfen: Malware in CI/CD-Tools kann Code-Signaturen kompromittieren, Backdoors in Artefakten einschleusen oder Umgebungsvariablen mit sensiblen Daten auslesen.

Checkmarx hat Indikatoren für Kompromittierung (IoCs) veröffentlicht, die Verteidiger in ihren Umgebungen suchen können. Für deutsche Unternehmen ist dies ein weiterer Beleg dafür, dass Supply-Chain-Sicherheit nicht optional ist: Regelmäßige Audits von Abhängigkeiten, Credential-Rotation und Netzwerk-Segmentierung sind essentiell.

Ähnliche Artikel