A Checkmarx alertou no fim de semana que uma versão maliciosa do plugin Jenkins Application Security Testing (AST) havia sido publicada no Jenkins Marketplace.
A invasão foi assumida pelo grupo hacker TeamPCP, que deu início a uma sequência de ataques à supply chain, incluindo as campanhas Shai-Hulud no npm e a violação do scanner de vulnerabilidades Trivy, com a distribuição de malware voltado ao roubo de credenciais.
O Jenkins é uma das soluções de automação de integração contínua e entrega contínua (CI/CD) mais usadas para compilação de software, testes, análise de código, empacotamento de aplicações e implantação de atualizações em servidores. No Jenkins Marketplace, o plugin Checkmarx AST integra verificações de segurança aos pipelines automatizados.
“Temos conhecimento de que uma versão modificada do plugin Checkmarx Jenkins AST foi publicada no Jenkins Marketplace.
Estamos em processo de publicar uma nova versão deste plugin”, informou a Checkmarx em atualização.
Este é o terceiro incidente em uma série de ataques à supply chain sofridos pela empresa de testes de segurança de aplicações desde o fim de março.
Segundo o engenheiro de segurança ofensiva Adnand Khan, o TeamPCP obteve acesso aos repositórios da Checkmarx no GitHub e inseriu um backdoor no plugin Jenkins AST para distribuir malware de roubo de credenciais.
Um porta-voz da empresa confirmou ao BleepingComputer que o threat actor obteve credenciais para os repositórios a partir do ataque à supply chain do Trivy, em março.
Uma mensagem deixada pelos hackers na seção “sobre” dizia: “Checkmarx falha em rotacionar segredos mais uma vez.
Com carinho, TeamPCP.”
“Como resultado desse acesso, os invasores conseguiram interagir com o ambiente GitHub da Checkmarx e, posteriormente, publicar código malicioso em determinados artefatos”, afirmou o porta-voz da empresa.
Usando credenciais roubadas no ataque ao Trivy, os hackers publicaram versões alteradas de várias ferramentas para desenvolvedores no GitHub, Docker e VSCode, todas com código de infostealer.
O threat actor manteve o acesso por pelo menos um mês e depois publicou uma versão maliciosa da ferramenta de análise KICS da empresa no Docker, Open VSX e VSCode, que coletava dados de ambientes de desenvolvimento.
No fim de abril, a empresa confirmou que o grupo LAPSUS$ vazou dados roubados de seu repositório privado no GitHub.
No sábado, 9 de maio, uma versão maliciosa, identificada como 2026.5.09, do plugin Checkmarx Jenkins AST foi enviada ao repo.jenkins-ci.org fora do pipeline oficial de distribuição. A atualização incluía código malicioso, não seguia o padrão oficial de data e não tinha tag git nem versão publicada no GitHub.
A Checkmarx orientou os usuários a verificar se estão usando a versão 2.0.13-829.vc72453fa_1c16, publicada em 17 de dezembro de 2025, ou uma versão anterior, até que a nova publicação seja disponibilizada.
Embora a Checkmarx não tenha divulgado detalhes sobre o que o plugin Jenkins malicioso faz nos sistemas, quem tiver baixado a versão comprometida deve presumir que suas credenciais foram comprometidas, rotacionar todos os segredos e investigar possíveis movimentos laterais ou mecanismos de persistência.
A empresa afirma que seus repositórios no GitHub são isolados do ambiente de produção dos clientes e que nenhum dado de clientes é armazenado nesses repositórios.
“Temos nos comunicado com nossos clientes ao longo desse processo e continuaremos a fornecer atualizações relevantes à medida que mais informações se tornem disponíveis”, disse a empresa de cibersegurança, acrescentando que os clientes podem encontrar recomendações no Portal de Suporte ou nas seções de Atualizações de Segurança.
A Checkmarx também publicou um conjunto de artefatos maliciosos que defensores podem usar como indicadores de comprometimento (IoCs) em seus ambientes.
Publicidade
Nossa audiência é formada por analistas, pentesters, decisores e entusiastas que consomem nossas notícias todo dia pelo Site, Newsletter e Instagram. Fale com quem realmente importa para o seu negócio. Anuncie aqui. Saiba mais...