TeamPCP schleust Infostealer in offizielles Checkmarx-Jenkins-Plugin ein

Zusammenfassung

Checkmarx hat am Wochenende davor gewarnt, dass eine manipulierte Version seines Jenkins Application Security Testing (AST) Plugins im Jenkins Marketplace veröffentlicht wurde. Das Plugin integriert Sicherheitsscans in automatisierte CI/CD-Pipelines; Jenkins selbst zählt zu den am weitesten verbreiteten Automatisierungslösungen für das Bauen, Testen, Scannen und Ausliefern von Software. Zu dem Vorfall bekannte sich die Hackergruppe TeamPCP, die zuvor bereits eine Reihe von Lieferketten-Angriffen ausgelöst hatte – darunter die Shai-Hulud-Kampagnen auf npm sowie den Einbruch beim Schwachstellen-Scanner Trivy. In allen Fällen ging es um die Verteilung von Schadsoftware zum Diebstahl von Zugangsdaten. Für Checkmarx ist es bereits der dritte Lieferketten-Angriff seit Ende März. Laut einem Unternehmenssprecher verschafften sich die Angreifer Zugang zu den GitHub-Repositories von Checkmarx mit Zugangsdaten, die sie beim Trivy-Angriff erbeutet hatten, und versahen das Jenkins-AST-Plugin mit einer Hintertür. Nutzer, die die schädliche Version heruntergeladen haben, sollten davon ausgehen, dass ihre Zugangsdaten kompromittiert sind. Checkmarx kündigte an, eine neue, bereinigte Version des Plugins zu veröffentlichen.

Nach Angaben des Offensive-Security-Ingenieurs Adnand Khan verschaffte sich TeamPCP Zugang zu den GitHub-Repositories von Checkmarx und versah das Jenkins-AST-Plugin mit einer Hintertür, um Schadsoftware zum Diebstahl von Zugangsdaten auszuliefern. Ein Unternehmenssprecher bestätigte gegenüber BleepingComputer, dass die Angreifer die nötigen Zugangsdaten beim Trivy-Lieferketten-Angriff im März erbeutet hatten. „Durch diesen Zugang konnten die Angreifer mit der GitHub-Umgebung von Checkmarx interagieren und anschließend Schadcode in bestimmte Artefakte einspielen", erklärte der Sprecher.

In der Beschreibung hinterließen die Angreifer eine Botschaft: „Checkmarx versäumt es erneut, seine Geheimnisse zu rotieren. Mit Liebe – TeamPCP."

Mit den beim Trivy-Angriff gestohlenen Zugangsdaten veröffentlichten die Hacker manipulierte Versionen mehrerer Entwicklerwerkzeuge auf GitHub, Docker und VSCode, die Code zum Abgreifen von Zugangsdaten enthielten. Die Angreifer hielten den Zugang mindestens einen Monat lang aufrecht und veröffentlichten danach eine schädliche Version des firmeneigenen Analysewerkzeugs KICS auf Docker, Open VSX und VSCode, die Daten aus Entwicklungsumgebungen sammelte. Ende April bestätigte das Unternehmen zudem, dass die Gruppe LAPSUS$ Daten aus einem privaten GitHub-Repository veröffentlicht hatte.

Die manipulierte Plugin-Version (2026.5.09) wurde an einem Samstag auf repo.jenkins-ci.org hochgeladen. Sie stammte nicht aus der offiziellen Release-Pipeline und enthielt Schadcode. Neben dem abweichenden Datumsschema fehlten dem Plugin auch ein Git-Tag und ein zugehöriges GitHub-Release.

Checkmarx riet Nutzern, die Version 2.0.13-829.vc72453fa_1c16 vom 17. Dezember 2025 oder eine ältere Fassung zu verwenden. Details dazu, was das manipulierte Plugin auf befallenen Systemen anrichtet, nannte das Unternehmen nicht. Wer die schädliche Version installiert hat, sollte von kompromittierten Zugangsdaten ausgehen, alle Geheimnisse rotieren und nach Anzeichen für seitliche Ausbreitung oder Persistenz suchen.

Nach Darstellung von Checkmarx sind die GitHub-Repositories von der Produktivumgebung der Kunden getrennt; im Repository würden keine Kundendaten gespeichert. Das Unternehmen erklärte, man habe die Kunden durchgängig informiert und werde weiter berichten, sobald neue Erkenntnisse vorlägen; Empfehlungen seien über das Support-Portal und die Bereiche mit Sicherheitsupdates abrufbar. Zusätzlich hat Checkmarx eine Liste schädlicher Artefakte veröffentlicht, die Verteidiger als Kompromittierungsindikatoren (IoCs) nutzen können.

TeamPCP schleust Infostealer in offizielles Checkmarx-Jenkins-Plugin ein

Ähnliche Artikel

Neueste Artikel