Checkmarx đối mặt với cuộc tấn công mới của TeamPCP: Plugin Jenkins bị cài mã độc

Checkmarx đối mặt với cuộc tấn công mới của TeamPCP: Plugin Jenkins bị cài mã độc

Các kỹ sư phần mềm của Checkmarx đang nỗ lực loại bỏ phiên bản độc hại của plugin Jenkins sau khi phát hiện một hành vi tải lên trái phép vào cuối tuần vừa qua.

Vào thứ Bảy, ngày 9 tháng 5, công ty bảo mật mã nguồn này đã thông báo cho khách hàng về việc phát hiện một phiên bản của công cụ quét bảo mật AST Scanner (dùng cho các pipeline CI/CD của Jenkins) đã bị phát hành trái phép thông qua Jenkins Marketplace.

“Chúng tôi đã biết về việc một phiên bản đã bị chỉnh sửa của plugin Jenkins AST của Checkmarx được xuất bản lên Jenkins Marketplace,” công ty cho biết trong một tuyên bố. “Chúng tôi đang trong quá trình xuất bản một phiên bản mới của plugin này.”

Checkmarx cảnh báo rằng các phiên bản được xuất bản kể từ ngày 9 tháng 5 năm 2026 không nên được tin tưởng. Công ty kêu gọi tất cả người dùng kiểm tra để đảm bảo họ đang chạy bản phát hành chính xác (2.0.13-829.vc72453fa_1c16) được xuất bản vào ngày 17 tháng 12 năm 2025.

Tại thời điểm viết bài này, plugin độc hại vẫn có sẵn và xuất hiện là phiên bản mới nhất, mặc dù các yêu cầu pull được thực hiện vào sáng thứ Hai cho thấy nó sẽ sớm bị gỡ bỏ.

Nguy cơ từ mô hình tin cậy

“Điều làm cho vấn đề này đặc biệt nguy hiểm đối với người dùng Jenkins là mô hình tin cậy đang hoạt động,” SOCRadar nhận định trong bài phân tích của mình. “Plugin Jenkins của Checkmarx là một công cụ mọi người cài đặt cụ thể để cải thiện bảo mật cho các pipeline của họ.”

“Một phiên bản có cài đặt cửa sau (backdoor) không chỉ gây nguy hiểm cho một dự án; nó sẽ tận dụng cơ sở hạ tầng được tin cậy để xâm nhập vào mọi pipeline xây dựng mà nó chạm tới, với quyền truy cập vào mã nguồn, biến môi trường, mã thông báo (tokens) và mọi bí mật mà runner có thể nhìn thấy.”

Malware Shai-Hulud và TeamPCP

Phần độc hại mang chủ đề Dune, được đặt tên Shai-Hulud vì bản chất tự lan truyền như sâu, lần đầu tiên gây xôn xao vào tháng 9 năm ngoái khi hàng trăm gói npm bị xâm phạm.

Shai-Hulud 2.0 lần đầu tiên được nhìn thấy vào tháng 11 sau đó, ảnh hưởng đến hơn 25.000 kho lưu trữ GitHub. Sau đó, các gói Mini Shai-Hulud — chính là những gói đã được tiêm vào plugin Jenkins của Checkmarx — đã tấn công các gói npm của SAP trong giai đoạn đầu của các cuộc tấn công chuỗi cung ứng TeamPCP gần đây.

Kỹ sư bảo mật Adnan Khan đã nhanh chóng phát hiện sự xâm nhập này vào cuối tuần. Nhóm đứng sau cuộc tấn công chuỗi cung ứng sớm ảnh hưởng đến Checkmarx vào tháng 4, TeamPCP, đã làm giả mạo GitHub của công ty và xuất bản sáu gói, mỗi gói có mô tả ám chỉ đến sâu độc hại Shai-Hulud.

Các gói này không còn xuất hiện trên GitHub của Checkmarx, nhưng TeamPCP đã thực hiện nhiều thay đổi trên trang plugin AST, đổi tên thành “Checkmarx-Fully-Hacked-by-TeamPCP-and-Their-Customers-Should-Cancel-Now”, và thay đổi mô tả để tuyên bố CheckMarx đã thất bại trong việc xoay vòng các bí mật (secrets) của mình.

Cuộc xâm nhập nội bộ mới nhất của Checkmarx đánh dấu lần thứ ba TeamPCP xâm phạm các gói của công ty này trong vòng ba tháng. Như đã thấy trước đây trên The Register, những kẻ lừa đảo đã nhắm mục tiêu thành công đến plugin AST của Checkmarx cho GitHub Actions và công cụ phân tích tĩnh KICS vào tháng 3, triển khai phần mềm độc hại đánh cắp thông tin xác thực.

SOCRadar cho biết sự xâm nhập plugin Jenkins mới nhất của TeamPCP cho thấy rằng TeamPCP có thể đang nói sự thật về việc xoay vòng bí mật của Checkmarx, hoặc các thành viên của nhóm này đã tận dụng một cơ chế duy trì quyền truy cập bổ sung mà nhà cung cấp bảo mật không nhận thấy trong quá trình phản hồi cuộc xâm nhập vào tháng 3.