В конце недели компания Checkmarx сообщила о серьёзной проблеме безопасности: официальная версия их плагина для Jenkins была скомпрометирована и распространялась с вредоносным инфостилером. Инцидент затрагивает пользователей Jenkins, активно использующих инструменты Checkmarx для автоматизированного тестирования безопасности приложений.
%22%2F%3E%0A%20%20%3Crect%20width%3D%221600%22%20height%3D%22900%22%20fill%3D%22url(%23glowA)%22%2F%3E%0A%20%20%3Crect%20width%3D%221600%22%20height%3D%22900%22%20fill%3D%22url(%23glowB)%22%2F%3E%0A%20%20%3Cg%20opacity%3D%220.22%22%3E%0A%20%20%20%20%3Cpath%20d%3D%22M100%20720%20C380%20520%20470%20760%20740%20560%20S1180%20420%201500%20640%22%20fill%3D%22none%22%20stroke%3D%22%23ffffff%22%20stroke-width%3D%222%22%2F%3E%0A%20%20%20%20%3Cpath%20d%3D%22M130%20230%20H1470%20M130%20330%20H1470%20M130%20430%20H1470%20M130%20530%20H1470%22%20stroke%3D%22%23ffffff%22%20stroke-width%3D%221%22%2F%3E%0A%20%20%3C%2Fg%3E%0A%20%20%3Cg%20filter%3D%22url(%23shadow)%22%3E%0A%20%20%20%20%3Crect%20x%3D%22132%22%20y%3D%22122%22%20width%3D%221336%22%20height%3D%22656%22%20rx%3D%2256%22%20fill%3D%22%23ffffff%22%20fill-opacity%3D%220.08%22%20stroke%3D%22%23ffffff%22%20stroke-opacity%3D%220.22%22%2F%3E%0A%20%20%20%20%3Ccircle%20cx%3D%221260%22%20cy%3D%22286%22%20r%3D%22122%22%20fill%3D%22%2334d399%22%20fill-opacity%3D%220.18%22%2F%3E%0A%20%20%20%20%3Ccircle%20cx%3D%221360%22%20cy%3D%22390%22%20r%3D%2274%22%20fill%3D%22%238b5cf6%22%20fill-opacity%3D%220.24%22%2F%3E%0A%20%20%20%20%3Ctext%20x%3D%22190%22%20y%3D%22238%22%20fill%3D%22%23a7f3d0%22%20font-family%3D%22Inter%2C%20Arial%2C%20sans-serif%22%20font-size%3D%2234%22%20font-weight%3D%22800%22%20letter-spacing%3D%228%22%3EBDNEWS24.NET%3C%2Ftext%3E%0A%20%20%20%20%3Ctext%20x%3D%22190%22%20y%3D%22345%22%20fill%3D%22%23ffffff%22%20font-family%3D%22Inter%2C%20Arial%2C%20sans-serif%22%20font-size%3D%2264%22%20font-weight%3D%22900%22%3E%D0%9E%D1%84%D0%B8%D1%86%D0%B8%D0%B0%D0%BB%D1%8C%D0%BD%D1%8B%D0%B9%20%D0%BF%D0%B0%D0%BA%D0%B5%D1%82%20CheckMarx%20Jenkins%20%D1%81%20%D0%B8%D0%BD%D1%84%D0%BE%D1%81%D1%82%D0%B8%D0%BB%D0%B5%D1%80%D0%BE%D0%BC%3A%20%D1%87%D1%82%D0%BE%20%D0%BF%D1%80%D0%BE%D0%B8%D0%B7%D0%BE%D1%88%D0%BB%D0%BE%20%D0%B8%20%D0%BA%D0%B0%D0%BA%20%D0%B7%D0%B0%D1%89%D0%B8%D1%82%D0%B8%D1%82%D1%8C%D1%81%D1%8F%3C%2Ftext%3E%0A%20%20%20%20%3Ctext%20x%3D%22190%22%20y%3D%22720%22%20fill%3D%22%23cbd5e1%22%20font-family%3D%22Inter%2C%20Arial%2C%20sans-serif%22%20font-size%3D%2230%22%20font-weight%3D%22700%22%3Echeckmarx%20jenkins%20paket%20komprometirovan%20infostiler%3C%2Ftext%3E%0A%20%20%3C%2Fg%3E%0A%3C%2Fsvg%3E)
Что произошло: компрометация официального плагина CheckMarx для Jenkins
Официальный плагин Checkmarx Application Security Testing (AST) для Jenkins, распространяемый через Jenkins Marketplace, оказался заражён вредоносным ПО — инфостилером. Этот инфостилер способен похищать конфиденциальные данные с заражённых систем.
Checkmarx оперативно уведомила пользователей о проблеме и рекомендовала незамедлительно удалить скомпрометированный плагин. Вредоносная версия была доступна в течение ограниченного времени, но точные сроки в открытых данных не указаны.
Почему это важно: последствия компрометации для безопасности DevOps
Jenkins — одна из самых популярных CI/CD платформ, а плагин Checkmarx — ключевой инструмент для интеграции анализа безопасности в процессы разработки. Компрометация такого пакета может привести к:
- Сбору и утечке учётных данных, токенов, конфигураций и других секретов;
- Уязвимости всей цепочки поставки ПО;
- Росту риска атак на инфраструктуру и конечные приложения;
- Потере доверия к официальным репозиториям и плагинам.
Для специалистов по безопасности и девопс-инженеров это сигнал к пересмотру текущих практик защиты и мониторинга пакетов.
Последствия и практические рекомендации
Ниже приведены ключевые шаги, которые необходимо предпринять пользователям Jenkins и Checkmarx:
- Удалить скомпрометированный плагин из Jenkins Marketplace и проверить версии установленных плагинов;
- Провести аудит систем на предмет утечки конфиденциальных данных, включая токены и пароли, которые могли быть похищены;
- Обновить учётные данные и секреты, особенно используемые в CI/CD процессах;
- Внедрить мониторинг целостности пакетов и плагинов с применением цифровых подписей и проверки хэшей;
- Следить за официальными источниками Checkmarx и Jenkins для получения актуальных обновлений и патчей.
Таблица: Риски и рекомендации по защите от инфостилеров в CI/CD
| Риск | Описание | Рекомендации |
|---|---|---|
| Утечка секретов | Похищение токенов и паролей через инфостилер | Регулярно менять секреты, использовать менеджеры секретов |
| Компрометация CI/CD | Вредоносный код внедряется в цепочку поставки | Проверять подписи пакетов, ограничивать права плагинов |
| Снижение доверия к репозиториям | Пользователи боятся устанавливать обновления | Использовать проверенные источники, внедрять аудит |
Вопросы и ответы
Что такое инфостилер и почему он опасен?
Инфостилер — вредоносное ПО, которое похищает конфиденциальные данные с заражённого устройства, включая пароли, токены доступа, файлы конфигураций и другую чувствительную информацию.
Как узнать, что мой Jenkins использует скомпрометированный плагин?
Проверьте версию плагина Checkmarx AST в списке установленных плагинов Jenkins. Если версия совпадает с той, что была отмечена как скомпрометированная (информация доступна в официальных уведомлениях Checkmarx), плагин необходимо немедленно удалить.
Какие меры защиты можно усилить после инцидента?
Рекомендуется внедрить мониторинг изменения пакетов, использовать цифровые подписи, применять принципы наименьших привилегий для плагинов, регулярно обновлять секреты и проводить аудит безопасности CI/CD процессов.
Можно ли восстановить доверие к плагинам из Jenkins Marketplace?
Доверие можно восстановить, если поставщики обеспечивают прозрачность, оперативно реагируют на инциденты и внедряют дополнительные меры проверки и контроля целостности пакетов.
Что делать, если есть подозрение на утечку данных?
Немедленно смените все затронутые пароли и токены, проанализируйте логи на предмет подозрительной активности и сообщите о проблеме ответственным за безопасность вашей организации.