Die Checkmarx-Jenkins-Kompromittierung setzte Entwickler und CI/CD-Umgebungen Infostealer-Malware aus, nachdem Angreifer eine bösartige Version des Jenkins-AST-Plugins des Unternehmens in den Jenkins Marketplace hochgeladen hatten.
Sicherheitsforscher warnten, dass Organisationen, die das kompromittierte Plugin verwendeten, ihre Zugangsdaten sofort rotieren und ihre Systeme auf mögliche Kompromittierungen untersuchen sollten. Der Vorfall traf eines der am weitesten verbreiteten Automatisierungsökosysteme in der Softwareentwicklung.
Checkmarx bestätigte später den Sicherheitsvorfall und erklärte, dass die bösartige Plugin-Version die reguläre Veröffentlichungs-Pipeline des Unternehmens umgehen konnte.
Angreifer kompromittierten das offizielle Plugin
Berichte brachten die Checkmarx-Jenkins-Kompromittierung mit der Hackergruppe TeamPCP in Verbindung, die Forscher bereits mit mehreren softwarebezogenen Supply-Chain-Angriffen im Jahr 2026 verknüpften.
Laut Ermittlern verschafften sich die Angreifer unbefugten Zugriff auf Checkmarx-GitHub-Repositories und modifizierten das Jenkins-AST-Plugin, um Credential-stehlende Malware über den offiziellen Jenkins Marketplace zu verbreiten.
Forscher erklärten, dass die kompromittierte Plugin-Version schädlichen Code enthielt, der sensible Entwickler-Geheimnisse aus Jenkins-Umgebungen und CI/CD-Infrastrukturen sammeln sollte.
Die Angreifer sollen außerdem Repository-Namen verändert und Nachrichten hinterlassen haben, in denen sie die Praktiken des Unternehmens bei Credential Rotation kritisierten, nachdem der Vorfall öffentlich geworden war.
Infostealer-Malware zielte auf sensible Zugangsdaten ab
Forscher warnten, dass das bösartige Plugin potenziell folgende Daten stehlen konnte:
- GitHub-Tokens
- Cloud-Zugangsdaten
- SSH-Schlüssel
- Kubernetes-Konfigurationen
- Docker-Zugangsdaten
- Build-Pipeline-Geheimnisse
Sicherheitsexperten erklärten, dass CI/CD-Umgebungen attraktive Ziele bleiben, da sie häufig zentralisierten Zugriff auf Quellcode-Repositories, Deployment-Systeme, Produktionsinfrastrukturen und sensible Automatisierungsdaten bieten.
Angreifer, die Build-Pipelines kompromittieren, können sich potenziell tiefer in Unternehmensumgebungen bewegen, indem sie vertrauenswürdige Entwickler-Infrastrukturen missbrauchen.
Checkmarx empfahl Nutzern, betroffene Plugin-Versionen zu vermeiden und sofort auf bereinigte Versionen zu aktualisieren, die nach dem Vorfall veröffentlicht wurden.
Supply-Chain-Angriffe nehmen weiter zu
Die Checkmarx-Jenkins-Kompromittierung wurde zum neuesten Beispiel für die wachsende Zahl von Supply-Chain-Angriffen auf vertrauenswürdige Entwickler-Ökosysteme. Forscher warnten, dass Angreifer zunehmend Plugins, Paket-Repositories, GitHub Actions, npm-Pakete und CI/CD-Tools ins Visier nehmen, da diese Plattformen skalierbare Verbreitungskanäle für Malware bieten.
Die Kompromittierung sicherheitsorientierter Tools schafft besonders schwerwiegende Risiken, weil Organisationen Produkten vertrauen, die eigentlich zur Verbesserung von Anwendungssicherheit und Schwachstellenmanagement entwickelt wurden.
Forscher warnten außerdem, dass sich bösartige Plugins unbemerkt durch automatisierte Entwicklungs-Pipelines verbreiten können, bevor Verteidiger ungewöhnliches Verhalten entdecken.
Dieselbe größere Kampagne soll laut Berichten bereits Anfang des Jahres mehrere Entwickler-Ökosysteme durch Credential-Diebstahl und manipulierte Pakete betroffen haben.
Forscher warnten vor anhaltendem Zugriff
Sicherheitsforscher betonten, dass dies nicht der erste Vorfall im Zusammenhang mit der Checkmarx-Infrastruktur im Jahr 2026 war. Frühere Untersuchungen betrafen Berichten zufolge kompromittierte GitHub-Actions-Workflows, bösartige Entwicklungsartefakte und verdächtige Repository-Aktivitäten, die mit überlappender Angreifer-Infrastruktur verbunden waren.
Analysten warnten, dass wiederholte Vorfälle auf unvollständige Gegenmaßnahmen oder anhaltenden Angreiferzugriff innerhalb der Entwicklungsumgebungen hinweisen könnten.
Die Angreifer selbst schienen in öffentlichen Nachrichten auf frühere Sicherheitsverletzungen anzuspielen und kritisierten Checkmarx wegen Credential-Management und Secret-Rotation-Praktiken.
Der Vorfall erneuerte die Sorgen darüber, wie Organisationen Entwicklungsumgebungen absichern und privilegierte Automatisierungssysteme vor langfristigen Kompromittierungen schützen.
Fazit
Die Checkmarx-Jenkins-Kompromittierung zeigte, wie gefährlich Supply-Chain-Angriffe gegen vertrauenswürdige Entwickler-Tools werden können. Durch die Kompromittierung eines offiziellen Jenkins-Plugins erhielten Angreifer potenziell Zugang zu sensiblen CI/CD-Umgebungen und Unternehmensinfrastrukturen.
Der Vorfall verstärkte außerdem die wachsenden Sorgen rund um Credential-Management, Risiken durch anhaltenden Zugriff und die zunehmende Raffinesse von Angriffen auf moderne Softwareentwicklungs-Ökosysteme.
0 Kommentare zu „Checkmarx-Jenkins-Kompromittierung verbreitete Infostealer-Malware“