Компания Checkmarx подтвердила компрометацию своего плагина Jenkins AST, связанного с анализом безопасности кода, после атаки группы TeamPCP на цепочку поставок KICS. Модифицированная версия плагина была размещена в Jenkins Marketplace, что создало угрозу для многих CI/CD систем.
%22%2F%3E%0A%20%20%3Crect%20width%3D%221600%22%20height%3D%22900%22%20fill%3D%22url(%23glowA)%22%2F%3E%0A%20%20%3Crect%20width%3D%221600%22%20height%3D%22900%22%20fill%3D%22url(%23glowB)%22%2F%3E%0A%20%20%3Cg%20opacity%3D%220.22%22%3E%0A%20%20%20%20%3Cpath%20d%3D%22M100%20720%20C380%20520%20470%20760%20740%20560%20S1180%20420%201500%20640%22%20fill%3D%22none%22%20stroke%3D%22%23ffffff%22%20stroke-width%3D%222%22%2F%3E%0A%20%20%20%20%3Cpath%20d%3D%22M130%20230%20H1470%20M130%20330%20H1470%20M130%20430%20H1470%20M130%20530%20H1470%22%20stroke%3D%22%23ffffff%22%20stroke-width%3D%221%22%2F%3E%0A%20%20%3C%2Fg%3E%0A%20%20%3Cg%20filter%3D%22url(%23shadow)%22%3E%0A%20%20%20%20%3Crect%20x%3D%22132%22%20y%3D%22122%22%20width%3D%221336%22%20height%3D%22656%22%20rx%3D%2256%22%20fill%3D%22%23ffffff%22%20fill-opacity%3D%220.08%22%20stroke%3D%22%23ffffff%22%20stroke-opacity%3D%220.22%22%2F%3E%0A%20%20%20%20%3Ccircle%20cx%3D%221260%22%20cy%3D%22286%22%20r%3D%22122%22%20fill%3D%22%2334d399%22%20fill-opacity%3D%220.18%22%2F%3E%0A%20%20%20%20%3Ccircle%20cx%3D%221360%22%20cy%3D%22390%22%20r%3D%2274%22%20fill%3D%22%238b5cf6%22%20fill-opacity%3D%220.24%22%2F%3E%0A%20%20%20%20%3Ctext%20x%3D%22190%22%20y%3D%22238%22%20fill%3D%22%23a7f3d0%22%20font-family%3D%22Inter%2C%20Arial%2C%20sans-serif%22%20font-size%3D%2234%22%20font-weight%3D%22800%22%20letter-spacing%3D%228%22%3EBDNEWS24.NET%3C%2Ftext%3E%0A%20%20%20%20%3Ctext%20x%3D%22190%22%20y%3D%22345%22%20fill%3D%22%23ffffff%22%20font-family%3D%22Inter%2C%20Arial%2C%20sans-serif%22%20font-size%3D%2264%22%20font-weight%3D%22900%22%3ETeamPCP%20%D1%81%D0%BA%D0%BE%D0%BC%D0%BF%D1%80%D0%BE%D0%BC%D0%B5%D1%82%D0%B8%D1%80%D0%BE%D0%B2%D0%B0%D0%BB%20%D0%BF%D0%BB%D0%B0%D0%B3%D0%B8%D0%BD%20Checkmarx%20Jenkins%20AST%20%D0%BF%D0%BE%D1%81%D0%BB%D0%B5%20%D0%B0%D1%82%D0%B0%D0%BA%D0%B8%20%D0%BD%D0%B0%20%D1%86%D0%B5%D0%BF%D0%BE%D1%87%D0%BA%D1%83%20%D0%BF%D0%BE%D1%81%D1%82%D0%B0%D0%B2%D0%BE%D0%BA%20KICS%3C%2Ftext%3E%0A%20%20%20%20%3Ctext%20x%3D%22190%22%20y%3D%22720%22%20fill%3D%22%23cbd5e1%22%20font-family%3D%22Inter%2C%20Arial%2C%20sans-serif%22%20font-size%3D%2230%22%20font-weight%3D%22700%22%3Eteampcp%20compromises%20checkmarx%20jenkins%20ast%20plugin%3C%2Ftext%3E%0A%20%20%3C%2Fg%3E%0A%3C%2Fsvg%3E)
Кратко о произошедшем
В декабре 2025 года в Jenkins Marketplace была опубликована изменённая версия плагина Checkmarx Jenkins AST, используемого для статического анализа безопасности приложений. Компания Checkmarx заявила, что модифицированная версия плагина не соответствует оригинальному коду и содержит потенциально вредоносные изменения.
Эта компрометация произошла вскоре после масштабной атаки группы TeamPCP, которая ранее осуществила успешный взлом цепочки поставок KICS — другого популярного инструмента для сканирования инфраструктуры.
Почему это важно
Jenkins — одна из самых популярных платформ для автоматизации CI/CD процессов. Плагины, такие как Checkmarx Jenkins AST, интегрируются в пайплайны для обеспечения безопасности кода и предотвращения попадания уязвимостей в продуктив.
Компрометация такого плагина может привести к:
- инъекциям вредоносного кода в процессе сборки;
- утечкам данных и секретов;
- нарушению целостности и доверия к DevSecOps процессам;
- техническим и репутационным потерям для компаний.
Контекст и связь с атакой на KICS
Группа TeamPCP, ранее атаковавшая KICS, использовала методы компрометации цепочки поставок, внедряя вредоносные изменения в официальные репозитории и дистрибутивы. Это позволяет атакующим получить доступ к инфраструктурам компаний, использующих заражённые инструменты.
Похожий сценарий реализован и в случае с плагином Checkmarx Jenkins AST, что указывает на системный подход злоумышленников к подрыву доверия к инструментам безопасности.
Последствия для инженеров безопасности и DevOps
Если вы используете плагин Checkmarx Jenkins AST, необходимо проверить версию и обновить её до безопасной. Checkmarx официально рекомендует использовать версию 2.0.13-829.vc72453fa_1c16 или более раннюю, опубликованную до 17 декабря 2025 года.
Безопасность CI/CD становится критическим элементом общей защиты, поэтому важно:
- регулярно проверять источники плагинов и их целостность;
- следить за официальными заявлениями производителей;
- внедрять мониторинг и аудит цепочек поставок;
- обновлять инструменты своевременно, избегая неподтверждённых версий.
Практические рекомендации
- Проверьте версию плагина Checkmarx Jenkins AST в вашей Jenkins-среде и обновите до безопасной версии, если используете более позднюю.
- Внедрите процессы проверки цифровых подписей и хэш-сумм для загружаемых компонентов.
- Мониторьте логи и поведение CI/CD на признаки необычной активности, связанной с плагинами безопасности.
- Обучайте команды DevOps и безопасности про актуальные угрозы цепочек поставок и методы их предотвращения.
Сводка действий для проверки и защиты
- Убедитесь, что версия плагина соответствует безопасной (2.0.13-829.vc72453fa_1c16 или ранее).
- Проверьте журналы установки и обновлений плагинов.
- Ограничьте доступ к внешним репозиториям плагинов.
- Применяйте многослойную защиту CI/CD (сегментация, аутентификация, аудит).
- Поддерживайте связь с производителем для получения актуальной информации.
Вопросы и ответы
Что произошло с плагином Checkmarx Jenkins AST?
В Jenkins Marketplace была опубликована изменённая версия плагина, скомпрометированная группой TeamPCP, что может привести к безопасности рискам в CI/CD процессах.
Кто такая группа TeamPCP?
TeamPCP — известная хакерская группа, специализирующаяся на атаках на цепочки поставок программного обеспечения для массового распространения вредоносного кода.
Как узнать, использую ли я уязвимую версию плагина?
Проверьте в Jenkins Marketplace или в вашей системе версию плагина. Безопасной считается версия 2.0.13-829.vc72453fa_1c16 или ранее, выпущенная до 17 декабря 2025 года.
Что делать, если у меня установлена скомпрометированная версия?
Немедленно обновите до безопасной версии или полностью удалите плагин, если обновления недоступны. Проведите аудит безопасности CI/CD и проверьте логи на признаки компрометации.
Как защититься от подобных атак в будущем?
Что делать, если вы используете другие инструменты, похожие на KICS или Checkmarx?
Следите за обновлениями от разработчиков, проверяйте целостность компонентов и внедряйте мониторинг безопасности цепочек поставок для минимизации рисков.