Checkmarx Jenkins-komprometteringen exponerade utvecklare och CI/CD-miljöer för infostealer-malware efter att angripare laddat upp en skadlig version av företagets Jenkins AST-plugin till Jenkins Marketplace.
Säkerhetsforskare varnade för att organisationer som använde den komprometterade pluginen omedelbart borde rotera sina autentiseringsuppgifter och undersöka sina system för möjliga intrång. Incidenten riktade sig mot ett av de mest använda automatiseringsekosystemen inom mjukvaruutveckling.
Checkmarx bekräftade senare intrånget och uppgav att den skadliga pluginversionen lyckades kringgå företagets normala publiceringsprocess.
Angripare komprometterade den officiella pluginen
Rapporter kopplade Checkmarx Jenkins-komprometteringen till hackergruppen TeamPCP, som forskare tidigare förknippat med flera mjukvarurelaterade supply chain-attacker under 2026.
Enligt utredare fick angriparna obehörig åtkomst till Checkmarx GitHub-repositorier och modifierade Jenkins AST-pluginen för att distribuera credential-stealande malware via den officiella Jenkins Marketplace.
Forskarna uppgav att den komprometterade pluginversionen innehöll skadlig kod utvecklad för att samla in känsliga utvecklarhemligheter från Jenkins-miljöer och CI/CD-infrastruktur.
Angriparna ska också ha ändrat namn på repositorier och lämnat meddelanden där de kritiserade företagets rutiner för credential rotation efter att intrånget blev offentligt.
Infostealer-malware riktade in sig på känsliga uppgifter
Forskare varnade för att den skadliga pluginen potentiellt kunde samla in:
- GitHub-token
- Molnuppgifter
- SSH-nycklar
- Kubernetes-konfigurationer
- Docker-uppgifter
- Hemligheter från build pipelines
Säkerhetsexperter förklarade att CI/CD-miljöer fortsätter vara attraktiva mål eftersom de ofta ger centraliserad åtkomst till källkodsrepositorier, deployeringssystem, produktionsinfrastruktur och känsliga automatiseringsuppgifter.
Angripare som komprometterar build pipelines kan potentiellt ta sig djupare in i företagsmiljöer genom betrodd utvecklarinfrastruktur.
Checkmarx rekommenderade användare att undvika de påverkade pluginversionerna och omedelbart uppgradera till säkra versioner som publicerats efter incidenten.
Supply chain-attacker fortsätter öka
Checkmarx Jenkins-komprometteringen blev ytterligare ett exempel på den växande vågen av supply chain-attacker mot betrodda utvecklarmiljöer. Forskare varnade för att angripare allt oftare riktar in sig på plugins, paketregister, GitHub Actions, npm-paket och CI/CD-verktyg eftersom dessa plattformar erbjuder skalbara distributionskanaler för malware.
Kompromettering av säkerhetsfokuserade verktyg skapar särskilt allvarliga risker eftersom organisationer naturligt litar på produkter som är utvecklade för att förbättra applikationssäkerhet och sårbarhetshantering.
Forskarna varnade också för att skadliga plugins kan spridas tyst genom automatiserade utvecklingspipelines innan försvarare upptäcker misstänkt aktivitet.
Samma bredare kampanj ska enligt rapporter ha påverkat flera utvecklarekosystem tidigare i år genom credential-stöld och modifierade paket.
Forskare varnade för kvarvarande åtkomst
Säkerhetsforskare noterade att detta inte var den första incidenten kopplad till Checkmarx infrastruktur under 2026. Tidigare utredningar involverade enligt uppgifter komprometterade GitHub Actions-workflows, skadliga utvecklingsartefakter och misstänkt repositorieaktivitet kopplad till överlappande angriparinfrastruktur.
Analytiker varnade för att upprepade incidenter kan indikera ofullständiga åtgärder eller kvarvarande angriparåtkomst i utvecklingsmiljöerna.
Angriparna själva verkade referera till tidigare intrång genom offentliga meddelanden där de kritiserade Checkmarx hantering av credentials och secret rotation.
Incidenten skapade ny oro kring hur organisationer skyddar utvecklingsmiljöer och säkrar privilegierade automatiseringssystem mot långvariga intrång.
Slutsats
Checkmarx Jenkins-komprometteringen visade hur farliga supply chain-attacker mot betrodda utvecklarverktyg kan bli. Genom att kompromettera en officiell Jenkins-plugin fick angriparna en potentiell väg in i känsliga CI/CD-miljöer och företagsinfrastruktur.
Incidenten förstärkte också den växande oron kring credential-hantering, kvarvarande åtkomst och den ökande sofistikeringen i attacker som riktar sig mot moderna mjukvaruutvecklingsekosystem.
0 svar till ”Checkmarx Jenkins-kompromettering levererade infostealer-malware”