🔥 Fique por dentro das novidades mais quentes do momento! 🔥
Leia, comente e fique sempre atualizado!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Checkmarx alertou no fim de semana que uma versão não autorizada de seu plugin Jenkins Application Security Testing (AST) foi publicada no Jenkins Marketplace.
O comprometimento foi reivindicado pelo grupo de hackers TeamPCP, que iniciou uma série de ataques à cadeia de suprimentos que incluíram as campanhas Shai-Hulud no npm e a violação do scanner de vulnerabilidade Trivy, resultando na entrega de malware para roubo de credenciais.
Jenkins é uma das soluções de automação de integração contínua/implantação contínua (CI/CD) mais amplamente utilizadas para construção de software, testes, digitalização de código, empacotamento de aplicativos e implantação de atualizações em servidores.
O plug-in Checkmarx AST no Jenkins Marketplace integra verificação de segurança em pipelines automatizados.
"Estamos cientes de que uma versão modificada do plugin Checkmarx Jenkins AST foi publicada no Jenkins Marketplace. Estamos em processo de publicação de uma nova versão deste plug-in", alertou Checkmarx na atualização.
Este é o terceiro incidente de uma série de ataques à cadeia de suprimentos que a empresa de testes de segurança de aplicativos sofreu desde o final de março.
De acordo com o engenheiro de segurança ofensiva Adnand Khan, o TeamPCP obteve acesso aos repositórios GitHub da Checkmarx e fez backdoor no plugin Jenkins AST para fornecer malware de roubo de credenciais.
Um porta-voz da empresa confirmou ao BleepingComputer que o ator da ameaça obteve credenciais para os repositórios do ataque à cadeia de suprimentos de Trivy em março.
Uma mensagem que os hackers deixaram na seção sobre diz: "Checkmarx não consegue girar segredos novamente. Com amor - TeamPCP."
O TeamPCP teve acesso aos repositórios GitHub da Checkmarxfonte: Adnan Khan
“Como resultado desse acesso, os invasores conseguiram interagir com o ambiente GitHub da Checkmarx e posteriormente publicar código malicioso para determinados artefatos”, afirmou o porta-voz da empresa.
Usando credenciais roubadas no ataque Trivy, os hackers publicaram versões modificadas de várias ferramentas de desenvolvedor no GitHub, Docker e VSCode que incluíam código para roubo de informações.
O ator da ameaça manteve o acesso por pelo menos um mês e depois publicou uma versão maliciosa da ferramenta de análise KICS da empresa no Docker, Open VSX e VSCode, que coletava dados de ambientes de desenvolvedores.
No final de abril, a empresa confirmou que o grupo de ameaças LAPSUS$ vazou dados roubados de seu repositório privado GitHub.
No sábado, 9 de maio, uma versão não autorizada (2026.5.09) do plugin Checkmarx Jenkins AST foi carregada em repo.jenkins-ci.org. A atualização estava fora do pipeline de lançamento do plugin e incluía código malicioso.
Além de não seguir o esquema oficial de estilo de data, o plugin malicioso não tinha uma tag git e uma versão do GitHub.
Checkmarx aconselhou os usuários a garantir que estão usando a versão 2.0.13-829.vc72453fa_1c16 do plugin publicado em 17 de dezembro de 2025, ou uma versão mais antiga.
Embora Checkmarx não tenha compartilhado nenhum detalhe sobre o que o plug-in Jenkins desonesto faz nos sistemas, aqueles que baixaram a versão maliciosa devem presumir que suas credenciais estão comprometidas, alternar todos os segredos e investigar movimentos laterais ou persistência.
Checkmarx afirma que seus repositórios GitHub estão isolados do ambiente de produção do cliente e nenhum dado do cliente é armazenado no repositório GitHub.
“Nós nos comunicamos com nossos clientes ao longo deste processo e continuaremos a fornecer atualizações relevantes à medida que mais informações estiverem disponíveis”, disse a empresa de segurança cibernética, acrescentando que os clientes podem encontrar recomendações no Portal de Suporte ou nas seções de Atualizações de Segurança.
Checkmarx publicou um conjunto de artefatos maliciosos que os defensores podem usar como indicadores de comprometimento (IoCs) em seus ambientes.
99% do que o Mythos encontrou ainda não foi corrigido.
A IA encadeou quatro dias zero em uma exploração que contornou os sandboxes do renderizador e do sistema operacional. Uma onda de novas explorações está chegando.No Autonomous Validation Summit (12 e 14 de maio), veja como a validação autônoma e rica em contexto encontra o que é explorável, prova que os controles são válidos e fecha o ciclo de remediação.
Reivindique seu lugar
O comprometimento foi reivindicado pelo grupo de hackers TeamPCP, que iniciou uma série de ataques à cadeia de suprimentos que incluíram as campanhas Shai-Hulud no npm e a violação do scanner de vulnerabilidade Trivy, resultando na entrega de malware para roubo de credenciais.
Jenkins é uma das soluções de automação de integração contínua/implantação contínua (CI/CD) mais amplamente utilizadas para construção de software, testes, digitalização de código, empacotamento de aplicativos e implantação de atualizações em servidores.
O plug-in Checkmarx AST no Jenkins Marketplace integra verificação de segurança em pipelines automatizados.
"Estamos cientes de que uma versão modificada do plugin Checkmarx Jenkins AST foi publicada no Jenkins Marketplace. Estamos em processo de publicação de uma nova versão deste plug-in", alertou Checkmarx na atualização.
Este é o terceiro incidente de uma série de ataques à cadeia de suprimentos que a empresa de testes de segurança de aplicativos sofreu desde o final de março.
De acordo com o engenheiro de segurança ofensiva Adnand Khan, o TeamPCP obteve acesso aos repositórios GitHub da Checkmarx e fez backdoor no plugin Jenkins AST para fornecer malware de roubo de credenciais.
Um porta-voz da empresa confirmou ao BleepingComputer que o ator da ameaça obteve credenciais para os repositórios do ataque à cadeia de suprimentos de Trivy em março.
Uma mensagem que os hackers deixaram na seção sobre diz: "Checkmarx não consegue girar segredos novamente. Com amor - TeamPCP."
O TeamPCP teve acesso aos repositórios GitHub da Checkmarxfonte: Adnan Khan
“Como resultado desse acesso, os invasores conseguiram interagir com o ambiente GitHub da Checkmarx e posteriormente publicar código malicioso para determinados artefatos”, afirmou o porta-voz da empresa.
Usando credenciais roubadas no ataque Trivy, os hackers publicaram versões modificadas de várias ferramentas de desenvolvedor no GitHub, Docker e VSCode que incluíam código para roubo de informações.
O ator da ameaça manteve o acesso por pelo menos um mês e depois publicou uma versão maliciosa da ferramenta de análise KICS da empresa no Docker, Open VSX e VSCode, que coletava dados de ambientes de desenvolvedores.
No final de abril, a empresa confirmou que o grupo de ameaças LAPSUS$ vazou dados roubados de seu repositório privado GitHub.
No sábado, 9 de maio, uma versão não autorizada (2026.5.09) do plugin Checkmarx Jenkins AST foi carregada em repo.jenkins-ci.org. A atualização estava fora do pipeline de lançamento do plugin e incluía código malicioso.
Além de não seguir o esquema oficial de estilo de data, o plugin malicioso não tinha uma tag git e uma versão do GitHub.
Checkmarx aconselhou os usuários a garantir que estão usando a versão 2.0.13-829.vc72453fa_1c16 do plugin publicado em 17 de dezembro de 2025, ou uma versão mais antiga.
Embora Checkmarx não tenha compartilhado nenhum detalhe sobre o que o plug-in Jenkins desonesto faz nos sistemas, aqueles que baixaram a versão maliciosa devem presumir que suas credenciais estão comprometidas, alternar todos os segredos e investigar movimentos laterais ou persistência.
Checkmarx afirma que seus repositórios GitHub estão isolados do ambiente de produção do cliente e nenhum dado do cliente é armazenado no repositório GitHub.
“Nós nos comunicamos com nossos clientes ao longo deste processo e continuaremos a fornecer atualizações relevantes à medida que mais informações estiverem disponíveis”, disse a empresa de segurança cibernética, acrescentando que os clientes podem encontrar recomendações no Portal de Suporte ou nas seções de Atualizações de Segurança.
Checkmarx publicou um conjunto de artefatos maliciosos que os defensores podem usar como indicadores de comprometimento (IoCs) em seus ambientes.
99% do que o Mythos encontrou ainda não foi corrigido.
A IA encadeou quatro dias zero em uma exploração que contornou os sandboxes do renderizador e do sistema operacional. Uma onda de novas explorações está chegando.No Autonomous Validation Summit (12 e 14 de maio), veja como a validação autônoma e rica em contexto encontra o que é explorável, prova que os controles são válidos e fecha o ciclo de remediação.
Reivindique seu lugar
#samirnews #samir #news #boletimtec #pacote #oficial #checkmarx #jenkins #comprometido #com #infostealer
🎉 Obrigado por acompanhar, até a próxima notícia!
Postar um comentário