TeamPCP отново удря веригата за доставки на разработчици

Компанията Checkmarx предупреди, че злонамерена версия на нейния Jenkins AST plugin е била публикувана в Jenkins Marketplace след компрометиране на GitHub инфраструктурата ѝ.

Инцидентът е свързан с хакерската група TeamPCP, която стои зад поредица от supply-chain атаки през последните месеци, включително кампаниите Shai-Hulud в npm екосистемата и компрометирането на vulnerability scanner-а Trivy.

Случаят е поредният пример за ескалацията на атаките срещу CI/CD среди и developer tooling инфраструктура.

Какво представлява засегнатият plugin

Компрометираният Jenkins AST plugin се използва за интегриране на security scanning процеси в автоматизираните CI/CD pipelines.

Jenkins е сред най-използваните платформи за:

• автоматизирано изграждане на софтуер;
• тестване;
• code scanning;
• package deployment;
• автоматично публикуване на обновления.

Компрометирането на plugin в подобна среда е особено опасно, защото предоставя достъп директно до developer инфраструктурата и build pipeline-ите.

Как е извършена атаката

Според offensive security изследователя Аднан Хан, TeamPCP е получила достъп до GitHub репозиториите на Checkmarx чрез credentials, откраднати по време на Trivy supply-chain атаката през март.

След получаване на достъп атакуващите:

• модифицирали Jenkins AST plugin-а;
• добавили credential-stealing malware;
• публикували rogue версия в Jenkins Marketplace;
• внедрили злонамерен код в developer tooling артефакти.

Самата Checkmarx потвърждава, че компрометираните credentials са свързани с предишната Trivy атака.

Хакерите оставили послание към Checkmarx

В GitHub секцията „about“ нападателите оставили съобщение:

„Checkmarx fails to rotate secrets again. With love – TeamPCP.“

Това подсказва, че една от основните причини за компрометирането вероятно е била недостатъчна ротация на секрети и credentials след предишни инциденти.

Злонамерената версия на plugin-а

На 9 май е качена rogue версия с номер:

2026.5.09

Според Checkmarx тя:

• не е преминала през официалния release pipeline;
• не следва стандартната naming схема;
• няма git tag;
• няма GitHub release;
• съдържа злонамерен код.

Компанията препоръчва организациите да използват версия:

2.0.13-829.vc72453fa_1c16

или по-стара версия, публикувана на 17 декември 2025 г.

Потенциални последствия за организациите

Макар Checkmarx все още да не публикува технически детайли за payload-а, организацията предупреждава, че потребителите на компрометираната версия трябва да приемат, че креденшълите им  са били изложени.

Препоръчваните действия включват:

• незабавна ротация на всички secrets;
• подмяна на API tokens;
• смяна на SSH ключове;
• проверка за lateral movement;
• анализ за persistence механизми;
• ревизия на CI/CD pipeline достъпите.

Част от по-широка supply-chain кампания

Това е третият значим инцидент за Checkmarx от края на март насам.

По-рано атакуващите са публикували компрометирани версии на:

• KICS analysis tool;
• Docker артефакти;
• Open VSX extensions;
• VSCode plugins.

Тези версии са съдържали info-stealing functionality, насочена към developer среди.

Допълнително през април групата LAPSUS$ публикува изтекли данни от частни GitHub репозитории на компанията.

Новата реалност: атаките вече са насочени към developer екосистемата

Supply-chain атаките срещу инструменти за разработка се превръщат в една от най-опасните тенденции в киберсигурността.

Причината е проста – компрометирането на един plugin, package или CI/CD компонент може да осигури достъп до:

• source code;
• production credentials;
• cloud среди;
• deployment pipeline-и;
• signing infrastructure;
• клиентски среди.

Особено тревожно е, че все повече подобни атаки използват trusted update механизми и официални marketplaces, което значително намалява вероятността за ранно засичане.

Checkmarx публикува IoC индикатори

Компанията е публикувала Indicators of Compromise (IoC), които организациите могат да използват за проверка на своите среди.

Освен това клиентите са инструктирани да следят:

• Jenkins plugin inventory;
• необичайни pipeline executions;
• нови outbound connections;
• credential abuse;
• подозрителни GitHub access tokens.

Supply-chain рискът вече е стратегически проблем

Инцидентът около Checkmarx и Jenkins показва колко критични са вече developer supply-chain екосистемите за сигурността на организациите.

Днешните атаки все по-рядко пробиват директно production системите. Вместо това нападателите атакуват:

• build инфраструктура;
• dependency management;
• package repositories;
• CI/CD automation;
• developer workstations.

Това превръща защитата на software supply chain-а в една от най-важните задачи пред съвременните SOC и DevSecOps екипи.