Des hackers ont réussi à compromettre des images Docker ainsi que des extensions pour VSCode et Open VSX, ciblant l’outil d’analyse KICS de Checkmarx afin de collecter des données sensibles au sein des environnements de développement.
KICS, qui signifie Keep Infrastructure as Code Secure, constitue un scanner open-source accessible gratuitement, permettant aux développeurs d’identifier des vulnérabilités de sécurité dans le code source, les dépendances et les fichiers de configuration.
Utilisé couramment en mode local via CLI ou Docker, cet outil traite des configurations d’infrastructure sensibles qui peuvent contenir des informations comme des identifiants, des tokens et des détails sur l’architecture interne.
La société de sécurité des dépendances Socket a mené une enquête suite à une alerte émise par Docker concernant des images malveillantes poussées vers le dépôt officiel checkmarx/kics sur Docker Hub.
L’enquête a révélé que la violation ne se limitait pas à l’image Docker de KICS, mais s’étendait également aux extensions pour VS Code et Open VSX, qui téléchargeaient une fonctionnalité cachée dénommée ‘MCP addon’. Cette dernière était conçue pour récupérer un malware capable de voler des données.
Les chercheurs de Socket ont découvert que cette fonctionnalité ‘MCP addon’ récupérait un composant de vol de données en plusieurs étapes, identifié sous le nom de mcpAddon.js, à partir d’une URL GitHub hardcodée.
Le malware ciblait spécifiquement les données traitées par KICS, y compris les tokens GitHub, les identifiants cloud (AWS, Azure, Google Cloud), les tokens npm, les clés SSH, des configurations Claude et des variables d’environnement.
Une fois collectées, ces données étaient encryptées et exfiltrées vers audit.checkmarx[.]cx, un domaine imitant l’infrastructure légitime de Checkmarx. De plus, des dépôts GitHub publics étaient automatiquement créés pour faciliter cette exfiltration de données.
Source : Socket
Il est important de noter que les tags Docker ont été temporairement redirigés vers un digest malveillant, rendant l’impact dépendant du moment où ils ont été récupérés. La période critique pour l’image Docker KICS s’est étendue du 22 avril 2026, 14:17:59 UTC au 22 avril 2026, 15:41:31 UTC.
Les tags affectés ont depuis été restaurés à leurs digest légitimes, et le faux tag v2.1.21 a été complètement supprimé.
Les développeurs ayant téléchargé l’outil compromis doivent considérer que leurs secrets ont été exposés, et il est conseillé de les changer rapidement tout en reconstruisant leurs environnements à partir d’un point sûr.
Bien que les hackers de TeamPCP, responsables de la compromission importante des chaînes d’approvisionnement Trivy et LiteLLM, aient revendiqué l’attaque, les chercheurs n’ont pas trouvé suffisamment de preuves pour établir une attribution fiable au-delà des corrélations basées sur des motifs.
Le site BleepingComputer a contacté Checkmarx pour obtenir un commentaire, mais aucune déclaration n’a été fournie immédiatement.
Parallèlement, l’entreprise a publié un bulletin de sécurité concernant l’incident, assurant que tous les artefacts malveillants avaient été éliminés, et que les identifiants exposés avaient été révoqués et changés.
Actuellement, l’entreprise poursuit son enquête avec l’aide d’experts externes, promettant de partager davantage d’informations lorsque cela sera possible.
Les utilisateurs de l’outil compromis sont fortement conseillés de bloquer l’accès à ‘checkmarx.cx => 91[.]195[.]240[.]123’ et ‘audit.checkmarx.cx => 94[.]154[.]172[.]43’, d’utiliser des SHA fixés, de revenir à des versions connues et sûres, tout en changeant les secrets et identifiants s’il y a soupçon ou confirmation de compromission.
Les dernières versions sûres des projets affectés sont : DockerHub KICS v2.1.20, Checkmarx ast-github-action v2.3.36, extensions VS Code de Checkmarx v2.64.0, et extension Checkmarx Developer Assist v1.18.0.