Checkmarx a signalé ce week-end la publication d’une version malveillante de son plugin Jenkins Application Security Testing (AST) sur le Jenkins Marketplace.
Le groupe de hackers TeamPCP revendique cette compromission, dans le cadre d’une série d’attaques supply-chain incluant les campagnes Shai-Hulud sur npm et la brèche du scanner de vulnérabilités Trivy, qui ont distribué un malware voleur de credentials.
Jenkins figure parmi les solutions CI/CD les plus populaires pour l’automatisation de la construction, des tests, du scanning de code, du packaging d’applications et du déploiement de mises à jour sur les serveurs.
Ce plugin Checkmarx AST pour Jenkins permet d’intégrer des scans de sécurité dans les pipelines automatisés. L’entreprise a annoncé travailler sur une nouvelle version du plugin pour contrer cette menace.
Il s’agit du troisième incident supply-chain touchant Checkmarx depuis fin mars. L’ingénieur en sécurité offensive Adnand Khan précise que TeamPCP a accédé aux dépôts GitHub de l’entreprise pour insérer un backdoor dans le plugin Jenkins AST, diffusant ainsi un malware d’exfiltration de credentials.
L’équipe PCP avait accès aux dépôts GitHub de Checkmarx.
source: Adnan Khan
Un porte-parole de Checkmarx a confirmé à BleepingComputer que les attaquants ont obtenu des identifiants via l’attaque Trivy de mars. Les hackers ont laissé un message dans la section « à propos » : « Checkmarx échoue encore à faire tourner les secrets. Avec amour – TeamPCP. »
Grâce à ces accès, les assaillants ont interagi avec l’environnement GitHub de Checkmarx et publié du code malveillant dans divers artefacts. Ils ont diffusé des versions altérées de plusieurs outils de développement sur GitHub, Docker et VSCode, intégrant du code d’exfiltration d’informations.
Les intrus ont conservé un accès pendant au moins un mois, avant de publier une version piégée de l’outil d’analyse KICS de l’entreprise sur Docker, Open VSX et VSCode, capable de collecter des données des environnements de développement.
Fin avril, le groupe LAPSUS$ a divulgué des données volées d’un dépôt GitHub privé de Checkmarx.
Le 9 mai, une version frauduleuse (2026.5.09) du plugin Checkmarx Jenkins AST est apparue sur repo.jenkins-ci.org, en dehors du pipeline de publication officiel et sans balise git tag ni release GitHub.
Checkmarx recommande d’utiliser la version 2.0.13-829.vc72453fa_1c16 publiée le 17 décembre 2025 ou une antérieure. Même sans détails précis sur les effets du plugin malveillant, les utilisateurs ayant téléchargé cette version doivent présumer une compromission des credentials, renouveler tous les secrets et vérifier les mouvements latéraux ou la persistance.
Les dépôts GitHub de Checkmarx restent isolés de l’environnement de production client, sans stockage de données clients. L’entreprise a informé ses clients et publie des IoCs pour aider à la détection.